Auteur Sujet: Fichiers corrompus ou endommagés suite à un virus.  (Lu 17812 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Fichiers corrompus ou endommagés suite à un virus.
« le: avril 14, 2015, 20:38:55 »
Bonjour à tous,

Il y a deux jours, un virus est apparu sur mon ordinateur portable (Windows Vista). Dans chaque dossier se trouvaient 4 fichiers (1 .txt, 1 .docx, 1. jpeg) dans lesquelles une rançon était demandée sans quoi les fichiers de mon ordinateur seraient supprimés. Bien sûr je n'ai pas payé, j'ai téléchargé Malwarebytes afin de faire un scan et effacer les menaces. Seulement depuis, je ne peux plus ouvrir aucun fichier, aussi bien les photos, que les vidéos, les documents word, excel, ppt,... A chaque fois des messages d'erreur tels que : "Impossible d'ouvrir le fichier" "Le fichier est corrompu ou endommagé".

Parmi tous ces documents, il y en a de très importants...
J'ai vu sur le forum d'autres sujets similaires mais personnalisés (http://forum.security-x.fr/desinfections/fichiers-corrompus-suite-virus/), c'est pourquoi je crée ce topic.
Pouvez-vous m'aider?

Merci d'avance !

Security-X

Fichiers corrompus ou endommagés suite à un virus.
« le: avril 14, 2015, 20:38:55 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #1 le: avril 15, 2015, 15:25:50 »
Bonjour Alapapap,

Bienvenue sur Security-X,

Malheureusement, tu as été victime d'un ransomware crypteur, une infection qui "prend en otage" les données, en les chiffrant à l'aide d'une clé unique.
Il n'y a donc généralement aucun moyen de récupérer les données qui ont été chiffrées.

C'est une des raison pour laquelle nous incitons toujours à faire des sauvegardes sur supports externes ...

 :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #2 le: avril 16, 2015, 16:45:32 »
Hyunkel30,

Tout d'abord merci pour ta réponse.

Effectivement mon erreur a été de ne pas avoir fait de sauvegardes ailleurs que sur mon ordinateur.
Je m'accroche tout de même au moindre espoir. Tu dis qu'il n'y a "généralement" aucun moyen de récupérer les données chiffrées. Ce qui veut dire que parfois c'est possible?  :)
Est-ce que ça vaut le coup que j'amène mon ordinateur chez un réparateur ou il ne pourra rien faire de plus?
Je me dis, peut-être à tort, qu'un spécialiste, avec la machine entre les mains, aura plus de possibilités.

Désolé d'insister mais je suis un peu désespéré...

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #3 le: avril 16, 2015, 18:59:15 »
Re,

Le problème n'est pas le spécialiste, il sera tout aussi impuissant devant un chiffrement à clé unique.

Déjà il faudrait savoir à quelle variante nous avions à faire, est-ce que les fichiers corrompus comporte une nouvelle extension, de type xxx.doc.encrypted ?
Est-ce que leur nom à été modifié ?
Est-ce que tu as gardé les fichiers de demande de rançon ?

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #4 le: avril 18, 2015, 02:47:00 »
Il n'y a aucune modification visible sur les fichiers. Pas de changement de nom ni d'extension.
Malheureusement je pense avoir effacé tous les fichiers de demande de rançon. A moins que j'en ai oublié mais je ne me souviens plus de leurs noms, je ne saurais pas comment les rechercher.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #5 le: avril 18, 2015, 19:02:37 »
Re,

Peux-tu me fournir via l'adresse mail suivante des copies de quelques un des fichiers corrompus s'il te plait ? En priorité des image ou des documents textes

hyunkel30 [ a ] security-x.fr (modifie [ a ] par @ et attache le tout )

 :AAN

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #6 le: avril 20, 2015, 20:02:58 »
Re,

On voit effectivement sur le fichier image l'absence de l'entête Exif, et des données qui semblent clairement entièrement chiffrées.
Les fichiers ne sont donc pas corrompus, mais bien chiffrés

Est-ce que tu aurais une copie "saine"/"intacte" d'une des images/fichiers chiffré pour faire des comparaisons et tester certains outils ?

