Security-X
Forum Security-X => Désinfections => Discussion démarrée par: bellamy77 le août 10, 2013, 22:02:20
-
Bonjour à toute et à tous! :AAN
J'ai besoin de votre aide ( et peut être celle de chantal11)
Je vais tenter de vous expliquer les différents problèmes que j'ai récemment rencontré sur mon PC de bureau.
J'ai été victime d'un ransomware qui m'a affiché un fond d'écran bleu avec un cadenas et un texte comme le virus gendarme.
J'ai pu m'en débarrasser après une restauration système mais des problèmes importants subsistent:
1) une grande majorité de mes fichiers ont une icône blanche avec une extension ".crypted" qui empêche totalement leur ouverture
2) j'ai maintenant un fond d'écran noir avec en bas à droite " Windows7 numéro 7600, Cette copie de Windows n'est pas authentique"
Hors cette tour de bureau a bien été acheté en magasin avec Windows fourni directement dessus =/
3) Ma connexion semble plus lente,ma page d'accueil Google France s'affiche mais sans le logo Google ce qui est plutôt louche tandis que lorsque je me connecte à Facebook rien n'apparait sur mon fil d'actualité.
J'ai essayé de me débrouiller en suivant ce lien:
http://malwaretips.com/blogs/remove-trcrypt-xpack-gen/ mais les fichiers .crypted le sont toujours :(.
Ma priorité numéro 1 est bien évidemment de récupérer tout mes fichiers qui ont été cryptés (photos de famillle, travail sur word,excel et pdf) avant de pourquoi pas formater l'ordinateur en dernier recours.
J'espère avoir été le plus clair possible avec vous et j'attends avec impatience votre aide pour remettre de l'ordre dans mon ordinateur.
Merci de m'avoir lu et à très vite!
Bellamy77
-
Bonjour bellamy77,
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
Télécharge Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec votre système : 32 ou 64bits.
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonjour hyunkel30,
Tu trouveras ci dessous les 2 rapports sous les liens suivants:
- Rapport FRST => http://up.security-x.fr/file.php?h=R198409ee1db42b7f6871221306257a10
- Rapport Addition => http://up.security-x.fr/file.php?h=Rf895e70737cd279bfc8572a9b9afb040
-
Re,
Ok, on va vérifier la variante du ransomware pour préparer le décryptage :
Va sur ce site :
http://www.virustotal.com/fr/
Clique sur "Choisir un fichier" puis recherche ce fichier (si présent) :
C:\Windows\system32\vBszKyhV1.exe
Une fois sélectionné, clique sur "Analyser !", l'envoi va commencer.
S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Réanalyser"), et/ou laisse faire l'analyse jusqu'à avoir "Analyse complète" en haut
Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
Fais ensuite de même avec un des fichier marqué .crypted
:AAN
-
Re :),
Je suis aller sur le site virustotal mais lorsque je recherche le fichier que tu m'a demandé ( C:\Windows\system32\vBszKyhV1.exe) ,je ne le trouve pas :( et je ne peux donc pas l'analyser.
Cependant, lorsque je passe par mon poste de travail, je le vois sans problème.
Je ne comprends pas pourquoi il y a 2 "contenus" différents.
Néanmoins, j'ai pu faire une analyse d'un fichier .crypted à l'adresse suivante:
https://www.virustotal.com/fr/file/946733199dacc4b89295409f70ebf5e86c9b53f3f92a4476cf963b1d5d7213f0/analysis/1376265542/
-
Re,
Copie-le depuis son emplacement sur ton bureau, puis retente l'analyse avec cette copie.
Sinon, on fera autrement ;)
-
Bonjour!
Suis je bête:D Je n'avais pas penser à le déplacer sur le bureau..
Voici le résultat de l'analyse (1/45) :
https://www.virustotal.com/fr/file/c7160fa6edb11d3b1fb2d10f02487441b7449b29192be7d8bccbabbde8f1cd28/analysis/1376312533/
-
Re,
Bon tant pis, j'ai pas ce que je voulais, on va donc devoir tester les outils de décryptage.
Utilise cet utilitaire :
http://support.kaspersky.com/fr/viruses/solutions?qid=208280933
Tu télécharges, tu décompresse, puis tu lances l'outil
Dis-moi s'il trouve la clé de décryptage et a remis les fichiers convenablement ou pas
-
Re,
J'ai lancé l'outil XoristDecriptor pour Scanner mon Pc, il m'a d'abord demandé de choisir un fichier .crypted ("Specify the Path to one of encrypted files") puis ça a scanné durant 30 minutes sans rien trouver.
