Auteur Sujet: Fichiers corrompus par un virus  (Lu 5616 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Jeremie32

  • Membres
  • Members
  • *
  • Messages: 4
Fichiers corrompus par un virus
« le: mars 15, 2014, 19:12:38 »
Bonjour,

Mon system est sous windows 7, 64 bits.
Il y a 2 jours alors que je téléchargé un film sur le site de torrent411 j'ai été infecté par ceci: Royal Canadian Mounted Police Virus, un ransomware selon mes recherches sur le net. Plus de contrôle sur l'ordi alors j'ai utilisé un point de restauration. Ca a fonctionné et ensuite j'ai utilisé Malwarebytes qui m'a supprimé pas mal de cochonneries. Je pensais que c'était réglé mais je n'avais pas remarqué que plus aucun de mes fichiers (word, excel, pdf, jpg, etc...) ne veut s'ouvrir. Aussi chaque répertoire de mon HD contenaient des fichiers du meme nom: HOWTODECRYPT.

J'ai cherché sur le net et j'ai eu de l'aide d'un autre site qui j'imagine ressemble au votre: commentcamarche.net.
Les logiciels utilisés sont:
zhpdiag, adwcleaner, malwarebytes et zhpfix. Les rapports sont ici:
http://pjjoint.malekal.com/files.php?id=20140315_h5d12n8s5g14
http://pjjoint.malekal.com/files.php?id=20140315_e15e10u11r7n5
http://pjjoint.malekal.com/files.php?id=20140315_k14n15w5s13y10

Pour info voici le rapport de Malwarebytes initial:
http://pjjoint.malekal.com/files.php?id=20140315_g10i9h15t15b6

Ca n'a pas été plus loin, on m'a dit qu'il n'y a pas de solution pour l'instant pour récupérer mes fichiers. J'ai cherché un peu et je suis tombé sur votre site et un sujet qui ressemblais un peu au mien. Ca parlait de récupérer les fichiers si on a au moins 1 back up d'un des fichiers infectés. Alors je me demandais si dans mon cas il y aurait possibilité de récupérer tout ca: il doit malheureusement y avoir au moins 5000 photos, des videos de la naissance de mon fils, etc... Je sauvegarde de temps en temps sur un disque externe mais pas à chaque semaine alors il doity avoir peut-être 6 mois de photos de perdu...

J'apprécierais si quelqu'un aurait la gentillesse de m'aider.

Bonne journée.

Security-X

Fichiers corrompus par un virus
« le: mars 15, 2014, 19:12:38 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus par un virus
« Réponse #1 le: mars 16, 2014, 07:10:33 »
 :AAC Bonjour jeremie32,

Bienvenue sur Security-X,

Effectivement, selon les variantes de ces crypteurs, il existe, ou pas, quelques solutions à tenter.

Par contre avant cela, je préfèrerais faire une vérification du système, pour m'assurer qu'il n'y a aucun reste d'infection.

Donc à faire en premier :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton  Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne Jeremie32

  • Membres
  • Members
  • *
  • Messages: 4
Re : Fichiers corrompus par un virus
« Réponse #2 le: mars 16, 2014, 22:55:18 »
Bonjour Hyunkel30,

Merci de prendre le temps de m'aider. J'apprécie!
Voici les 2 rapports générés:
http://up.security-x.fr/file.php?h=R5d3016e729c959f6dba719fcc472b5bb
http://up.security-x.fr/file.php?h=R12db5d9aa56adf333c28a718ecc09a2e

J'attends de tes nouvelles.
A+

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus par un virus
« Réponse #3 le: mars 17, 2014, 19:37:17 »
Re,

Plusieurs logiciels et plugins ne sont pas à jour sur ce système, c'est une des raisons pour lesquelles tu as été infecté.
On mettra à jour en fin de procédure.

On va nettoyer quelques restes avant de tester le décryptage :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)



/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
Task: {F158B764-9661-4D37-A999-8C100E914D80} - \Desk 365 RunAsStdUser No Task File
Task: {F8A23C7F-23E9-4C64-AD59-B99DD68449CD} - \BackgroundContainer Startup Task No Task File
HKLM-x32\...\Winlogon: [Shell] C:\PROGRA~3\i8ola.bat [ ] () <=== ATTENTION
URLSearchHook: HKCU - (No Name) - {ac955a4e-5a9c-4d20-8751-a7eac17ac342} - No File
SearchScopes: HKCU - DefaultScope {9B846E08-FA34-4819-AA23-29E77B694B12} URL =
SearchScopes: HKCU - {9B846E08-FA34-4819-AA23-29E77B694B12} URL =
Toolbar: HKCU - No Name - {AC955A4E-5A9C-4D20-8751-A7EAC17AC342} - No File
Handler: intu-ir2012 - {79E19CC8-7698-4b41-8474-52FA5B207EBF} - No File
Handler: intu-ir2013 - {B275FD97-299B-40A2-BC39-B96DFA40E50D} - No File
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\mystarttb\chrome-newtab-search.crx [2013-12-04]
C:\Program Files (x86)\mystarttb
2014-03-12 20:57 - 2013-04-16 17:38 - 95023832 ____T () C:\ProgramData\i8ola.pad
C:\ProgramData\i8ola.reg
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne Jeremie32

  • Membres
  • Members
  • *
  • Messages: 4
Re : Fichiers corrompus par un virus
« Réponse #4 le: mars 17, 2014, 23:18:36 »
Bonjour,

Voici le rapport généré:
http://up.security-x.fr/file.php?h=R6a7a3ca08561e2f40bdb546d9d7ef08d

Merci et A+ !!

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus par un virus
« Réponse #5 le: mars 18, 2014, 20:48:30 »
Re,

Ok, pour tester maintenant les fichiers à décrypter.

Prépare un dossier dans lequel tu mettras quelques copies des fichiers crypté
Ces copies doivent toutes être du même type (Jpeg, ou MP3 ou fichier Office, etc ...)

Puis télécharge ceci :
http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

Décompresse le dossier (clic-droit -> extraire tout)
Lance l'outil Anti-CryptorBitV2

Sélectionne le type de fichier crypté que tu as choisis
Indique le dossier avec les copies

Lance la procédure, et patiente.

Va voir dans le dossier : si des fichiers sont toujours présent, teste leur ouverture
Si les copies de fichiers ont disparu, c'est que l'outil ne peut pas les décrypter.

 :AAN

Hors ligne Jeremie32

  • Membres
  • Members
  • *
  • Messages: 4
Re : Fichiers corrompus par un virus
« Réponse #6 le: mars 19, 2014, 01:39:11 »
Bonjour,

Apparemment ca fonctionne bien avec mes .jpg. Je suis en train de les récupérer petit à petit. Par contre, ca ne marche pas avec les pdf. Les fichiers disparaissent. Le principal c'était mes photos alors je suis déjà très content. S'il y a autre chose à essayer pour les pdf je suis preneur.

Merci beaucoup beaucoup!!

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Fichiers corrompus par un virus
« Réponse #7 le: mars 21, 2014, 07:33:33 »
Re ;)

Non, malheureusement pour ce crypteur, c'est le seul outil "fonctionnel" dispo actuellement ...

Teste avec d'autre PDF quand même pour voir, parfois, il faut que l'entête soit d'une certaine taille, donc cela pourrait fonctionner pour certain.

Pour le reste, continu par petit groupe pour éviter les oublis et plantage de l'outil, encore en développement.

 :AAN

Tags: