Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Alapapap le avril 14, 2015, 20:38:55
-
Bonjour à tous,
Il y a deux jours, un virus est apparu sur mon ordinateur portable (Windows Vista). Dans chaque dossier se trouvaient 4 fichiers (1 .txt, 1 .docx, 1. jpeg) dans lesquelles une rançon était demandée sans quoi les fichiers de mon ordinateur seraient supprimés. Bien sûr je n'ai pas payé, j'ai téléchargé Malwarebytes afin de faire un scan et effacer les menaces. Seulement depuis, je ne peux plus ouvrir aucun fichier, aussi bien les photos, que les vidéos, les documents word, excel, ppt,... A chaque fois des messages d'erreur tels que : "Impossible d'ouvrir le fichier" "Le fichier est corrompu ou endommagé".
Parmi tous ces documents, il y en a de très importants...
J'ai vu sur le forum d'autres sujets similaires mais personnalisés (http://forum.security-x.fr/desinfections/fichiers-corrompus-suite-virus/), c'est pourquoi je crée ce topic.
Pouvez-vous m'aider?
Merci d'avance !
-
Bonjour Alapapap,
Bienvenue sur Security-X,
Malheureusement, tu as été victime d'un ransomware crypteur, une infection qui "prend en otage" les données, en les chiffrant à l'aide d'une clé unique.
Il n'y a donc généralement aucun moyen de récupérer les données qui ont été chiffrées.
C'est une des raison pour laquelle nous incitons toujours à faire des sauvegardes sur supports externes ...
:AAN
-
Hyunkel30,
Tout d'abord merci pour ta réponse.
Effectivement mon erreur a été de ne pas avoir fait de sauvegardes ailleurs que sur mon ordinateur.
Je m'accroche tout de même au moindre espoir. Tu dis qu'il n'y a "généralement" aucun moyen de récupérer les données chiffrées. Ce qui veut dire que parfois c'est possible? :)
Est-ce que ça vaut le coup que j'amène mon ordinateur chez un réparateur ou il ne pourra rien faire de plus?
Je me dis, peut-être à tort, qu'un spécialiste, avec la machine entre les mains, aura plus de possibilités.
Désolé d'insister mais je suis un peu désespéré...
-
Re,
Le problème n'est pas le spécialiste, il sera tout aussi impuissant devant un chiffrement à clé unique.
Déjà il faudrait savoir à quelle variante nous avions à faire, est-ce que les fichiers corrompus comporte une nouvelle extension, de type xxx.doc.encrypted ?
Est-ce que leur nom à été modifié ?
Est-ce que tu as gardé les fichiers de demande de rançon ?
-
Il n'y a aucune modification visible sur les fichiers. Pas de changement de nom ni d'extension.
Malheureusement je pense avoir effacé tous les fichiers de demande de rançon. A moins que j'en ai oublié mais je ne me souviens plus de leurs noms, je ne saurais pas comment les rechercher.
-
Re,
Peux-tu me fournir via l'adresse mail suivante des copies de quelques un des fichiers corrompus s'il te plait ? En priorité des image ou des documents textes
hyunkel30 [ a ] security-x.fr (modifie [ a ] par @ et attache le tout )
:AAN
-
Re,
On voit effectivement sur le fichier image l'absence de l'entête Exif, et des données qui semblent clairement entièrement chiffrées.
Les fichiers ne sont donc pas corrompus, mais bien chiffrés
Est-ce que tu aurais une copie "saine"/"intacte" d'une des images/fichiers chiffré pour faire des comparaisons et tester certains outils ?
-
Le virus vient de frapper de nouveau. Je pensais pourtant m'en être débarrassé... Dans chaque dossier de mon ordinateur je retrouve les 4 fichiers du virus qui m'indique comment débloquer mes documents.
Voici une impression d'écran de l'un d'eux : http://zupimages.net/viewer.php?id=15/17/md0f.jpg (http://zupimages.net/viewer.php?id=15/17/md0f.jpg)
Que dois-je faire?