-
Re,
Tu lui a bien spécifié un des fichiers .crypted ?
Pense à lui indiquer un fichier assez "lourd", plus de 1 Mo pour que cela fonctionne.
Je t'avoue cependant que je suis assez perplexe, je m'explique.
Ta variante date de plus de deux ans, c'est anormal de la voir sur un pc aujourd'hui, sauf si c'est une mise à jour de l'ancienne variante.
Si c'est le cas, alors on est dans l'impasse car la clé de décryptage et la méthode de décryptage auront surement changé, et ces outils ne fonctionneront pas. Il faudra attendre un renouvellement des outils.
On pourra toujours soumettre un fichier à des éditeurs anti-virus pour voir ce qu'ils en disent ...
-
Re,
Oui j'ai bien spécifié un fichier .crypted.
Le plus lourd de mes fichiers pesait 177 mo.
J'ai refait un scan mais ça ne m'a toujours rien trouver :'(
-
Re,
Ok, il va me falloir les fichiers pour étude et les envoyer au besoin aux éditeurs pour mettre à jour les outils
Je voudrais donc que tu me rassembles dans un dossier les copies de :
Ces trois fichiers :
C:\Windows\system32\vBszKyhV.bmp
C:\Windows\system32\vBszKyhV1.exe
C:\Windows\system32\vBszKyhV.dll
Plus ces deux fichiers :
C:\Users\Sary\AppData\Roaming\zADan.txt.crypted
C:\Users\Sary\AppData\Roaming\YjfMd.txt.crypted
(si tu ne les vois pas, affiche les fichiers/dossiers cachés : http://www.inforumatique.fr/forum/afficher-les-fichiers-caches-t2984.html )
Et enfin un ou deux fichier .crypted de tes fichiers personnels qui ne soit pas trop "personnels" ;) et d'une taille compris entre 1 et 5 Mo s'il te plait
Tu sélectionnes le tout et fais un clic-droit dessus -> envoyer vers -> dossier compressé
Tu le nommes comme tu veux.
Puis tu héberges le dossiers compressé (.zip) ici et tu m’envoies le lien une fois effectué :
http://dl.free.fr/
:AAN
-
Re,
J'ai suivi la manip en créant un dossier avec les fichiers demandés mais lorsque j'héberge le dossier sur Free, une analyse est faite juste avant l'envoi avec NOD32 Antivirus.
Résultat => Virus détecté, Fichier détruit et banni...
Du coup,je ne sais pas comment t'envoyer mon dossier :-\.
-
Re,
Bah au moins il le détecte lui ;D
Tu peux me l'envoyer en pièce jointe à ce mail si le tout ne dépasse pas 10 Mo :
hyunkel30 [a] security-x.fr
Tu remplaces [a] par @ et tu attaches le tout.
:AAN
-
Re,
Le fichier est parti sur ta boite mail ;)
-
Re,
Ok, c'est reçu.
C'est bien malheureusement une nouvelle variante.
Donc il n'y a pas encore de logiciel ou procédure de décryptage pour tes fichiers.
Je vais commencer à diffuser les échantillon auprès de certains éditeur et voir s'il peuvent mettre à jour leur décrypteur.
Évite d'utiliser le pc infecté si possible, je n'ai pas encore traiter toute l'infection.
:AAN
-
Re,
J'ai choppé un nouveau virus, j'ai pas de bol =/ J'aimerais bien savoir l'origine de ce virus (ou l'ai je attrapé, à cause d'un site ou d'un fichier téléchargé).
Merci pour ton implication, j'espère avoir bientôt de tes news.
-
Re,
Je venais pourtant de te dire d'éviter l'utilisation de ce pc ...
Oui, si c'est du même acabit que celui-ci, oui, ce sont les visites sur les sites de streaming/téléchargement avec des logiciels/système/plugin non à jour.
De toute manière, je ne pense pas qu'on puisse décrypter tes fichiers vu que c'est une nouvelle variante et que ce genre d'infection laisse peu de chance de décrypter.
On va juste nettoyer l'infection déjà :
à refaire :
Relance FRST.exe :
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Coche la case Addition.txt en bas.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- L'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Désolé Hyunkel30, je me suis très mal exprimé.
Lorsque j'ai écrit cela:
"J'ai choppé un nouveau virus, j'ai pas de bol =/ J'aimerais bien savoir l'origine de ce virus (ou l'ai je attrapé, à cause d'un site ou d'un fichier téléchargé).