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #7 le: avril 21, 2015, 18:13:57 »
Le virus vient de frapper de nouveau. Je pensais pourtant m'en être débarrassé... Dans chaque dossier de mon ordinateur  je retrouve les 4 fichiers du virus qui m'indique comment débloquer mes documents.

Voici une impression d'écran de l'un d'eux : http://zupimages.net/viewer.php?id=15/17/md0f.jpg

Que dois-je faire?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #8 le: avril 21, 2015, 20:26:48 »
Re,

Tu n'aurais pas ré-ouvert un mail avec une pièce jointe suspecte ?

Bon, ben là c'est plus rapide et clair : ransomware Cryptowall 3.0
Donc je le dis aussi clairement : à l'heure actuelle il est impossible de récupérer des documents chiffré par ce ransomware pour un particulier (le travail demanderait une puissance de calcul énorme)

Deux petites chances ...
- Cette variante créer une copie des fichiers avant de la chiffrer, puis de la supprimer, donc certains programmes de récupération peuvent fonctionner, si tant est que le disque n'ai pas été trop utilisé ... Tel PhotoRec : http://www.cgsecurity.org/wiki/PhotoRec_FR
- Utiliser l'option "Version précédente" si la restauration système n'a pas été "nettoyée" par la variante (ce qu'elle fait, mais parfois n'y arrive pas), attention, cela ne fonctionne pas pour tous les fichiers, car la restauration ne garde pas des copies des fichiers personnels

On peu aussi voir dans un premier temps pour supprimer l'infection.

 :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #9 le: avril 22, 2015, 18:33:11 »
Je ne crois pas... En revanche, Malwarebytes m'indique régulièrement un message de méfiance à propos de BitTorrent. Peut-être que ça vient de là. Le virus est apparu peu de temps après un téléchargement.

Alors j'ai utilisé le logiciel PhotoRec pour l'un de mes deux disques durs. J'ai récupéré une poignée de fichiers que j'avais sûrement effacé par le passé. Le reste c'est beaucoup de fichiers txt illisibles, sûrement associés à des logiciels. Pas de données perso quoi.
Je vais essayer sur le deuxième disque et je te tiens au courant. Sachant que la première analyse a duré 15h, ce sera pour demain.

Pour ton deuxième points, je ne comprends pas ce que tu veux dire par "Utiliser l'option Version précédente". Tu parles de restauration système, est-ce que je dois en faire une?


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #10 le: avril 22, 2015, 19:54:21 »
Re,

Oui le P2P illégal est un autre vecteur d'infection ...

Citer
Pour ton deuxième points, je ne comprends pas ce que tu veux dire par "Utiliser l'option Version précédente". Tu parles de restauration système, est-ce que je dois en faire une?

Alors oui, c'est lié, mais non, faut pas en "faire" une, faut utiliser ceci :
http://windows.microsoft.com/fr-fr/windows/previous-versions-files-faq#1TC=windows-7

=> Comment consulter ou restaurer les versions précédentes d’un fichier ou d’un dossier ?


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #11 le: avril 23, 2015, 03:49:14 »
J'ai suivi ton lien puis les instructions. Seulement, le bouton "Versions précédentes" est introuvable, ce qui signifie selon le site que la restauration est impossible...
Je vais voir ce que je peux récupérer avec PhotoRec. Il semblerait donc que ce soit ma seule option.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #12 le: avril 23, 2015, 15:13:05 »
Re,

Oui, et je pense qu'il faudrait aussi faire une analyse complète de ton système avant de récupérer des fichiers, car l'infection est probablement encore présente ...
Donc lorsque tu le pourras, à faire :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton  Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #13 le: avril 23, 2015, 19:29:32 »
Impossible de télécharger le fichier exe de Farbar Recovery Scann Tool.
J'ai essayé sur Chrome, Mozzila et IE. A chaque fois j'ai un message d'erreur : "Echec - Erreur lors du téléchargement" (Chrome), "Vous devez disposer d'une autorisation pour effectuer cette action" (IE).
A sa voir que je n'ai jamais eu de problème de la sorte et que je suis administrateur du pc, seul utilisateur.