-
Re,
Tu n'aurais pas ré-ouvert un mail avec une pièce jointe suspecte ?
Bon, ben là c'est plus rapide et clair : ransomware Cryptowall 3.0
Donc je le dis aussi clairement : à l'heure actuelle il est impossible de récupérer des documents chiffré par ce ransomware pour un particulier (le travail demanderait une puissance de calcul énorme)
Deux petites chances ...
- Cette variante créer une copie des fichiers avant de la chiffrer, puis de la supprimer, donc certains programmes de récupération peuvent fonctionner, si tant est que le disque n'ai pas été trop utilisé ... Tel PhotoRec : http://www.cgsecurity.org/wiki/PhotoRec_FR
- Utiliser l'option "Version précédente" si la restauration système n'a pas été "nettoyée" par la variante (ce qu'elle fait, mais parfois n'y arrive pas), attention, cela ne fonctionne pas pour tous les fichiers, car la restauration ne garde pas des copies des fichiers personnels
On peu aussi voir dans un premier temps pour supprimer l'infection.
:AAN
-
Je ne crois pas... En revanche, Malwarebytes m'indique régulièrement un message de méfiance à propos de BitTorrent. Peut-être que ça vient de là. Le virus est apparu peu de temps après un téléchargement.
Alors j'ai utilisé le logiciel PhotoRec pour l'un de mes deux disques durs. J'ai récupéré une poignée de fichiers que j'avais sûrement effacé par le passé. Le reste c'est beaucoup de fichiers txt illisibles, sûrement associés à des logiciels. Pas de données perso quoi.
Je vais essayer sur le deuxième disque et je te tiens au courant. Sachant que la première analyse a duré 15h, ce sera pour demain.
Pour ton deuxième points, je ne comprends pas ce que tu veux dire par "Utiliser l'option Version précédente". Tu parles de restauration système, est-ce que je dois en faire une?
-
Re,
Oui le P2P illégal est un autre vecteur d'infection ...
Pour ton deuxième points, je ne comprends pas ce que tu veux dire par "Utiliser l'option Version précédente". Tu parles de restauration système, est-ce que je dois en faire une?
Alors oui, c'est lié, mais non, faut pas en "faire" une, faut utiliser ceci :
http://windows.microsoft.com/fr-fr/windows/previous-versions-files-faq#1TC=windows-7
=> Comment consulter ou restaurer les versions précédentes d’un fichier ou d’un dossier ?
-
J'ai suivi ton lien puis les instructions. Seulement, le bouton "Versions précédentes" est introuvable, ce qui signifie selon le site que la restauration est impossible...
Je vais voir ce que je peux récupérer avec PhotoRec. Il semblerait donc que ce soit ma seule option.
-
Re,
Oui, et je pense qu'il faudrait aussi faire une analyse complète de ton système avant de récupérer des fichiers, car l'infection est probablement encore présente ...
Donc lorsque tu le pourras, à faire :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Impossible de télécharger le fichier exe de Farbar Recovery Scann Tool.
J'ai essayé sur Chrome, Mozzila et IE. A chaque fois j'ai un message d'erreur : "Echec - Erreur lors du téléchargement" (Chrome), "Vous devez disposer d'une autorisation pour effectuer cette action" (IE).
A sa voir que je n'ai jamais eu de problème de la sorte et que je suis administrateur du pc, seul utilisateur.
Y a-t-il une une manip à faire?
-
En fait j'ai réussi en passant par un autre site. Je suis tes instructions et t'envoie les rapports dès que c'est fait.
-
Voici les deux rapports générés :
Addition : http://up.security-x.fr/file.php?h=R04480cc41f32cb8dc5efe200a40d1eff
FRST : http://up.security-x.fr/file.php?h=R7c02865fee869df24cb7f3732b603c2c
-
;D Joli système pas du tout à jour ...
