Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Jeremie32 le mars 15, 2014, 19:12:38
-
Bonjour,
Mon system est sous windows 7, 64 bits.
Il y a 2 jours alors que je téléchargé un film sur le site de torrent411 j'ai été infecté par ceci: Royal Canadian Mounted Police Virus, un ransomware selon mes recherches sur le net. Plus de contrôle sur l'ordi alors j'ai utilisé un point de restauration. Ca a fonctionné et ensuite j'ai utilisé Malwarebytes qui m'a supprimé pas mal de cochonneries. Je pensais que c'était réglé mais je n'avais pas remarqué que plus aucun de mes fichiers (word, excel, pdf, jpg, etc...) ne veut s'ouvrir. Aussi chaque répertoire de mon HD contenaient des fichiers du meme nom: HOWTODECRYPT.
J'ai cherché sur le net et j'ai eu de l'aide d'un autre site qui j'imagine ressemble au votre: commentcamarche.net.
Les logiciels utilisés sont:
zhpdiag, adwcleaner, malwarebytes et zhpfix. Les rapports sont ici:
http://pjjoint.malekal.com/files.php?id=20140315_h5d12n8s5g14
http://pjjoint.malekal.com/files.php?id=20140315_e15e10u11r7n5
http://pjjoint.malekal.com/files.php?id=20140315_k14n15w5s13y10
Pour info voici le rapport de Malwarebytes initial:
http://pjjoint.malekal.com/files.php?id=20140315_g10i9h15t15b6
Ca n'a pas été plus loin, on m'a dit qu'il n'y a pas de solution pour l'instant pour récupérer mes fichiers. J'ai cherché un peu et je suis tombé sur votre site et un sujet qui ressemblais un peu au mien. Ca parlait de récupérer les fichiers si on a au moins 1 back up d'un des fichiers infectés. Alors je me demandais si dans mon cas il y aurait possibilité de récupérer tout ca: il doit malheureusement y avoir au moins 5000 photos, des videos de la naissance de mon fils, etc... Je sauvegarde de temps en temps sur un disque externe mais pas à chaque semaine alors il doity avoir peut-être 6 mois de photos de perdu...
J'apprécierais si quelqu'un aurait la gentillesse de m'aider.
Bonne journée.
-
:AAC Bonjour jeremie32,
Bienvenue sur Security-X,
Effectivement, selon les variantes de ces crypteurs, il existe, ou pas, quelques solutions à tenter.
Par contre avant cela, je préfèrerais faire une vérification du système, pour m'assurer qu'il n'y a aucun reste d'infection.
Donc à faire en premier :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonjour Hyunkel30,
Merci de prendre le temps de m'aider. J'apprécie!
Voici les 2 rapports générés:
http://up.security-x.fr/file.php?h=R5d3016e729c959f6dba719fcc472b5bb
http://up.security-x.fr/file.php?h=R12db5d9aa56adf333c28a718ecc09a2e
J'attends de tes nouvelles.
A+
-
Re,
Plusieurs logiciels et plugins ne sont pas à jour sur ce système, c'est une des raisons pour lesquelles tu as été infecté.
On mettra à jour en fin de procédure.
On va nettoyer quelques restes avant de tester le décryptage :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
Task: {F158B764-9661-4D37-A999-8C100E914D80} - \Desk 365 RunAsStdUser No Task File
Task: {F8A23C7F-23E9-4C64-AD59-B99DD68449CD} - \BackgroundContainer Startup Task No Task File
HKLM-x32\...\Winlogon: [Shell] C:\PROGRA~3\i8ola.bat [ ] () <=== ATTENTION
URLSearchHook: HKCU - (No Name) - {ac955a4e-5a9c-4d20-8751-a7eac17ac342} - No File
SearchScopes: HKCU - DefaultScope {9B846E08-FA34-4819-AA23-29E77B694B12} URL =
SearchScopes: HKCU - {9B846E08-FA34-4819-AA23-29E77B694B12} URL =
Toolbar: HKCU - No Name - {AC955A4E-5A9C-4D20-8751-A7EAC17AC342} - No File
Handler: intu-ir2012 - {79E19CC8-7698-4b41-8474-52FA5B207EBF} - No File
Handler: intu-ir2013 - {B275FD97-299B-40A2-BC39-B96DFA40E50D} - No File
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\mystarttb\chrome-newtab-search.crx [2013-12-04]
C:\Program Files (x86)\mystarttb
2014-03-12 20:57 - 2013-04-16 17:38 - 95023832 ____T () C:\ProgramData\i8ola.pad
C:\ProgramData\i8ola.reg
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
-
Bonjour,
Voici le rapport généré:
http://up.security-x.fr/file.php?h=R6a7a3ca08561e2f40bdb546d9d7ef08d
Merci et A+ !!
-
Re,
Ok, pour tester maintenant les fichiers à décrypter.
Prépare un dossier dans lequel tu mettras quelques copies des fichiers crypté
Ces copies doivent toutes être du même type (Jpeg, ou MP3 ou fichier Office, etc ...)
Puis télécharge ceci :
http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip
Décompresse le dossier (clic-droit -> extraire tout)
Lance l'outil Anti-CryptorBitV2
Sélectionne le type de fichier crypté que tu as choisis
Indique le dossier avec les copies
Lance la procédure, et patiente.
Va voir dans le dossier : si des fichiers sont toujours présent, teste leur ouverture
Si les copies de fichiers ont disparu, c'est que l'outil ne peut pas les décrypter.
:AAN
-
Bonjour,
Apparemment ca fonctionne bien avec mes .jpg. Je suis en train de les récupérer petit à petit. Par contre, ca ne marche pas avec les pdf. Les fichiers disparaissent. Le principal c'était mes photos alors je suis déjà très content. S'il y a autre chose à essayer pour les pdf je suis preneur.
Merci beaucoup beaucoup!!
-
Re ;)
Non, malheureusement pour ce crypteur, c'est le seul outil "fonctionnel" dispo actuellement ...
Teste avec d'autre PDF quand même pour voir, parfois, il faut que l'entête soit d'une certaine taille, donc cela pourrait fonctionner pour certain.
Pour le reste, continu par petit groupe pour éviter les oublis et plantage de l'outil, encore en développement.
:AAN