Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Pascaline le janvier 21, 2019, 13:39:10
-
Bonjour, voilà comme dit dans le titre j'ai tout mes fichiers qui sont cryptés, je suis sur Windows 10 pro, 64 bits. J'ai déjà fait un premier nettoyage avec Avira. Voilà le nom sans-titre.png.qgvioqx.Si vous pouviez m'aider à trouver un système me permettant de récupérer mes fichiers, surtout les jpg car bien sûre comme beaucoup d'autre ce sont mes photos que j'aimerai vraiment récupérer...Merci d'avance
-
Bonjour Pascaline,
Il semble effectivement que tu soit infecté par un Cryptowall fait partie des ransmoware crypteur.
A l'heure actuelle, il n'y a pratiquement aucun moyen de récupérer ces fichiers,
car ils sont chiffré avec une clé unique quasiment impossible à déchiffrée avec des moyens "normaux"
As-tu fais une sauvegarde sur un support externe des fichiers ?
La seule chose possible c'est de supprimer l'infection sur le système.
Si tu veux que l'on vérifie .
Télécharger sur le Bureau
Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/) pour systèmes x32 (x86)
Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/) Pour systèmes x64
Selon ton système exploitation 32 Bit ou 64 Bits Mon ordinateur exécute-t-il la version 32 ou 64 ?bits (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
Quand l'outil démarre, clique sur Oui acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
(https://nsa39.casimages.com/img/2018/05/31/180531042708840164.png) (https://www.casimages.com/i/180531042708840164.png.html)
Clique sur le bouton Scan.
L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
Héberge les rapports sur le site Service de rapport en ligne (http://security-x.fr/up/)
Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
Sur la page Clique sur Ouvrir
Puis sur le site Clique sur ENVOI,
Ensuite copie/colle les liens fourni ICI dans ta prochaine réponse.
-
Merci e prendre le temps de m'aider! Pour les fichiers, non pas de sauvegarde externe...Sauf peut être une dizaine de mp3... https://up.security-x.fr/file.php?h=R3e47d55e1e446eb56712f15a0d074080 https://up.security-x.fr/file.php?h=R1022788f3777e80b1c63dbbdf6feeedd voici les deux compte rendu de FRST64
-
C'est bien dommage de ne pas avoir fait de sauvegarde sur un support externe.
Ça sera à faire en fin de procédure.
Le temps de regarder tes rapports et je te tiens au courant de la suite.
-
Bien on va commencer par désinstaller les multiples protections Antivirus pour ne garder que celui natif de w10 "Windows Defender" qui est très bien.
Plus des programmes néfastes et a risques.
Désinstalle via Panneau de configuration >> programmes et fonctionnalités (si présents) :
Clique droit Démarrer >> dans le menu Panneau de Configuration >> Programmes >> Programmes et fonctionnalités.
Antivirus Avira
Antivirus AVG
Web Companion
uTorrent BitTorrent (Source d'infection multiple et risque de vols et perte de données)
Virtual Fishnet
Betternet (VPN)
ExpressVPN (idem)
CloudNet (malveillant Malware)
Impaq Speed (Idem)
SearchAwesome (Idem)
Lorsque c'est fait refait un nouveau diagnostic de l'ordinateur avec l'outil FRST et pense a cocher la case Addition.txt
Héberge les rapports sur le site Service de rapport en ligne (http://security-x.fr/up/)
Puis copie/colle les liens fourni ICI dans ta prochaine réponse
-
Plusieurs soucis, je ne trouve pas les applications Cloudnet et ImpaqSpeed, d'autre part SearchAwesome ne veut pas se désinstaller, j'ai aussi essayé avec CCleaner. D'autre part après le re démarrage du à la désinstallation des antivirus je me retrouve avec le bureau noir et une inscription en rouge: "encrypted by Grandorab 5.1 " suivi des instructions pour payer le décryptage
-
https://up.security-x.fr/file.php?h=Rfd635ed2e15d75aece7408b0f4d41d67
https://up.security-x.fr/file.php?h=Rfd635ed2e15d75aece7408b0f4d41d67
Voici les deuxièmes scan de frst64, merci
Ps: oui je prendrai la peine de sauvegarder la prochaine fois!!!
-
Désoler Pascaline tu as posté deux fois le même lien il me manque le rapport Addition.txt ;)
-
https://up.security-x.fr/file.php?h=Rd6dec3f5a764992f1d5123c007945013 désolé les enfants sont rentré la concentration est altéré!!
-
Je comprends je finis de regarder tes rapports.
-
Je vois que tu as déjà essayer l'outil XoristDecryptor de Kaspersky pour décryter les fichiers.
C'est un peu tôt avant il vaut mieux désinfecté ton odinateur des cracks et malwares.
Ne passe qu'une seule fois les outils
Correction avec l'outil FRST
- Clique-droit sur FRST.exe > exécuter en tant qu'administrateur
Ensuite tu vas Copier la totalité du contenu de ce correctif hébergé ici >>> https://textup.fr/306279fz
Pour ce faire, sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
(le correctif est copié automatiquement dans le Presse-Papier)
Fermer toutes les applications ouverte, y compris le navigateur
NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
(https://nsa39.casimages.com/img/2018/05/31/180531042708840164.png) (https://www.casimages.com/i/180531042708840164.png.html)
Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne (http://security-x.fr/up/)
Puis copie/colle le lien fourni dans ta prochaine réponse.
- Télécharges Adwcleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) sur ton Bureau
Ferme toutes les applications en cours (notamment votre navigateur)
Fais clique droit dessus, exécuter en tant qu'administrateur
Clique sur oui pour Accepter la licence
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fnsa39.casimages.com%2Fimg%2F2018%2F04%2F13%2F180413022627679649.png&hash=138806b665fe5e2ec44e9f689101068ae6ca8eb5) (http://www.casimages.com/i/180413022627679649.png.html)
Clique sur Analyser Maintenant
Lorsque le scan est terminé les éléments détectés s'affichent
Choisir l'option Nettoyer/réparer
Accepte l'avertissement en cliquant sur redémarrer maintenant l'ordinateur.
Ensuite clique sur voir le rapport
Héberge le contenu du rapport
sur le site ce site d'hébergement de fichiers (http://security-x.fr/up/)
Puis copie/colle le lien fourni dans votre prochaine réponse.
- Télécharge la dernière version de Malwarebytes Anti-Malware (http://downloads.malwarebytes.org/file/mbam) et enregistre-le sur le Bureau.
Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
Clique-droit > exécuter en tant qu'administrateur sur le fichier mbam-setup.exe pour lancer l'installation.
A la fin de l'installation,
Clique sur Terminer. Malwarebyte's s'ouvre
Lancer l'examen >> Analyse Maintenant
Quand l'examen est terminé, SI des éléments ont été Détectés,
Appliquer les actions cliquez sur Quarantaine sélectionnée
Pour laisser MBAM nettoyer ce qui a été détecté.
Si un redémarrage est demandé, clique sur OUI.
Attende l'affichage du message vous invitant à faire redémarrer le PC, puis clique sur Oui.
Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvre de nouveau MBAM.
Clique sur l'onglet Comptes-rendus .
Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
Clique sur Afficher Exporter.
Clique sur Fichier texte (*.txt)
Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, clique sur le Bureau.
Dans la zone Nom du fichier: saisir un nom pour le journal d'examen.
Une boîte de message intitulée Fichier enregistré doit apparaître et t'annoncer que "Votre fichier a été exporté avec succès".
Clique sur OK
Héberge le contenu du rapport sur le site Service de rapport en ligne (http://security-x.fr/up/)
Puis copie/colle le lien fourni dans ta prochaine réponse.
Tutoriel Malwarebytes en images (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/)
En attente des 3 rapports.
A plus.
-
https://up.security-x.fr/file.php?h=R6e605417529407ff6512b8ed49ab51c8
https://up.security-x.fr/file.php?h=Ra4b36e87a00094cf4a65a98c430f2123
pour malwerbytes il refuse de fonctionner, il était déjà présent lors de l'attaque (je l'ai désinstaller avec revouninstaller) et je pense qu'il y a des restes du programme cachés et vérolés.
-
Re,
C'était une ancienne version de Malwarebytes qui était présent sur ton ordinateur.
C'est pour ça qu'il te faut télécharger la dernière version.
Il refuse de fonctionner ou de s'installer ?
Si c'est de fonctionner redémarre ton ordinateur en mode sans échec.
Via l’application Paramètres >> Mises à jour et sécurité >> Récupération
Clique sur le bouton Redémarrer maintenant sous Démarrage avancé.
