A voir également:
- Fichier nobu
- Fichier crypté en .NOBU ✓ - Forum - Virus / Sécurité
- Fichier odt - Conseils pratiques - Microsoft Office
- Fichier rar - Guide
- Comment compresser un fichier pdf - Guide
- Fichier swf - Articles
7 réponses
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Bonjour,
L'Outil de decryptage de Bitdefender
https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134
https://id-ransomware.malwarehunterteam.com/
https://www.nomoreransom.org/fr/decryption-tools.html
https://forum.malekal.com/viewtopic.php?f=98&t=57145
https://www.malekal.com/ransomware-solutions-recuperer-fichiers/.
Puis coche la case shortcut comme ceci :
Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Les fichiers ont été cryptés par un crypto-ransomware, actuellement il est impossible de les décrypter, met-les de côté en attendant une "éventuelle solution".
Tu peux essayer de récupérer une ancienne version de tes fichiers avec ShadowExplorer.
Voir aussi https://www.emsisoft.com/ransomware-decryption-tools/
On peut désinfecter le pc mais pour ce qui est des fichiers cryptés ils le resteront jusqu'à ce qu'une solution de décryptage soit éventuellement trouvée, il ne faut pas confondre désinfection et décryptage.Quelques liens utiles:
L'outil de décryptage d'Emisoft et son mode d'emploiL'Outil de decryptage de Bitdefender
https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134
https://id-ransomware.malwarehunterteam.com/
https://www.nomoreransom.org/fr/decryption-tools.html
https://forum.malekal.com/viewtopic.php?f=98&t=57145
https://www.malekal.com/ransomware-solutions-recuperer-fichiers/.
Pour vérifier ton pc
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :
Puis coche la case shortcut comme ceci :
Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Bonsoir,
Voici les 3 fichiers :
https://pjjoint.malekal.com/files.php?id=20201206_y15x10u6f7k9
https://pjjoint.malekal.com/files.php?id=FRST_20201206_u15k8i13t913
https://pjjoint.malekal.com/files.php?id=20201206_q814b14m10y8
J'ai l'impression de ne plus avoir aucun soucis sur mon ordi à l'heure actuelle, j'ai formater totalement mon disque :F.
J'ai par contre toujours peur de me connecter à des sites (Facebook amazon ou autre) à cause de la récupération par qqun de mes données personnels, est ce que cette crainte est fondée ?
Voici les 3 fichiers :
https://pjjoint.malekal.com/files.php?id=20201206_y15x10u6f7k9
https://pjjoint.malekal.com/files.php?id=FRST_20201206_u15k8i13t913
https://pjjoint.malekal.com/files.php?id=20201206_q814b14m10y8
J'ai l'impression de ne plus avoir aucun soucis sur mon ordi à l'heure actuelle, j'ai formater totalement mon disque :F.
J'ai par contre toujours peur de me connecter à des sites (Facebook amazon ou autre) à cause de la récupération par qqun de mes données personnels, est ce que cette crainte est fondée ?
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Tu as un proxy qui est activé sur ton pc est-ce toi qui l'a activé et configuré, attention de bien répondre à cette question car c'est pour savoir si je le supprime ou pas.
Pour info ton pc est infecté depuis le 05/12/2020 20h35.
Pour info ton pc est infecté depuis le 05/12/2020 20h35.
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Déjà merci de ta réponse rapide !
Je suis un peu une quiche avec tout ça.. Qu'est ce qu'un proxy exactement ?
Je suis un peu une quiche avec tout ça.. Qu'est ce qu'un proxy exactement ?
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Vu que tu ne sais pas ce qu'est un proxy j'en déduis que tu ne l'as pas configuré, je ne vais pas te faire une explication de ce qu'est un proxy il te suffit de faire une recherche dans Google pour trouver la réponse.
Dans le rapport on voit que KMSpico est installé évite les cracks ils sont source d'infection.
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
.
Dans le rapport on voit que KMSpico est installé évite les cracks ils sont source d'infection.
Le script qui suit supprimera le proxy et l'infection présente sur ton pc
Procédure à faire dans l'ordre indiqué :1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
Task: {52542296-C96B-42C3-8757-E91C32F87502} - System32\Tasks\clane => C:\ProgramData\ejddii\clane.exe
Task: C:\Windows\Tasks\clane.job => C:\ProgramData\ejddii\clane.exe
C:\ProgramData\ejddii\clane.exe
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
ShortcutTarget: WSAndroidAppHelper.lnk -> C:\Program Files (x86)\Wondershare\dr.fone\Addins\SocialApps\WSAndroidAppHelper.exe (Pas de fichier)
ShortcutTarget: WSAppHelper.lnk -> C:\Program Files (x86)\Wondershare\dr.fone\Addins\SocialApps\WSAppHelper.exe (Pas de fichier)
FF Plugin: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Pas de fichier]
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [Pas de fichier]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\Microsoft Office\Office15\NPSPWRAP.DLL [Pas de fichier]
FF Plugin-x32: @wacom.com/wacom-plugin,version=1.1.0.10 -> C:\Program Files (x86)\TabletPlugins\npwacom.dll [Pas de fichier]
FF Plugin-x32: @wacom.com/wtPlugin,version=2.0.0.1 -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [Pas de fichier]
FF Plugin HKU\S-1-5-21-3398469405-2351712530-1780045661-1000: wacom.com/WacomTabletPlugin -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [Pas de fichier]
S2 HiPatchService; F:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X]
S3 BstkDrv; \??\C:\Program Files (x86)\BlueStacks\BstkDrv.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
cmd: ipconfig /flushdns
RemoveProxy:
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
.