Y a-t-il une une manip à faire?

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #14 le: avril 23, 2015, 19:36:14 »
En fait j'ai réussi en passant par un autre site. Je suis tes instructions et t'envoie les rapports dès que c'est fait.

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #16 le: avril 23, 2015, 21:06:15 »
 ;D Joli système pas du tout à jour ...

Une raison pour que ce Vista ne soit pas sous service pack 2 ?
Qu'internet Explorer ne soit pas en version 9 ?


Un système à jour c'est déjà une première barrière contre les failles de sécurité utilisées par la plupart des infections ...

Puis, on peut parler des crack/keygen comme vecteur, faut pas s'étonner ...
Je ne prendrais en charge le nettoyage que si tu désinstalles l'ensemble des logiciels activés illégalement, et après suppression de tous les cracks/keygen.

Et c'est quoi cette version de FRST ?
Je t'ai donné un lien pour la téléchargée dans mon précédent message, d'où est-ce que tu l'as prise toi ?

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #17 le: avril 23, 2015, 21:27:02 »
Dans l'ordre,

Je ne sais pas ce qu'est le service pack 2. J'ai fait les mise à jours demandées depuis l'achat de l'ordinateur il y a plusieurs années.
Je n'utilise quasiment jamais Internet Explorer, je suis sur Chrome.
Que faut-il que je fasse à ce niveau là?

Concernant les logiciels activés illégalement, je suis en train de les désinstaller et de supprimer les cracks/keygens. J'ai voulu faire dans la facilité, ça me servira de leçon...

Comme je le dis dans un précédent message, je n'ai pas réussi à télécharger FRST avec ton lien, je suis donc passé par ce site : http://farbar-recovery-scan-tool.findmysoft.com/

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #18 le: avril 24, 2015, 00:47:24 »
Voilà, je pense avoir désinstallé/effacé tous les logiciels/cracks illégaux.
Je te joins les nouveaux rapports :

Addition : http://up.security-x.fr/file.php?h=Rc6950f228a0ebb191a25733c16293d8d

FRST : http://up.security-x.fr/file.php?h=R9a04048ad10306652ca03f81b27e5788

En espérant ne rien avoir oublié.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #19 le: avril 24, 2015, 14:52:58 »
Re,

C'est un faux-site là où tu as pris FRST, donc tu as probablement infecté un peu plus ton système avec cette version non légale (et non à jour) de FRST ...
Je n'avais pas vu tes premières réponses, dans ces cas là, attends que je vienne te répondre avant de faire toi-même une procédure sur le pc pris en charge.

Citer
Je ne sais pas ce qu'est le service pack 2. J'ai fait les mise à jours demandées depuis l'achat de l'ordinateur il y a plusieurs années.
Je n'utilise quasiment jamais Internet Explorer, je suis sur Chrome.
Que faut-il que je fasse à ce niveau là?

On mettra le système et IE à jour en fin de procédure.



On va retenter la téléchargement de FRST en version à jour et non détournée, au besoin, à faire depuis un autre pc connecté, et copie sur ce PC via clé USB :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Coche l'option Addition.txt en bas de la fenêtre.
  • Clique sur le bouton  Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #20 le: avril 24, 2015, 17:54:00 »
J'ai donc téléchargé FRST sur un autre PC puis copié sur mon bureau via clé USB.