Une raison pour que ce Vista ne soit pas sous service pack 2 ?
Qu'internet Explorer ne soit pas en version 9 ?
Un système à jour c'est déjà une première barrière contre les failles de sécurité utilisées par la plupart des infections ...
Puis, on peut parler des crack/keygen comme vecteur, faut pas s'étonner ...
Je ne prendrais en charge le nettoyage que si tu désinstalles l'ensemble des logiciels activés illégalement, et après suppression de tous les cracks/keygen.
Et c'est quoi cette version de FRST ?
Je t'ai donné un lien pour la téléchargée dans mon précédent message, d'où est-ce que tu l'as prise toi ?
-
Dans l'ordre,
Je ne sais pas ce qu'est le service pack 2. J'ai fait les mise à jours demandées depuis l'achat de l'ordinateur il y a plusieurs années.
Je n'utilise quasiment jamais Internet Explorer, je suis sur Chrome.
Que faut-il que je fasse à ce niveau là?
Concernant les logiciels activés illégalement, je suis en train de les désinstaller et de supprimer les cracks/keygens. J'ai voulu faire dans la facilité, ça me servira de leçon...
Comme je le dis dans un précédent message, je n'ai pas réussi à télécharger FRST avec ton lien, je suis donc passé par ce site : http://farbar-recovery-scan-tool.findmysoft.com/
-
Voilà, je pense avoir désinstallé/effacé tous les logiciels/cracks illégaux.
Je te joins les nouveaux rapports :
Addition : http://up.security-x.fr/file.php?h=Rc6950f228a0ebb191a25733c16293d8d
FRST : http://up.security-x.fr/file.php?h=R9a04048ad10306652ca03f81b27e5788
En espérant ne rien avoir oublié.
-
Re,
C'est un faux-site là où tu as pris FRST, donc tu as probablement infecté un peu plus ton système avec cette version non légale (et non à jour) de FRST ...
Je n'avais pas vu tes premières réponses, dans ces cas là, attends que je vienne te répondre avant de faire toi-même une procédure sur le pc pris en charge.
Je ne sais pas ce qu'est le service pack 2. J'ai fait les mise à jours demandées depuis l'achat de l'ordinateur il y a plusieurs années.
Je n'utilise quasiment jamais Internet Explorer, je suis sur Chrome.
Que faut-il que je fasse à ce niveau là?
On mettra le système et IE à jour en fin de procédure.
On va retenter la téléchargement de FRST en version à jour et non détournée, au besoin, à faire depuis un autre pc connecté, et copie sur ce PC via clé USB :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Coche l'option Addition.txt en bas de la fenêtre.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
J'ai donc téléchargé FRST sur un autre PC puis copié sur mon bureau via clé USB.
Voici les deux rapports générés :
Addition : http://up.security-x.fr/file.php?h=R4777009230ffcaa4d142c6d5de14aa7e
FRST : http://up.security-x.fr/file.php?h=R3c06eae2b889baae1e00c6d348f649eb
-
Re,
Ok, à suivre :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Java(TM) 6 Update 6 (version obsolète et vulnérable, tu possèdes une plus récente)
- MessengerChatLand (généralement installé sans consentement en sponsors)
- RAR Password Cracker 4.12 (lié à l'utilisation de crack ou illégal)
- SpyHunter 4 (inutile, généralement lié à des faux blog de sécurité)
- avant.exe (faux lanceur)
- chrome.exe (idem)
- Conduit Engine (adware)
- DAEMON Tools Toolbar (barre d'outil liée à un adware)
- Download & Install Packages (package d'installation contenant des adwares)
- dragon.exe (faux lanceur)
- epic.exe (idem)
- explorer.exe (idem)
- firef.exe (idem)
- firefox.exe (idem)
- iexplore.exe (idem)
- iron.exe (idem)
- lsass.exe (idem)
- maxthon.exe (idem)
- mozilla.exe (idem)
- msimn.exe (idem)
- msmsgs.exe (idem)