L’écran Options de démarrage avancées de Windows 10 s’affiche
clique sur le bouton Dépannage.
Puis sur Options avancées >> Clique sur Paramètres
Enfin, clique sur le bouton Redémarrer pour accéder aux Paramètres de démarrage de Windows 10.
Clique sur F5 (Activer le mode sans échec avec prise en charge réseau) du clavier
Le pc redémarre en mode sans échec.
Ensuite lance le scan avec Malwarebytes
-
J'ai trouvé ca en farfouillant
https://up.security-x.fr/file.php?h=R973fc384c544b6463f59e8ef4801e641
-
Ce sont des dossiers et fichiers légitime de windows ;) ne pas les supprimer.
-
Merci en mode sans échec ça marche
-
Parfait :sup: je vais :miam: a plus.
-
OK bon app et merci pour ton aide
-
https://up.security-x.fr/file.php?h=R4e8c9e3e19cf0054fad909467bdff4e6
-
Re,
Très bien Pascaline vide la quarantaine de Malwarebytes
Ouvre MBAM >> quarantaine >> sélectionne les cases et clique sur Supprimer.
pour contrôler fait un nouveau FRST coche la case Addition.txt.
-
https://up.security-x.fr/file.php?h=R0677af29f2f591380ae812ba56b20d8e
https://up.security-x.fr/file.php?h=Rd5846b7582cc12ddca77aa36bb77ca2f
-
Re,
OK ton ordinateur doit bien mieux se comporte maintenant. :)
Il va falloir pour l'avenir vraiment faire attention et changer ton mode de téléchargement.
On va faire une nouvelle correction puis tu vas essayer de voir si tu peux récupérer des fichiers cryptés.
Correction avec l'outil FRST
- Clique-droit sur FRST.exe > exécuter en tant qu'administrateur
Copie la totalité du contenu de ce correctif hébergé ici >>> https://textup.fr/306303d5
Pour ce faire, sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
(le correctif est copié automatiquement dans le Presse-Papier)
Fermer toutes les applications ouverte, y compris le navigateur
(https://nsa39.casimages.com/img/2018/05/31/180531042708840164.png) (https://www.casimages.com/i/180531042708840164.png.html)
Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction.
Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laissez l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne (http://security-x.fr/up/)
Puis copie/colle le lien fourni dans ta prochaine réponse.
- Télécharge ZHPCleaner (https://nicolascoolman.eu/download/zhpcleaner/) sur votre bureau.
Désactive les protections: Antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
Pour le lancer l'outil clique-droit > exécuter en tant qu'administrateur
Accepte "les conditions d'utilisation"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimg4.hostingpics.net%2Fpics%2F563513Capture.png&hash=ae56d875abae654042cc06a062f280461e455e62) (http://www.hostingpics.net/viewer.php?id=563513Capture.png)
Cliquer sur Analyser
Lorsque le scan est terminé
Clique sur Nettoyer (ferme la page du navigateur qui s'ouvre)
L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
Cliquer sur Nettoyer pour lancer la suppression des éléments détectés
Si un redémarrage est nécessaire pour compléter le nettoyage, cliquer sur OK et redémarrer le système
Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche.
Héberge le rapport ZHPCleaner.txt sur le site Service de rapport en ligne (http://security-x.fr/up/)
Puis copier/coller le lien fourni dans ta prochaine réponse.
Tutoriel ZHPCleaner (https://forum.security-x.fr/tutoriels-317/tutoriel-zhpcleaner/msg132323/#msg132323)
Ensuite tu va essayé avec l'outil Emsisoft Decrypter for Xorist (https://decrypter.emsisoft.com/xorist)
J'espère que tu te débrouille un peu en anglais ;)
Information Emsisoft propose des services de décryptage pour la famille Xorist Ransomware (https://www.bleepingcomputer.com/news/security/emsisoft-offering-decryption-services-for-the-xorist-ransomware-family/)
PDF Comment utiliser le Emsisoft Decrypter pour Xoriste (https://decrypter.emsisoft.com/howtos/emsisoft_howto_xorist.pdf)
Xorist est un kit de construction de ransomware gratuit et populaire
qui a été de plus en plus populaire au cours des deux dernières semaines.
Le kit permet aux attaquants de personnaliser entièrement leur logiciel ransomware,
notamment le message, le fichier ciblé, le nom du fichier ransomnote,
l’extension de fichier cryptée et le mot de passe de déverrouillage.