Voici les deux rapports générés :

Addition : http://up.security-x.fr/file.php?h=R4777009230ffcaa4d142c6d5de14aa7e

FRST : http://up.security-x.fr/file.php?h=R3c06eae2b889baae1e00c6d348f649eb

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #21 le: avril 24, 2015, 19:55:00 »
Re,

Ok, à suivre :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 6 (version obsolète et vulnérable, tu possèdes une plus récente)
- MessengerChatLand (généralement installé sans consentement en sponsors)
- RAR Password Cracker 4.12 (lié à l'utilisation de crack ou illégal)
- SpyHunter 4 (inutile, généralement lié à des faux blog de sécurité)

- avant.exe (faux lanceur)
- chrome.exe (idem)
- Conduit Engine (adware)
- DAEMON Tools Toolbar (barre d'outil liée à un adware)
- Download & Install Packages (package d'installation contenant des adwares)
- dragon.exe (faux lanceur)
- epic.exe (idem)
- explorer.exe (idem)
- firef.exe (idem)
- firefox.exe (idem)
- iexplore.exe (idem)
- iron.exe (idem)
- lsass.exe (idem)
- maxthon.exe (idem)
- mozilla.exe (idem)
- msimn.exe (idem)
- msmsgs.exe (idem)
- myie.exe (idem)
- navigator.exe (idem)
- opera.exe (idem)
- outlook.exe (idem)
- PageshotsPro 1.0.0 (adware)
- seamonkey.exe (faux lanceur)
- thebat.exe (idem)
- thunderbird.exe (idem)