- myie.exe (idem)
- navigator.exe (idem)
- opera.exe (idem)
- outlook.exe (idem)
- PageshotsPro 1.0.0 (adware)
- seamonkey.exe (faux lanceur)
- thebat.exe (idem)
- thunderbird.exe (idem)
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CloseProcesses:
EmptyTemp:
CreateRestorePoint:
Task: {0875614D-71F8-4C92-97A0-9B7607A10B8B} - \MySearchDial No Task File <==== ATTENTION
Task: {78C53804-5C1A-4A44-B518-8C9D57779E63} - System32\Tasks\{A12C5BDE-5E0C-4C43-BE89-646547B39296} => pcalua.exe -a "E:\Thomas\Download\Adobe Illustrator CS4\Activation & Instructions\Windows Cleanup (run as admin).exe" -d "E:\Thomas\Download\Adobe Illustrator CS4\Activation & Instructions"
AlternateDataStreams: C:\ProgramData\TEMP:538DC028
AlternateDataStreams: C:\ProgramData\TEMP:77248999
AlternateDataStreams: C:\ProgramData\TEMP:C94DB16A
HKU\S-1-5-21-32816512-3389579523-4133230911-1000\...\Run: [Chat-Landmessenger] => C:\Users\Thomas\chat-land\Chat-Landmessenger.exe
HKU\S-1-5-21-32816512-3389579523-4133230911-1000\...\Run: [YRPack] => regsvr32.exe C:\Users\Thomas\AppData\Local\YRPack\New.dll <===== ATTENTION
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\datamngr.dll => c:\progra~1\wi9130~1\datamngr\datamngr.dll File Not Found
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\iebho.dll => c:\progra~1\wi9130~1\datamngr\iebho.dll File Not Found
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> DefaultScope {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL =
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=f8pLEOtxnSKbXh_BKRLCHVwxpTc?q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
BHO: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll [2010-03-25] ()
Toolbar: HKLM - No Name - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} - No File
Toolbar: HKLM - No Name - {a65e491f-a436-4952-b49a-b24ed99a0f67} - No File
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll [2010-03-25] ()
Toolbar: HKU\S-1-5-21-32816512-3389579523-4133230911-1000 -> No Name - {D0B1518E-3E45-4D16-A23B-4D90EF938E44} - No File
FF user.js: detected! => C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\user.js [2015-04-22]
Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\daemon-search.xml [2010-11-11]
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\SearchResults.xml [2011-08-05]
FF SearchPlugin: C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\searchplugins\web-search.xml [2010-11-03]
FF Extension: BBrowsee2siaave - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\Extensions\tqmioy4elif@oeiedioiayye.co.uk [2013-03-25]
FF Extension: vShare - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\Extensions\vshare@toolbar [2010-11-03]
FF Extension: Pageshots Pro - C:\Program Files\Mozilla Firefox\extensions\jid0-2rURdEv0oBelly8OSpHSRMwx9OI@jetpack [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2015-04-10]
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2015-04-10]
FF HKLM\...\Firefox\Extensions: [tqmioy4elif@oeiedioiayye.co.uk] - C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\extensions\tqmioy4elif@oeiedioiayye.co.uk
S2 WSearch; %systemroot%\system32\SearchIndexer.exe /Embedding [X]
R1 tStLib; C:\Windows\System32\drivers\tStLib.sys [55232 2014-03-24] (StdLib)
U3 avxj4fla; C:\Windows\system32\Drivers\avxj4fla.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero size file/folder)
S2 adfs; No ImagePath
U3 ao7auzf9; No ImagePath
2015-04-21 17:57 - 2015-04-21 17:57 - 00009110 _____ () C:\HELP_DECRYPT.HTML
2015-04-21 17:57 - 2015-04-21 17:57 - 00004746 _____ () C:\HELP_DECRYPT.TXT