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Bonjour,
La manip est faite voilà le lien du fixlog :
https://pjjoint.malekal.com/files.php?id=20201207_v8c6u7e6k13
Merci encore !
La manip est faite voilà le lien du fixlog :
https://pjjoint.malekal.com/files.php?id=20201207_v8c6u7e6k13
Merci encore !
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Tout est OK ton pc est propre, vu l'infection qui était présente sur ton pc je te conseille vivement de changer tous tes mots de passe en ligne (email, login de site, réseau sociaux etc etc....).
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Un énorme merci à toi pour ton aide !
Bonne journée à toi
Bonne journée à toi
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Bonne journée à toi aussi.
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Re bonjour,
Mon pc fonctionne désormais normalement, cependant j'ai encore ce message qui apparaît après chaque démarrage du pc,
J'aimerai savoir s'il s'agit d'un reste du virus et comment l'enlever ?
Mon pc fonctionne désormais normalement, cependant j'ai encore ce message qui apparaît après chaque démarrage du pc,
J'aimerai savoir s'il s'agit d'un reste du virus et comment l'enlever ?
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Voici les résultats de la seconde analyse :
https://pjjoint.malekal.com/files.php?id=FRST_20201209_x14d7t9s7i12
https://pjjoint.malekal.com/files.php?id=20201209_g5z12m15z9d5
https://pjjoint.malekal.com/files.php?id=20201209_b12r15r12b15b13
Merci d'avance !
https://pjjoint.malekal.com/files.php?id=FRST_20201209_x14d7t9s7i12
https://pjjoint.malekal.com/files.php?id=20201209_g5z12m15z9d5
https://pjjoint.malekal.com/files.php?id=20201209_b12r15r12b15b13
Merci d'avance !
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
C'est le logiciel dr.fone que tu as désinstallé et qui est mal désinstallé :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WSAndroidAppHelper.lnk [2019-12-29]
ShortcutTarget: WSAndroidAppHelper.lnk -> C:\Program Files (x86)\Wondershare\dr.fone\Addins\SocialApps\WSAndroidAppHelper.exe (Pas de fichier)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WSAppHelper.lnk [2019-12-29]
ShortcutTarget: WSAppHelper.lnk -> C:\Program Files (x86)\Wondershare\dr.fone\Addins\SocialApps\WSAppHelper.exe (Pas de fichier)
Policies: C:\ProgramData\NTUSER.pol: Restriction
R2 WsAppService3; C:\Program Files (x86)\Wondershare\WAF3\3.0.0.308\WsAppService3.exe [83232 2019-07-09] (Wondershare Technology Co.,Ltd -> Wondershare)
R2 WsDrvInst; C:\Program Files (x86)\Wondershare\dr.fone\Library\DriverInstaller\DriverInstall.exe [130336 2019-10-30] (Wondershare Technology Co.,Ltd -> Wondershare)
C:\Program Files (x86)\Wondershare
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Voilà le lien après manip :
https://pjjoint.malekal.com/files.php?id=20201209_v11l10m8o12t11
J'ai toujours le message qui pop après quelques minutes lors du démarrage du PC..
https://pjjoint.malekal.com/files.php?id=20201209_v11l10m8o12t11
J'ai toujours le message qui pop après quelques minutes lors du démarrage du PC..
bazfile
- Messages postés
- 30407
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 janvier 2021
Si ça vient après un certain temps cela peut venir d'une tâche planifiée obsolète ou d'un logiciel mal désinstallé ou d'une clé de registre obsolète, car il y a pas mal de restes comme par exemple des restes d'Avast, tu as CCleaner sur ton pc tu peux éventuellement faire un nettoyage du registre avec CCleaner.
Pas d'autre idée car sur le rapport FRST il n'y a rien d'autre.
Pas d'autre idée car sur le rapport FRST il n'y a rien d'autre.
Voltalia
- Messages postés
- 9
- Date d'inscription
- dimanche 6 décembre 2020
- Statut
- Membre
- Dernière intervention
- 12 décembre 2020
Bonjour, après quelque jours j'ai trouvé, il s'agissait d'un reste du logiciel Avira.
Je l'ai donc totalement désinstallé et le message n’apparaît plus !
Encore merci pour tout Bazfile :)
Bonne journée
Je l'ai donc totalement désinstallé et le message n’apparaît plus !
Encore merci pour tout Bazfile :)
Bonne journée