  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: {0875614D-71F8-4C92-97A0-9B7607A10B8B} - \MySearchDial No Task File <==== ATTENTION
Task: {78C53804-5C1A-4A44-B518-8C9D57779E63} - System32\Tasks\{A12C5BDE-5E0C-4C43-BE89-646547B39296} => pcalua.exe -a "E:\Thomas\Download\Adobe Illustrator CS4\Activation &amp; Instructions\Windows Cleanup (run as admin).exe" -d "E:\Thomas\Download\Adobe Illustrator CS4\Activation &amp; Instructions"
AlternateDataStreams: C:\ProgramData\TEMP:538DC028
AlternateDataStreams: C:\ProgramData\TEMP:77248999
AlternateDataStreams: C:\ProgramData\TEMP:C94DB16A
HKU\S-1-5-21-32816512-3389579523-4133230911-1000\...\Run: [Chat-Landmessenger] => C:\Users\Thomas\chat-land\Chat-Landmessenger.exe
HKU\S-1-5-21-32816512-3389579523-4133230911-1000\...\Run: [YRPack] => regsvr32.exe C:\Users\Thomas\AppData\Local\YRPack\New.dll <===== ATTENTION
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\datamngr.dll => c:\progra~1\wi9130~1\datamngr\datamngr.dll File Not Found
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\iebho.dll => c:\progra~1\wi9130~1\datamngr\iebho.dll File Not Found
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> DefaultScope {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL =
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=f8pLEOtxnSKbXh_BKRLCHVwxpTc?q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll [2010-03-25] ()
Toolbar: HKLM - No Name - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} - No File
Toolbar: HKLM - No Name - {a65e491f-a436-4952-b49a-b24ed99a0f67} - No File
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll [2010-03-25] ()
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> No Name - {D0B1518E-3E45-4D16-A23B-4D90EF938E44} - No File
FF user.js: detected! => C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\user.js [2015-04-22]
Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\daemon-search.xml [2010-11-11]
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\SearchResults.xml [2011-08-05]
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\web-search.xml [2010-11-03]
FF Extension: BBrowsee2siaave - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\Extensions\tqmioy4elif@oeiedioiayye.co.uk [2013-03-25]
FF Extension: vShare - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\Extensions\vshare@toolbar [2010-11-03]
FF Extension: Pageshots Pro - C:\Program Files\Mozilla Firefox\extensions\jid0-2rURdEv0oBelly8OSpHSRMwx9OI@jetpack [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2015-04-10]
FF HKLM\...\Firefox\Extensions: [tqmioy4elif@oeiedioiayye.co.uk] - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\extensions\tqmioy4elif@oeiedioiayye.co.uk
S2 WSearch; %systemroot%\system32\SearchIndexer.exe /Embedding [X]
R1 tStLib; C:\Windows\System32\drivers\tStLib.sys [55232 2014-03-24] (StdLib)
U3 avxj4fla; C:\Windows\system32\Drivers\avxj4fla.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero size file/folder)
S2 adfs; No ImagePath
U3 ao7auzf9; No ImagePath
2015-04-21 17:57 - 2015-04-21 17:57 - 00009110 _____ () C:\HELP_DECRYPT.HTML
2015-04-21 17:57 - 2015-04-21 17:57 - 00004746 _____ () C:\HELP_DECRYPT.TXT
2015-04-21 17:57 - 2015-04-21 17:57 - 00000296 _____ () C:\HELP_DECRYPT.URL
2015-04-21 17:56 - 2015-04-21 17:56 - 00009110 _____ () C:\Users\Thomas\HELP_DECRYPT.HTML
2015-04-21 17:56 - 2015-04-21 17:56 - 00009110 _____ () C:\Users\HELP_DECRYPT.HTML
2015-04-21 17:56 - 2015-04-21 17:56 - 00004746 _____ () C:\Users\Thomas\HELP_DECRYPT.TXT
2015-04-21 17:56 - 2015-04-21 17:56 - 00004746 _____ () C:\Users\HELP_DECRYPT.TXT
2015-04-21 17:56 - 2015-04-21 17:56 - 00000296 _____ () C:\Users\Thomas\HELP_DECRYPT.URL
2015-04-21 17:56 - 2015-04-21 17:56 - 00000296 _____ () C:\Users\HELP_DECRYPT.URL
2015-04-21 17:51 - 2015-04-21 17:51 - 00009110 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.HTML
2015-04-21 17:51 - 2015-04-21 17:51 - 00004746 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.TXT
2015-04-21 17:51 - 2015-04-21 17:51 - 00000296 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.URL
2015-04-21 17:46 - 2015-04-21 17:46 - 00009110 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.HTML
2015-04-21 17:46 - 2015-04-21 17:46 - 00004746 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.TXT
2015-04-21 17:46 - 2015-04-21 17:46 - 00000296 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.URL
2015-04-21 17:14 - 2015-04-21 17:14 - 00009110 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.HTML
2015-04-21 17:14 - 2015-04-21 17:14 - 00009110 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.HTML
2015-04-21 17:14 - 2015-04-21 17:14 - 00004746 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.TXT
2015-04-21 17:14 - 2015-04-21 17:14 - 00004746 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.TXT
2015-04-21 17:14 - 2015-04-21 17:14 - 00000296 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.URL
2015-04-21 17:14 - 2015-04-21 17:14 - 00000296 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.URL
2015-04-21 17:11 - 2015-04-21 17:11 - 00009110 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.HTML
2015-04-21 17:11 - 2015-04-21 17:11 - 00004746 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.TXT
2015-04-21 17:11 - 2015-04-21 17:11 - 00000296 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.URL
2015-04-21 17:09 - 2015-04-21 17:09 - 00009110 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-04-21 17:09 - 2015-04-21 17:09 - 00004746 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-04-21 17:09 - 2015-04-21 17:09 - 00000296 _____ () C:\ProgramData\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\YRPack
c:\progra~1\wi9130~1\datamngr
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #22 le: avril 24, 2015, 21:06:56 »
J'ai réussi à tout désinstaller sauf "Conduit Engine".

Et voici le rapport de correction : http://up.security-x.fr/file.php?h=Rd80f2ecb55f7a52994c9dd4527e50b46
« Modifié: avril 25, 2015, 17:17:12 par Alapapap »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #23 le: avril 25, 2015, 17:49:16 »
Re,

C'est quoi l'erreur pour "Conduit Engine" ?