2015-04-21 17:57 - 2015-04-21 17:57 - 00000296 _____ () C:\HELP_DECRYPT.URL
2015-04-21 17:56 - 2015-04-21 17:56 - 00009110 _____ () C:\Users\Thomas\HELP_DECRYPT.HTML
2015-04-21 17:56 - 2015-04-21 17:56 - 00009110 _____ () C:\Users\HELP_DECRYPT.HTML
2015-04-21 17:56 - 2015-04-21 17:56 - 00004746 _____ () C:\Users\Thomas\HELP_DECRYPT.TXT
2015-04-21 17:56 - 2015-04-21 17:56 - 00004746 _____ () C:\Users\HELP_DECRYPT.TXT
2015-04-21 17:56 - 2015-04-21 17:56 - 00000296 _____ () C:\Users\Thomas\HELP_DECRYPT.URL
2015-04-21 17:56 - 2015-04-21 17:56 - 00000296 _____ () C:\Users\HELP_DECRYPT.URL
2015-04-21 17:51 - 2015-04-21 17:51 - 00009110 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.HTML
2015-04-21 17:51 - 2015-04-21 17:51 - 00004746 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.TXT
2015-04-21 17:51 - 2015-04-21 17:51 - 00000296 _____ () C:\Users\Thomas\Downloads\HELP_DECRYPT.URL
2015-04-21 17:46 - 2015-04-21 17:46 - 00009110 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.HTML
2015-04-21 17:46 - 2015-04-21 17:46 - 00004746 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.TXT
2015-04-21 17:46 - 2015-04-21 17:46 - 00000296 _____ () C:\Users\Thomas\Documents\HELP_DECRYPT.URL
2015-04-21 17:14 - 2015-04-21 17:14 - 00009110 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.HTML
2015-04-21 17:14 - 2015-04-21 17:14 - 00009110 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.HTML
2015-04-21 17:14 - 2015-04-21 17:14 - 00004746 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.TXT
2015-04-21 17:14 - 2015-04-21 17:14 - 00004746 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.TXT
2015-04-21 17:14 - 2015-04-21 17:14 - 00000296 _____ () C:\Users\Thomas\AppData\Roaming\HELP_DECRYPT.URL
2015-04-21 17:14 - 2015-04-21 17:14 - 00000296 _____ () C:\Users\Thomas\AppData\HELP_DECRYPT.URL
2015-04-21 17:11 - 2015-04-21 17:11 - 00009110 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.HTML
2015-04-21 17:11 - 2015-04-21 17:11 - 00004746 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.TXT
2015-04-21 17:11 - 2015-04-21 17:11 - 00000296 _____ () C:\Users\Thomas\AppData\Local\HELP_DECRYPT.URL
2015-04-21 17:09 - 2015-04-21 17:09 - 00009110 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-04-21 17:09 - 2015-04-21 17:09 - 00004746 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-04-21 17:09 - 2015-04-21 17:09 - 00000296 _____ () C:\ProgramData\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\YRPack
c:\progra~1\wi9130~1\datamngr
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
-
J'ai réussi à tout désinstaller sauf "Conduit Engine".
Et voici le rapport de correction : http://up.security-x.fr/file.php?h=Rd80f2ecb55f7a52994c9dd4527e50b46
-
Re,
C'est quoi l'erreur pour "Conduit Engine" ?
à faire ensuite :
Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Rapport.
- Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
- Ferme le programme, valide l'avertissement au besoin.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Pour "Conduit Engine", je clique sur "désinstaller/modifier" mais rien ne se passe.
Voici le rapport du scan AdwCleaner : http://up.security-x.fr/file.php?h=R946393599de65562c9caab6e925db788
-
Re,
ok à suivre :
Relance Adwcleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Scanner.
- Attend la fin de la recherche puis clique sur l'option Nettoyer.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Normalement Conduit Engie devrait avoir disparu de ta liste des programmes, confirme-moi cela
On en aura fini avec le nettoyage.
