Cheval de troie et fichiers endommagés

Résolu/Fermé
Lisa88 - 14 nov. 2020 à 10:33
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
- 15 nov. 2020 à 12:41
Bonjour,

ce matin, j'ai reçu un avertissement concernant un cheval de troie et ensuite, aucun fichier ne peut s'ouvrir (indiqué endommagé ou non disponible).

Pouvez vous m'aider s'il vous plaît ?

merci d'avance,

lisa



Configuration: Windows / Edge 86.0.622.68

8 réponses

Ray-78
Messages postés
114
Date d'inscription
samedi 14 mars 2020
Statut
Membre
Dernière intervention
29 mars 2021
24
14 nov. 2020 à 10:40
Peut tu faire ne restauration?
0
C'est ce que j'essaie de faire mais je dois créer une clé de restauration et pour l'instant je n'ai pas accès à un autre pc
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058 > Lisa88
14 nov. 2020 à 13:22
Fait ce qui est indiqué ci-dessous.
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058
14 nov. 2020 à 10:42
Bonjour,
ce matin, j'ai reçu un avertissement concernant un cheval de troie

Soit plus précis quand tu poses une question, tu as eu un avertissement de qui ? Donne le message que tu as eu dans son intégralité.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.
0
bonjour bazfile,

merci pour ta réponse. J'ai fais un scan UnHackMe et il a détecté plusieurs chevaux de troie.

Depuis, si j'essaie d'ouvrir un fichier (pack office et pdf), j'ai un message d'erreur disant qu'il est introuvable ou endommagé.

voici les liens (le troisième est pour les shortcuts) :
https://pjjoint.malekal.com/files.php?id=FRST_20201114_n12x9k14y8i14
https://pjjoint.malekal.com/files.php?id=20201114_w9w9g14z10s7
https://pjjoint.malekal.com/files.php?id=20201114_g8n15g11v15d7

merci pour ton aide,

lisa
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058
14 nov. 2020 à 16:50
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare software CO., LIMITED -> Wondershare)
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.e
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [aqttsrit] => "C:\Users\lisa_\bwasitvt.exe"
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [DreamTrip] => C:\Program Files (x86)\Sream\DreamTrip.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Policies\system: [DisableTaskmgr] 1
Task: {00E0F2AE-810E-4E36-8C9C-4AAA63A0D92A} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
U3 aspnet_state; pas de ImagePath
C:\Users\lisa_\bwasitvt.exe
C:\Users\lisa_\bwasitvt.exe.vvoa
C:\Program Files (x86)\Sream
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058 > lisa88
14 nov. 2020 à 17:40
Le fixlog est OK, pour ton pc c'est mieux ?
0
Le problème est toujours présent
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058 > lisa88
Modifié le 14 nov. 2020 à 18:12
Quel problème est présent ?
0
lisa88 > bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022

14 nov. 2020 à 18:11
les fichiers sont toujours endommagés
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058
Modifié le 14 nov. 2020 à 19:15
Le pc n'est plus infecté, Il y avait entre-autre un trojan downloader.

Pour tes fichiers introuvables, je pense que cela n'a rien à voir avec l'infection, tu devrais poser ta question concernant tes fichiers introuvables dans le forum Windows.

Tu peux éventuellement récupérer tes anciennes version de tes fichiers avec Shadow Explorer.

Pour information:
Ta version de Windows 10 n'est pas à jour vérifie-le en allant sur cette page et en cliquant sur mettre à jour maintenant.
0
lisa88290
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

14 nov. 2020 à 19:43
ok merci. en fait mes fichiers ne sont pas introuvables mais il semble que le trojan a modifié les extensions (si c'est possible). Quand j'essaie d'ouvrir un fichier j'ai ce message (voir photo1) et

En plus, quelque soit l'extension, tous les fichiers pack office et PDF sont noté "fichier VVOA" (voir photo 2)
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058
Modifié le 14 nov. 2020 à 21:06
Je pense que ce sont plutôt les associations de fichiers qui sont changées essaie de les remettre en état avec RSTassociation ou clique droit sur le fichier concerné et clique sur ouvrir avec.... puis tu cliques sur Choisir une autre application choisi l'application qui ouvre ces fichiers habituellement coche la case Toujours utiliser cette application pour ouvrir les fichiers......


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
0
lisa88290
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

Modifié le 15 nov. 2020 à 10:38
J'ai essayé les deux solutions mais ça ne fonctionne pas. J'ai était infectée par le ransomware VVOA assez récent apparemment... et tous mes fichiers sont encryptés. Pour le moment il n'existe pas d'outil permettant de décrypter les fichiers (sauf si encryptage offline, ce qui n'est pas le cas pour moi). Du coup, je n'ai pas le choix, je vais attendre et voir si un outil de décryptage sort prochainement...

En tout cas merci pour ton aide :! c'est la première fois que je fait appel à quelqu'un sur comment ça marche et c'est vraiment top ce site!
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058 > lisa88290
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

Modifié le 15 nov. 2020 à 12:26
Le crypto-ransomware n'est plus sur ton pc par contre tu avais d'autres infections, soit plus prudente sur le net notamment lorsque tu télécharges.

Pour ton crypto-ransomware actuellement il est impossible de décrypter tes fichiers mais on peut éventuellement récupérer une ancienne version de ces fichiers avec ShadowExplorer, si la récupération ne fonctionne pas met tes fichiers de côté en attendant une "éventuelle solution".

Pour ton ransomware on en parle sur cette page il est apparu il y a quelques jours.
Nouvelle variante du ransomware STOP

Michael Gillespie a trouvé une nouvelle variante du ransomware STOP qui ajoute l'extension .vvoa aux fichiers cryptés.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

L'Outil de decryptage de Bitdefender

https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

https://id-ransomware.malwarehunterteam.com/

https://www.nomoreransom.org/fr/decryption-tools.html

https://forum.malekal.com/viewtopic.php?f=98&t=57145

https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
.
0
J'ai tenté avec shadow Explorer mais pas de résultat... Il y a une solution "manuelle" à tenter pour mes fichiers les plus importants ?

Oui je vais faire plus attention... Merci
0
bazfile
Messages postés
43087
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 septembre 2022
17 058
Modifié le 15 nov. 2020 à 12:42
Non ce crypto-ransomware est trop récent aucune solution pour l'instant, et je ne suis pas certain qu'il y en aura une un jour vu que beaucoup de Crypto-ransomwares sont online, voir les différents liens que je t'ai donné dans mon précédent message.
0