Pour utiliser le décrypteur, vous aurez besoin d’un fichier chiffré d’au moins 144 octets,
ainsi que de sa version non chiffrée. Pour démarrer le décrypteur,
sélectionnez les fichiers crypté et non crypté, puis faites-les glisser et déposez-les sur l'exécutable du décrypteur.
Autrement dis moi comment se comporte le système maintenant par rapport aux symptômes signalés au début ?
Si c'est bon Voici le reste pour terminé cette désinfection.
-
Salut
Bon le système a l'air stable, plus réactif et plus de fenêtre intempestive dans le navigateur.
Voici les deux rapports et je m'attèle au decrypt_Xorist.
https://up.security-x.fr/file.php?h=R967ce67c10dc32b48330050722dfe970
https://up.security-x.fr/file.php?h=R5ee265a4dc97ffffa0fda6d5a2dbb293
-
Question bête peut être mais il me faut un fichier orignal non crypté et je n'en ai aucun, tout le pc est contaminé. Comment puis-je faire?
-
Bonjour, :AAC
Ok C'est déjà une bonne chose que l'ordinateur ne soit plus infecté.
Il reste malgré tous les programmes Microsoft qui ont été activés illégalement.
Je te conseille de désinstaller Microsoft Office Professionnel Plus 2013, c'est la porte ouverte pour infecter son ordinateur.
Il y a des alternatives gratuites. LibreOffice (https://fr.libreoffice.org/download/libreoffice-stable/)
Prendre le temps de lire Le danger des cracks ! (http://forum.malekal.com/danger-des-cracks-t893.html)
il me faut un fichier orignal non crypté et je n'en ai aucun, tout le pc est contaminé. Comment puis-je faire?
Tu m'as dit que tu avais quelques fichiers.
Pour les fichiers, non pas de sauvegarde externe...Sauf peut être une dizaine de mp3
As-tu essayé avec ces fichiers audio ?
Il y a une autre solution sans garantie. Soumettre un échantillon de malware (https://www.bleepingcomputer.com/submit-malware.php?channel=170)
Voici la traduction de cette page
Ce formulaire peut être utilisé pour envoyer un programme malveillant,
un ransomware ou un échantillon d'infection à BleepingComputer.com à des fins d'analyse.
Lorsque vous soumettez un fichier demandé par l'un de nos assistants,
veuillez laisser un lien vers le sujet pour lequel il vous a été demandé de le soumettre.
Remarque:
Tous les fichiers soumis seront partagés avec les fournisseurs d’antivirus
pour être inclus dans leurs définitions de virus.
Par conséquent, n'envoyez rien qui soit de nature confidentielle.
Naviguez jusqu'au fichier que vous voulez soumettre:
Lien vers la rubrique où ce fichier a été demandé:
Il est fortement recommandé de laisser des commentaires sur votre soumission.
Si vous n'êtes pas connecté au site en tant que membre enregistré,
il est fortement recommandé de fournir les informations de contact pour que nous puissions vous recontacter.
Si vous ne fournissez pas vos coordonnées, nous n'aurons aucun moyen de vous contacter si nous avons d'autres questions.
Sinon tu peux de nouveau essayer avec l'outil Kaspersky (https://support.kaspersky.com/fr/2911#block4)
Déroule les petites croix pour les explications.
Le principe est le même, il te faudra envoyer un mail pour que le fichier soit analysé et en retour avoir une clé.
*********************************************************
Autrement pour terminer la partie désinfection.
- Supprimer les outils et purger la restauration.
Télécharge DelFix (https://toolslib.net/downloads/viewdownload/2-delfix/)(de Xplode) sur ton Bureau
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fnsa39.casimages.com%2Fimg%2F2018%2F01%2F30%2F180130030042497232.png&hash=6cf169b5c0dee3cc3c5ad5c09f6e082d9f78a070) (http://www.casimages.com/i/180130030042497232.png.html)
Coche les cases :
Supprimer les outils de désinfection
Purger la restauration système
Valide sur Exécuter
Laisse travailler l'outil
Un rapport s'ouvre Copie/colle le rapport obtenu
Delfix ce supprime automatiquement
Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
Héberge le rapport Defix.txt sur le site ce site d'hébergement de fichiers (http://security-x.fr/up/)
Puis copier/coller le lien fourni dans votre prochaine réponse.