à faire ensuite :

Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
  • Ferme le programme, valide l'avertissement au besoin.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #24 le: avril 25, 2015, 19:17:26 »
Pour "Conduit Engine", je clique sur "désinstaller/modifier" mais rien ne se passe.

Voici le rapport du scan AdwCleaner : http://up.security-x.fr/file.php?h=R946393599de65562c9caab6e925db788

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #25 le: avril 25, 2015, 19:22:53 »
Re,

ok à suivre :

Relance Adwcleaner :

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici




    Normalement Conduit Engie devrait avoir disparu de ta liste des programmes, confirme-moi cela

    On en aura fini avec le nettoyage.

     :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #26 le: avril 25, 2015, 19:47:49 »
Rapport de nettoyage : http://up.security-x.fr/file.php?h=Rbf73df972b80451b7e0165d079d35182

Effectivement, Conduit Engine a bien disparu de la liste des programmes :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #27 le: avril 25, 2015, 21:30:03 »
Re,

Ok, dis-moi si, à part les fichiers chiffré donc, tu rencontres encore des soucis ou pas sur ce système.

 :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #28 le: avril 25, 2015, 22:14:58 »
Il me semble que mon pc est plus réactif et plus rapide depuis le nettoyage, c'est très appréciable !
Autrement, je n'ai pas d'autre soucis.

Maintenant est-ce que je peux relancer PhotoRec pour essayer de récupérer des fichiers?

Si oui, laquelle des deux lignes je dois sélectionner à cette étape là :

Hors ligne xsun

  • Formateur
  • Mega Power Members
  • ****
  • Messages: 3214
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #29 le: avril 26, 2015, 07:43:04 »
bonjour

je me permet ce petit passage

choisis Other FAT/NTFS/....

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #30 le: avril 26, 2015, 09:16:33 »
Merci xsun !

Et évidemment un très grand merci à toi hyunkel30 pour ton aide, ta disponibilité, tes conseils, la précision de tes messages...
C'est génial de pouvoir être pris en charge comme ça aussi rapidement.
Même si je ne retrouverai sans doute jamais la majorité de mes fichiers, grâce à toi je suis débarrassé du virus et je ne commettrai plus les mêmes erreurs dans le futur.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #31 le: avril 26, 2015, 14:56:23 »
Re,

Nous n'en avons pas encore finis, je te laisse tenter la récupération des fichiers, mais ensuite, nous avons encore ton système et des logiciels à mettre à jour, puis nettoyer les outils utilisés, et conclure avec des conseils de prévention ;)

Donc dès que c'est ok pour ta récupération, viens me le dire, on entamera cette fin de procédure.

 :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #32 le: avril 26, 2015, 20:01:48 »
J'ai juste une question avant de lancer la récupération.
Y'a-t-il un moyen de supprimer en une fois tous les fichiers que le virus a créé? Ils se nomment tous "HELP_DECRYPT" et il y a quatre extensions différentes : .png, .html, .txt, .url

Merci !  :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #33 le: avril 26, 2015, 21:11:17 »
Re,

J'en ai supprimé pas mal déjà, tu en vois dans tes dossiers "personnels" ?

Si oui, à faire :

Télécharge SystemLook (de jpshortstuff) sur ton Bureau.


  • Double-clique sur SystemLook.exe pour le lancer.
  • Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  • Copie-colle l''intégralité de ce qui suit dans la fenêtre de saisie de l'outil :
:filefind
HELP_DECRYPT

  • Clique sur le bouton Look pour démarrer l'analyse. (cela peut durer quelques minutes)
  • Lorsque celle-ci est terminée, une fenêtre du Bloc-notes va s'ouvrir avec les résultats du diagnostique. Poste s'il te plaît ce rapport dans ta prochaine réponse.
Note : Le rapport peut être trouvé sur ton Bureau, intitulé SystemLook.txt.



Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #34 le: avril 26, 2015, 21:26:33 »
Oui j'ai vu qu'une bonne partie des fichiers avait été supprimée mais il en reste quand même beaucoup.