:AAN
-
Rapport de nettoyage : http://up.security-x.fr/file.php?h=Rbf73df972b80451b7e0165d079d35182
Effectivement, Conduit Engine a bien disparu de la liste des programmes :)
-
Re,
Ok, dis-moi si, à part les fichiers chiffré donc, tu rencontres encore des soucis ou pas sur ce système.
:AAN
-
Il me semble que mon pc est plus réactif et plus rapide depuis le nettoyage, c'est très appréciable !
Autrement, je n'ai pas d'autre soucis.
Maintenant est-ce que je peux relancer PhotoRec pour essayer de récupérer des fichiers?
Si oui, laquelle des deux lignes je dois sélectionner à cette étape là :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi.imgur.com%2FCzKZUvk.jpg&hash=4bfadd04783d8970d965720c4bbcad0046ca7b2a) (http://imgur.com/CzKZUvk)
-
bonjour
je me permet ce petit passage
choisis Other FAT/NTFS/....
-
Merci xsun !
Et évidemment un très grand merci à toi hyunkel30 pour ton aide, ta disponibilité, tes conseils, la précision de tes messages...
C'est génial de pouvoir être pris en charge comme ça aussi rapidement.
Même si je ne retrouverai sans doute jamais la majorité de mes fichiers, grâce à toi je suis débarrassé du virus et je ne commettrai plus les mêmes erreurs dans le futur.
-
Re,
Nous n'en avons pas encore finis, je te laisse tenter la récupération des fichiers, mais ensuite, nous avons encore ton système et des logiciels à mettre à jour, puis nettoyer les outils utilisés, et conclure avec des conseils de prévention ;)
Donc dès que c'est ok pour ta récupération, viens me le dire, on entamera cette fin de procédure.
:AAN
-
J'ai juste une question avant de lancer la récupération.
Y'a-t-il un moyen de supprimer en une fois tous les fichiers que le virus a créé? Ils se nomment tous "HELP_DECRYPT" et il y a quatre extensions différentes : .png, .html, .txt, .url
Merci ! :)
-
Re,
J'en ai supprimé pas mal déjà, tu en vois dans tes dossiers "personnels" ?
Si oui, à faire :
Télécharge SystemLook (http://jpshortstuff.247fixes.com/SystemLook.exe) (de jpshortstuff) sur ton Bureau.
- Double-clique sur SystemLook.exe pour le lancer.
- Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
- Copie-colle l''intégralité de ce qui suit dans la fenêtre de saisie de l'outil :
:filefind
HELP_DECRYPT
- Clique sur le bouton Look pour démarrer l'analyse. (cela peut durer quelques minutes)
- Lorsque celle-ci est terminée, une fenêtre du Bloc-notes va s'ouvrir avec les résultats du diagnostique. Poste s'il te plaît ce rapport dans ta prochaine réponse.
Note : Le rapport peut être trouvé sur ton Bureau, intitulé SystemLook.txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Oui j'ai vu qu'une bonne partie des fichiers avait été supprimée mais il en reste quand même beaucoup.
Voilà le rapport de SystemLook : http://up.security-x.fr/file.php?h=R973c6ea3a3ff1deadaa01946e56d4707
-
Re,
Ou est-ce que tu les vois, sur ton disque dur principal ou autre part ?
L'outil n'en détecte pas.
-
J'en vois un peu partout, surtout sur le disque dur principal, dans tous les dossiers et sous-dossiers.
Au pire je peux les effacer manuellement, c'était juste pour savoir s'il n'y avait pas une manière plus rapide et efficace.
-
Re,
C'est étrange que je ne les vois pas, pour tester :
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT
- Clique sur le bouton Search File(s).
- L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
J'ai l'impression qu'il n'a rien trouvé de plus : http://up.security-x.fr/file.php?h=Rc7912ae4ced5726c47276fd9d994bd62
-
Pourtant, quand je fais une recherche dans "Ordinateur", j'ai toute une liste de fichiers :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi.imgur.com%2FJTdEhgu.jpg&hash=b8b03817716e91bee4225db78fa5c8f020e1dd67)
-
Re,
Oui, c'est étrange ça, pour voir :
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT.txt
- Clique sur le bouton Search File(s).