Quelques conseils et préventions pour l'avenir
D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
Bien lire les accords de licence avant toute installation.
Les risques du peer-to-peer (http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html)
Bannir les cracks
Le danger des cracks et keygen ! (http://forum.malekal.com/danger-des-cracks-t893.html).
Prudence avec vos Mails et pièces jointes que vous recevez ils renferment parfois des Malwares.(Le phishing ou hameçonnage,SPAM... )
Souvent, les infections se propagent sur l'ordinateur de cette manière.
La protection la plus efficace de la messagerie.
1) Ne pas ouvrir ou cliquer sur les pièces jointes provenant d’un expéditeur que vous ne connaissez pas.
2) Ne pas ouvrir les pièces jointes d'un email (fichiers .zip, .xls ou .doc) que si l'identité de son expéditeur est confirmée.
3) Supprimer le message suspect sans y répondre.
4) Refuser de confirmer l'accusé de réception d'un expéditeur inconnu.
5) Supprimez le mail directement (évitez de le stocker dans les éléments supprimés)
Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
IMPORTANT Sauvegarder régulièrement les données personnelles sur un support externe.
En cas de conflit ou d'infection, vos données ne seront pas perdues.
De maintenir son Antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes Anti-Malware
Lire Sécuriser son ordinateur et connaître les menaces (http://www.malekal.com/securiser-son-ordinateur-et-connaitre-les-menaces-2/)
Aide Conseils de Windows 10 permettant d’améliorer les performances de votre PC (https://support.microsoft.com/fr-fr/help/4002019/windows-10-improve-pc-performance)
-
Bonsoir, voici le rapport Defix https://up.security-x.fr/file.php?h=Ra38495b31917e699df505fa6a5252dad
J'ai essayé avec les MP3 mais ça n'a pas marché, je me demandai si avec un doc ou un jpg stocké sur le net (enfin une version sur le net et une sur l'ordi) ça pourrait fonctionner… En tout cas merci beaucoup pour votre réactivité et votre aide précieuse!
-
Bonsoir,
Si je comprends ce que tu veux faire, c'est de télécharger un document (EX: un PDF).
Qui correspondrais à l'un des fichiers crypter sur ton ordinateur, c'est ça ?
La date et encodage du fichier sur le système ne seront pas le même, tu peux toujours essayer mais je doute que cela fonctionne.
Et avec l'outil de Kaspersky,(lien dans l'autre message) tu as essayé ?
-
oui c'était ça… bon ben je laisse tomber l'idée!
Alors j'ai essayé xoristdecryptor de Kaspersky ça n' a rien donné, là il y a RectorDecryptor qui travaille il a trouvé des trucs mais je n'en sait pas plus pour le moment...Après il reste un autre outil e Kasper que je dois essayer. En cherchant sur la toile j'ai trouvé ça: http://aktien.bluesquad.revenuewire.net/win-data-rec-home/download/ tu en penses quoi?
-
bon il a bien détecté les fichiers (enfin certain) mais ne les a pas décrypté… Pour le dernier outil il est précisé les noms des ransonware et le notre n'y est pas https://support.kaspersky.com/fr/10556#block2, j'essaie quand même?
-
Ton lien point sur un exécutable aucun programme de recovery ne va fonctionner et certains sont des gosses daube.
Reste sur les outils des sites officiel pour ce type de fichiers crypter.
Comme je te les dit au début.
A l'heure actuelle, il n'y a pratiquement aucun moyen de récupérer ces fichiers,
car ils sont chiffré avec une clé unique quasiment impossible à déchiffrée avec des moyens "normaux"
Mais tu peux essayer l'autre outil de Kasper.
-
Bon ben je crois qu'on a tout essayé… Le dernier outil de Kasper n'a pas marché :'(
je vais soumettre un échantillon de malware et on verra bien. En tout cas merci pour tout
-
Oui, c'est le mieux à faire, ils auront peut-être une solution à te proposer.
Pense a faire une sauvegarde de tes fichiers persos sur un support externe et une image disque.
Surtout maintenant évitent les programmes P2P, cracks et surf à risque.
Et prudence dans tes téléchargements.
Bonne continuation.
-
oui on va être plus sage! Merci encore et vraiment bravo pour votre implication!!