Merci pour ton implication, j'espère avoir bientôt de tes news"
C'était juste pour rejoindre ce que tu avais dit, c'est à dire nouveau dans le sens "récent" ;D
Non je n'ai rien attrapé de nouveau :)
J'attends patiemment les résultats des éditeurs que tu as contacté.
A très vite!
-
Re,
L'origine sera de toute manière celle que j'ai cité, plugins non à jour (Java, adobe reader, flash player, etc ...), et passage sur des sites de streamings/téléchargements qui ont des malvertising (pub infectées)
On va commencer le nettoyage donc :
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- HijackThis 2.0.2 (inutile ici et obsolète)
- Spybot - Search & Destroy (idem)
- Supreme Savings (adware : sponsor publicitaire)
[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)
/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\zADan.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\YjfMd.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\wtuOy.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\mJmEb.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\lwrtq.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\LhPgt.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\IICuM.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\hFXMN.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\gqtlE.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\Fkzrp.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\dtAdr.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\dnKoB.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\cybDk.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\CxzUe.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\AJADk.txt.crypted
2013-08-09 13:32 - 2013-08-09 13:32 - 03932216 _____ C:\Windows\system32\vBszKyhV.bmp
2013-08-09 13:32 - 2013-08-09 13:32 - 00680448 _____ C:\Windows\system32\vBszKyhV1.exe
2013-08-09 13:31 - 2013-08-09 13:31 - 00004096 _____ C:\Windows\system32\vBszKyhV.dll
2013-08-10 13:15 - 2011-12-05 21:39 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2013-07-31 22:29 - 2013-04-11 02:44 - 00000000 ____D C:\Program Files (x86)\Supreme Savings
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.security-x.fr%2Ffile.php%3Fh%3DR05cf1fa17f5d244a9c65be205bacfeab&hash=b3152d40400f1435eb46d75f6cf70ecc0edb4c0e)
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
-
Re,
Merci pour les explications,
Voici le rapport Fixlog :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-08-2013
Ran by Sary at 2013-08-17 02:28:09 Run:1
Running from C:\Users\Sary\Desktop
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
start
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\zADan.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\YjfMd.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\wtuOy.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\mJmEb.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\lwrtq.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\LhPgt.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\IICuM.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\hFXMN.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\gqtlE.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\Fkzrp.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\dtAdr.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\dnKoB.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\cybDk.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\CxzUe.txt.crypted
2013-08-09 15:04 - 2013-08-09 15:04 - 00000000 _____ C:\Users\Sary\AppData\Roaming\AJADk.txt.crypted
2013-08-09 13:32 - 2013-08-09 13:32 - 03932216 _____ C:\Windows\system32\vBszKyhV.bmp
2013-08-09 13:32 - 2013-08-09 13:32 - 00680448 _____ C:\Windows\system32\vBszKyhV1.exe
2013-08-09 13:31 - 2013-08-09 13:31 - 00004096 _____ C:\Windows\system32\vBszKyhV.dll
2013-08-10 13:15 - 2011-12-05 21:39 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2013-07-31 22:29 - 2013-04-11 02:44 - 00000000 ____D C:\Program Files (x86)\Supreme Savings
end
*****************
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Value deleted successfully.
HKCR\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Key not found.
C:\Users\Sary\AppData\Roaming\zADan.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\YjfMd.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\wtuOy.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\mJmEb.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\lwrtq.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\LhPgt.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\IICuM.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\hFXMN.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\gqtlE.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\Fkzrp.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\dtAdr.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\dnKoB.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\cybDk.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\CxzUe.txt.crypted => Moved successfully.
C:\Users\Sary\AppData\Roaming\AJADk.txt.crypted => Moved successfully.
C:\Windows\system32\vBszKyhV.bmp => Moved successfully.
C:\Windows\system32\vBszKyhV1.exe => Moved successfully.
C:\Windows\system32\vBszKyhV.dll => Moved successfully.
C:\ProgramData\Spybot - Search & Destroy => Moved successfully.
"C:\Program Files (x86)\Supreme Savings" => File/Directory not found.
==== End of Fixlog ====
-
Bonjour,
On va terminer en mettant à jour le système.
Soyons clair, pour le moment il n'existe aucun moyen de récupérer tes documents crypté.
Pour ce qui est des programmes et raccourci, il suffit de les réinstaller/recréer, pour tes documents personnel, malheureusement, pas de solution, et sur ces variantes, sans vouloir être défaitiste, n'espère pas vraiment qu'une solution vois le jour ...
à faire pour les mises à jour :
Mise à jour du système et des logiciels :
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 10 . Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 22
- Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader X (10.1.6)
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
(pense à ne pas accepter les offres comme McAfee security scan ou Chrome)
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
-
Bonjour,
J'ai mis à jour les différents logiciel avec SXCU.
