Forums Zebulon.fr: Virus codeur Windows - Forums Zebulon.fr

Bonjour,
Mon ordinateur portable est infecté depuis lundi par un malware. La page affichait "virus codeur de Windows... puis me proposait de payer 100€ " la réparation.
Je n'avais plus la main pour faire quoi que ce soit. J'ai re-démarré en mode sans echec puis je l'ai rebooté à une date antérieure ; cela m'a permis de retrouver la possibilité de me connecter sur internet mais la plupart de mes fichiers sont illisibles (icones word, power point, excel, adobe... remplacés par un rectangle blanc, noms de fichiers codés (succession de lettres et chiffres).
Mes vidéos et fichiers audio ne dont pas touchés ; quasiment toutes les photos sont touchées sauf quelques unes intactes...
L'exploration avec malwarebytes et avast ne donne rien.
Un seul fichier word est intact mais quand j'essaye de l'ouvrir, une boite de dialogue microsoft me demandant l'activation de l'installation de microsoft professional 2007 se lance ; quand je clique sur suivant, elle se bloque.
Auriez vous une piste pour m'aider?
Merci !

Bonjour,

La procédure est assez complexe.
Imprimez la pour la suivre attentivement.

Le Trojan-Ransom.Win32.Rector réalise des modifications non autorisées des données sur des ordinateurs-"victimes", ce qui rend le travail avec ces données impossible.
Dès que les données sont prises "en otage" (ont été bloquées), une rançon sera exigée.
Le pirate promet à la victime d'envoyer un programme débloquant les données après avoir reçu la somme annoncée.


Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC.
Un simple double-clic sur un raccourci malicieux réinstalle l’infection.
Tentez d'abord une restauration à une date antérieure.
Dans le cas où Windows est bloqué notamment par des ransomwares.
Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.
Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

Télécharger le programme et le lancer
Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.
Lorsque la clef USB ou le CD est prêt :
Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:
Laissez le Scan s’opérer
A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».
Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.


D'abord Eset on line puis Mbam


Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.
Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"
Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"
Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche
Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats" pour voir lesfichiers infectés.
Ouvrez le fichier log:C:\Program Files\ESET Online Scanner\log.txt
et copiez-collez son contenu dans la prochaine réponse





Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.







Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web
ces outils recherchent et décryptent les fichiers cryptés.
à la condition que vous leur indiquiez une seule paire:
un fichier crypté et une copie du même non crypté à rechercher

Pour cela: Sous Vista /7:
Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.
Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.
Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.
Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".
Télécharger ShadowExplorer
Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".
Suivre la procédure d'installation.

Toujours Exécuter en tant qu'administrateur, d
onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector
Téléchargez RectorDecryptor sur l'ordinateur infecté
Décompressez l'archive.zip
Lancez RectorDecryptor.exe
cliquez sur le bouton Start scan.
La recherche et le déchiffrage des fichiers cryptés se réalise.
choisir l’option Delete crypted files after decryption.
Le rapport a un nom de type :
C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

2)Téléchargez RannohDecryptor
Lancez le et cliquez Start scan


Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage
Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).
Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.
Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt


2) Dr.Web fournit un fix dont voici l’adresse:
ftp://ftp.drweb.com/...te94decrypt.exe
Mettre le fix sur le bureau et pas ailleurs.
Lancer Menu Démarrer -> executer ->
Tapez successivement
cmd
cd bureau
te94decrypt.exe -k 85
ou dernières versions
te94decrypt.exe -k 91 ou 100


ou dernière évolution

ftp://ftp.drweb.com/...snu1decrypt.exe

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)
Sinon il risque de crypter aussi le reste
une copie originale d'un des fichiers cryptés est nécessaire

1- télécharger ftp://ftp.drweb.com/...snu1decrypt.exe

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

3- lancer Matsnu1decrypt.exe

4- indiquer le chemin d'un fichier original (Select original file)

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

Ensuite l'outil va décrypter tous les fichiers cryptés



Comme c'est une méthode de décryptage TRES récente,
il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

Bonjour voici le rapport de l'analyse de Eset


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-14 10:53:49
# local_time=2012-07-14 12:53:49 )
# country="France"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 9874 93892911 0 0
# compatibility_mode=8192 67108863 100 0 149 149 0 0
# scanned=2466
# found=0
# cleaned=0
# scan_time=169
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-14 01:43:22
# local_time=2012-07-14 03:43:22 )
# country="France"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 13153 93896190 0 0
# compatibility_mode=8192 67108863 100 0 3428 3428 0 0
# scanned=192735
# found=5
# cleaned=5
# scan_time=7062
C:\Users\Christelle\AppData\Local\Temp\dzyjeplult.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Christelle\AppData\Local\Temp\ltsyopwzna.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Christelle\AppData\Local\Temp\spejxmiqgr.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Christelle\AppData\Roaming\Dxfnic\lrsmnxux.exe a variant of Win32/Kryptik.AIDW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Christelle\AppData\Roaming\Xfpstvh\rfnanxux.exe Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

voici le rapport de MBAM

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Christelle :: CHRISTELLE-PC [administrateur]

14/07/2012 18:07:47
mbam-log-2012-07-14 (18-07-47).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 387276
Temps écoulé: 56 minute(s), 45 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Bonjour,

En fait, je coince à partir de Rectordécryptor ; pourrais-je avoir des indications plus détaillées concernant la fin de la procédure?
Merci!

Je ne peux pas détailler plus la procédure.

Elle est simple à suivre si cette condition est remplie:

Citation

Bonjour,

C'est fait, mais quand on compare 2 fichiers identiques, le massage suivant apparait : " Cannot find description key. May be unknown trojan program modification".

Existe-t-il un autre moyen de décrypter les fichiers?...

Merci!

Citation

Non, je ne crois pas.

Avez vous la même réponse avec les 2 outils,

Citation

Bonjour,

Oui, même réponse...

Citation

Il me vient un doute.

Ce qu'il faut, ce n'est pas 2 fichiers identiques mais 1 crypté et 1 non crypté( le même , bien sur)
C'est bien ce que vous avez présenté aux 2 outils ?