- L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
http://up.security-x.fr/file.php?h=R732c7e71a462b5e4f8326478f12111ca
-
Re,
Ok, c'est ma faute je pensais pas qu'il fallait mettre l'extension, bon ben ménage alors, mais faudra une nouvelle recherche ensuite :
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.TXT
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.TXT
C:\ProgramData\Sony\HELP_DECRYPT.TXT
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.TXT
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.TXT
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.TXT
C:\$RECYCLE.BIN\HELP_DECRYPT.TXT
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.TXT
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.PNG
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.PNG
C:\ProgramData\Sony\HELP_DECRYPT.PNG
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.PNG
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.PNG
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.PNG
C:\$RECYCLE.BIN\HELP_DECRYPT.PNG
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.PNG
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.HTML
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.HTML
C:\ProgramData\Sony\HELP_DECRYPT.HTML
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.HTML
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.HTML
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.HTML
C:\$RECYCLE.BIN\HELP_DECRYPT.HTML
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.HTML
C:\Users\Thomas\Documents\Cours\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Rédaction\Etat de l'Art\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Risque Tsunami\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Mémoires Nice\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Fréquentation et Données GSM\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Estimation Fréquentation\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2014-2015\Mémoire\Bibliographie\Données GSM\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\SIG\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\PPT FRANCK\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\HELP_DECRYPT.URL
C:\Users\Thomas\Documents\Cours\2013-2014\MEMOIRE\Données Orange\BD\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Real\RealPlayer\db\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\zotero\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\z0ozhwgt.default\storage\permanent\moz-safe-about+home\idb\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\Excel\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\Microsoft\Access\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\BitTorrent\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Roaming\BitTorrent\apps\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\SystemCache\6.0\32\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Google Desktop\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Google Desktop\daf3da3b8454\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\HELP_DECRYPT.URL
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\HELP_DECRYPT.URL
C:\ProgramData\Sony\HELP_DECRYPT.URL
C:\ProgramData\Sony\Sony PC Companion\HELP_DECRYPT.URL
C:\ProgramData\Sony\Sony PC Companion\PCCompanionInfo\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\iTunes\HELP_DECRYPT.URL
C:\ProgramData\Apple Computer\iTunes\SC Info\HELP_DECRYPT.URL
C:\$RECYCLE.BIN\HELP_DECRYPT.URL
C:\$RECYCLE.BIN\S-1-5-21-32816512-3389579523-4133230911-1000\HELP_DECRYPT.URL
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- Le pc va demander à redémarrer, accepte.
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Relance FRST :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Tape dans l'encart de recherche en haut de l'outil : HELP_DECRYPT.*
- Clique sur le bouton Search File(s).
- L'outil va créer le rapport nommé Search.txt enregistré dans le même dossier que l'outil.
Poste le rapport généré.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Entre temps j'avais effacé manuellement les fichiers dans mes dossiers.
Rapport de correction Fixlog : http://up.security-x.fr/file.php?h=Rd3d08fd7f6072c01e3866cbb99447e4e
Rapport Search : http://up.security-x.fr/file.php?h=Rca4d7682922d94546a1c7e6cee5959e1
-
Re,
Ok, j'en ai supprimé quelque uns de plus ;)
Reste celui-ci (les autres sont dans la quarantaine qu'on nettoiera après ;) )
C:\ProgramData\HELP_DECRYPT.PNG
Tu peux le supprimer manuellement ?
-
Oui c'est fait !
-
Re,
OK, où en es-tu de la récupération des fichiers ?
Dès que c'est ok, nous lancerons le nettoyage des outils et les mises à jours et conseils de prévention.
:AAN
-
Je vais relancer la récupération. Je te tiens au courant.
Merci encore ! :)