J'ai remarqué que la mention " Windows7 numéro 7600, Cette copie de Windows n'est pas authentique" a disparu.
Donc si j'ai bien compris je peux mettre à la corbeille tout mes fichiers personnels qui ont été cryptés vu qu'il n'y a aucun moyen de les récupérer :'(
Est ce qu'il y a une autre étape à suivre pour protéger mon pc?
-
Re ;)
Comme je l'ai dit, c'est "pour le moment", néanmoins, pour ce type de variante, n'espère pas grand chose, les clés sont souvent générée aléatoirement et si elle n'est pas récupérable dans les fichiers de l'infection, aucun espoir.
Tu peux toujours conserver les fichiers crypté dans un coin en attendant.
Tu n'avais aucune sauvegarde ?
J'ai remarqué que la mention " Windows7 numéro 7600, Cette copie de Windows n'est pas authentique" a disparu.
Ce type d'infection empêche les mises à jour ou certaines vérifications, donc peut créer ce message d'erreur oui, une fois traité, cela disparait.
Pour conclure :
1) Télécharge DelFix (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Ne touche pas aux options cochées
- Coche en plus la case "Purger la restauration système"
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
- Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Ou utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
(PS : si jamais je voyais quelque chose sortir pour cette variante, je te préviendrais pas MP ... )
-
Re :)
Si j'avais quelques sauvegardes mais pas de tout les fichiers.
Voici le rapport DelFix en espérant qu'il n'y ait pas de soucis:
# DelFix v10.4 - Rapport créé le 19/08/2013 à 20:49:24
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Sary - SARY-PC
# Système d'exploitation : Windows 7 Home Premium (64 bits)
~ Suppression des outils de désinfection ...
Supprimé : C:\FRST
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\Users\Sary\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\Trend Micro\Hijackthis
Supprimé : C:\TDSSKiller.2.8.16.0_10.08.2013_03.23.05_log.txt
Supprimé : C:\TDSSKiller.2.8.16.0_10.08.2013_04.12.18_log.txt
Supprimé : C:\Users\Sary\Desktop\Fixlog.txt
Supprimé : C:\Users\Sary\Desktop\FRST64(1).exe
Supprimé : C:\Users\Sary\Desktop\HijackThis.lnk
Supprimé : C:\Users\Sary\Desktop\HijackThis.lnk.crypted
Supprimé : C:\Users\Sary\Desktop\RKreport[0]_D_08102013_033502.txt
Supprimé : C:\Users\Sary\Desktop\RKreport[0]_S_08102013_033451.txt
Supprimé : C:\Users\Sary\Downloads\Addition.txt
Supprimé : C:\Users\Sary\Downloads\adwcleaner.exe
Supprimé : C:\Users\Sary\Downloads\FRST.txt
Supprimé : C:\Users\Sary\Downloads\FRST64(1).exe
Supprimé : C:\Users\Sary\Downloads\FRST64.exe
Supprimé : C:\Users\Sary\Downloads\HJTInstall.exe
Supprimé : C:\Users\Sary\Downloads\rkill.com
Supprimé : C:\Users\Sary\Downloads\RogueKiller(2).exe
Supprimé : C:\Users\Sary\Downloads\RogueKiller-8.6.2.exe
Supprimé : C:\Users\Sary\Downloads\RogueKiller.exe
Supprimé : C:\Users\Sary\Downloads\SXCU.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
~ Purge de la restauration système ...
Supprimé : RP #142 [Point de contrôle planifié | 08/16/2013 21:08:37]
Supprimé : RP #143 [Windows Live Essentials | 08/17/2013 00:04:44]
Supprimé : RP #144 [WLSetup | 08/17/2013 00:05:23]
Supprimé : RP #145 [Avant Modification 2:19 17-08 | 08/17/2013 00:18:32]
Supprimé : RP #146 [Windows Update | 08/18/2013 16:09:22]
Supprimé : RP #147 [Removed Java(TM) 6 Update 22 | 08/18/2013 19:12:24]
Supprimé : RP #148 [Removed Adobe Reader X (10.1.6) - Français. | 08/18/2013 19:14:28]
Supprimé : RP #149 [Installed Java 7 Update 25 | 08/18/2013 19:20:15]
Nouveau point de restauration créé !
########## - EOF - ##########
Merci Hyunkel30 pour le temps que tu as consacré pour tenter de résoudre mon problème
et à bientôt sur Security-X :AAC