Voilà le rapport de SystemLook : http://up.security-x.fr/file.php?h=R973c6ea3a3ff1deadaa01946e56d4707

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #35 le: avril 27, 2015, 08:33:29 »
Re,

Ou est-ce que tu les vois, sur ton disque dur principal ou autre part ?
L'outil n'en détecte pas.

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #36 le: avril 27, 2015, 19:35:58 »
J'en vois un peu partout, surtout sur le disque dur principal, dans tous les dossiers et sous-dossiers.

Au pire je peux les effacer manuellement, c'était juste pour savoir s'il n'y avait pas une manière plus rapide et efficace.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #37 le: avril 27, 2015, 19:48:16 »
Re,

C'est étrange que je ne les vois pas, pour tester :

Relance FRST :

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT
  • Clique sur le bouton  Search File(s).
  • L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #38 le: avril 27, 2015, 20:08:45 »
J'ai l'impression qu'il n'a rien trouvé de plus : http://up.security-x.fr/file.php?h=Rc7912ae4ced5726c47276fd9d994bd62

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #39 le: avril 27, 2015, 20:12:18 »
Pourtant, quand je fais une recherche dans "Ordinateur", j'ai toute une liste de fichiers :


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #40 le: avril 27, 2015, 21:09:16 »
Re,

Oui, c'est étrange ça, pour voir :

Relance FRST :

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT.txt
  • Clique sur le bouton  Search File(s).
  • L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #42 le: avril 28, 2015, 16:39:47 »
Re,

Ok, c'est ma faute je pensais pas qu'il fallait mettre l'extension, bon ben ménage alors, mais faudra une nouvelle recherche ensuite :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.TXT
C:\ProgramData\Sony\HELP_DECRYPT.TXT
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.TXT
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.TXT
C:\$RECYCLE.BIN\HELP_DECRYPT.TXT
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.PNG
C:\ProgramData\Sony\HELP_DECRYPT.PNG
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.PNG
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.PNG
C:\$RECYCLE.BIN\HELP_DECRYPT.PNG
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.HTML
C:\ProgramData\Sony\HELP_DECRYPT.HTML
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.HTML
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.HTML
C:\$RECYCLE.BIN\HELP_DECRYPT.HTML
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.URL
C:\ProgramData\Sony\HELP_DECRYPT.URL
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.URL
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.URL
C:\$RECYCLE.BIN\HELP_DECRYPT.URL
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.URL
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



Relance FRST :

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT.*
  • Clique sur le bouton  Search File(s).
  • L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.


Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #43 le: avril 29, 2015, 08:12:04 »
Entre temps j'avais effacé manuellement les fichiers dans mes dossiers.

Rapport de correction Fixlog : http://up.security-x.fr/file.php?h=Rd3d08fd7f6072c01e3866cbb99447e4e

Rapport Search : http://up.security-x.fr/file.php?h=Rca4d7682922d94546a1c7e6cee5959e1

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #44 le: avril 29, 2015, 08:20:36 »
Re,

Ok, j'en ai supprimé quelque uns de plus ;)

Reste celui-ci (les autres sont dans la quarantaine qu'on nettoiera après ;) )

C:\ProgramData\HELP_DECRYPT.PNG

Tu peux le supprimer manuellement ?

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #45 le: avril 29, 2015, 09:58:56 »
Oui c'est fait !

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #46 le: avril 29, 2015, 11:20:52 »
Re,

OK, où en es-tu de la récupération des fichiers ?
Dès que c'est ok, nous lancerons le nettoyage des outils et les mises à jours et conseils de prévention.

 :AAN

Hors ligne Alapapap

  • Membres
  • Members
  • *
  • Messages: 30
Re : Fichiers corrompus ou endommagés suite à un virus.
« Réponse #47 le: avril 29, 2015, 14:07:10 »
Je vais relancer la récupération. Je te tiens au courant.

Merci encore !  :)