Cheval de troie et fichiers endommagés [Résolu]

Réponse 2 / 8

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816

Bonjour,

ce matin, j'ai reçu un avertissement concernant un cheval de troie

Soit plus précis quand tu poses une question, tu as eu un avertissement de qui ? Donne le message que tu as eu dans son intégralité.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.

Réponse 3 / 8

lisa88

bonjour bazfile,

merci pour ta réponse. J'ai fais un scan UnHackMe et il a détecté plusieurs chevaux de troie.

Depuis, si j'essaie d'ouvrir un fichier (pack office et pdf), j'ai un message d'erreur disant qu'il est introuvable ou endommagé.

voici les liens (le troisième est pour les shortcuts) :
https://pjjoint.malekal.com/files.php?id=FRST_20201114_n12x9k14y8i14
https://pjjoint.malekal.com/files.php?id=20201114_w9w9g14z10s7
https://pjjoint.malekal.com/files.php?id=20201114_g8n15g11v15d7

merci pour ton aide,

lisa

Réponse 4 / 8

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare software CO., LIMITED -> Wondershare)
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.e
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [aqttsrit] => "C:\Users\lisa_\bwasitvt.exe"
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [DreamTrip] => C:\Program Files (x86)\Sream\DreamTrip.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Policies\system: [DisableTaskmgr] 1
Task: {00E0F2AE-810E-4E36-8C9C-4AAA63A0D92A} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier 
U3 aspnet_state; pas de ImagePath
C:\Users\lisa_\bwasitvt.exe
C:\Users\lisa_\bwasitvt.exe.vvoa
C:\Program Files (x86)\Sream
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.

lisa88

voici le lien

https://pjjoint.malekal.com/files.php?id=20201114_s9f10l5o11w12

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816 > lisa88

Le fixlog est OK, pour ton pc c'est mieux ?

lisa88

Le problème est toujours présent

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816 > lisa88

Quel problème est présent ?

lisa88 > bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

les fichiers sont toujours endommagés

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 8

lisa88

https://pjjoint.malekal.com/files.php?id=FRST_20201114_d14c7z6h9p11
https://pjjoint.malekal.com/files.php?id=20201114_w12l10t11o12l15

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816

Le pc n'est plus infecté, Il y avait entre-autre un trojan downloader.

Pour tes fichiers introuvables, je pense que cela n'a rien à voir avec l'infection, tu devrais poser ta question concernant tes fichiers introuvables dans le forum Windows.

Tu peux éventuellement récupérer tes anciennes version de tes fichiers avec Shadow Explorer.

Pour information:
Ta version de Windows 10 n'est pas à jour vérifie-le en allant sur cette page et en cliquant sur mettre à jour maintenant.

Réponse 6 / 8

lisa88290 Messages postés 2 Date d'inscription Statut Membre Dernière intervention

ok merci. en fait mes fichiers ne sont pas introuvables mais il semble que le trojan a modifié les extensions (si c'est possible). Quand j'essaie d'ouvrir un fichier j'ai ce message (voir photo1) et

En plus, quelque soit l'extension, tous les fichiers pack office et PDF sont noté "fichier VVOA" (voir photo 2)

Réponse 7 / 8

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816

Je pense que ce sont plutôt les associations de fichiers qui sont changées essaie de les remettre en état avec RSTassociation ou clique droit sur le fichier concerné et clique sur ouvrir avec.... puis tu cliques sur Choisir une autre application choisi l'application qui ouvre ces fichiers habituellement coche la case Toujours utiliser cette application pour ouvrir les fichiers......

lisa88290 Messages postés 2 Date d'inscription Statut Membre Dernière intervention

J'ai essayé les deux solutions mais ça ne fonctionne pas. J'ai était infectée par le ransomware VVOA assez récent apparemment... et tous mes fichiers sont encryptés. Pour le moment il n'existe pas d'outil permettant de décrypter les fichiers (sauf si encryptage offline, ce qui n'est pas le cas pour moi). Du coup, je n'ai pas le choix, je vais attendre et voir si un outil de décryptage sort prochainement...

En tout cas merci pour ton aide :! c'est la première fois que je fait appel à quelqu'un sur comment ça marche et c'est vraiment top ce site!

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816 > lisa88290 Messages postés 2 Date d'inscription Statut Membre Dernière intervention

Le crypto-ransomware n'est plus sur ton pc par contre tu avais d'autres infections, soit plus prudente sur le net notamment lorsque tu télécharges.

Pour ton crypto-ransomware actuellement il est impossible de décrypter tes fichiers mais on peut éventuellement récupérer une ancienne version de ces fichiers avec ShadowExplorer, si la récupération ne fonctionne pas met tes fichiers de côté en attendant une "éventuelle solution".

Pour ton ransomware on en parle sur cette page il est apparu il y a quelques jours.

Nouvelle variante du ransomware STOP

Michael Gillespie a trouvé une nouvelle variante du ransomware STOP qui ajoute l'extension .vvoa aux fichiers cryptés.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

L'Outil de decryptage de Bitdefender

https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

https://id-ransomware.malwarehunterteam.com/

https://www.nomoreransom.org/fr/decryption-tools.html

https://forum.malekal.com/viewtopic.php?f=98&t=57145

https://www.malekal.com/ransomware-solutions-recuperer-fichiers/.

Réponse 8 / 8

Lisa88

J'ai tenté avec shadow Explorer mais pas de résultat... Il y a une solution "manuelle" à tenter pour mes fichiers les plus importants ?

Oui je vais faire plus attention... Merci

bazfile Messages postés 58630 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 816

Non ce crypto-ransomware est trop récent aucune solution pour l'instant, et je ne suis pas certain qu'il y en aura une un jour vu que beaucoup de Crypto-ransomwares sont online, voir les différents liens que je t'ai donné dans mon précédent message.

Cheval de troie et fichiers endommagés

8 réponses

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Pour ton crypto-ransomware actuellement il est impossible de décrypter tes fichiers mais on peut éventuellement récupérer une ancienne version de ces fichiers avec ShadowExplorer, si la récupération ne fonctionne pas met tes fichiers de côté en attendant une "éventuelle solution".

Quelques liens utiles:

Votre réponse

Discussions similaires