Virus codeur Windows

cénédra · le 11 juillet 2012

Bonjour,

Mon ordinateur portable est infecté depuis lundi par un malware. La page affichait "virus codeur de Windows... puis me proposait de payer 100€ " la réparation.

Je n'avais plus la main pour faire quoi que ce soit. J'ai re-démarré en mode sans echec puis je l'ai rebooté à une date antérieure ; cela m'a permis de retrouver la possibilité de me connecter sur internet mais la plupart de mes fichiers sont illisibles (icones word, power point, excel, adobe... remplacés par un rectangle blanc, noms de fichiers codés (succession de lettres et chiffres).

Mes vidéos et fichiers audio ne dont pas touchés ; quasiment toutes les photos sont touchées sauf quelques unes intactes...

L'exploration avec malwarebytes et avast ne donne rien.

Un seul fichier word est intact mais quand j'essaye de l'ouvrir, une boite de dialogue microsoft me demandant l'activation de l'installation de microsoft professional 2007 se lance ; quand je clique sur suivant, elle se bloque.

Auriez vous une piste pour m'aider?

Merci !

pear · le 11 juillet 2012

Bonjour,

La procédure est assez complexe.

Imprimez la pour la suivre attentivement.

Le Trojan-Ransom.Win32.Rector réalise des modifications non autorisées des données sur des ordinateurs-"victimes", ce qui rend le travail avec ces données impossible.

Dès que les données sont prises "en otage" (ont été bloquées), une rançon sera exigée.

Le pirate promet à la victime d'envoyer un programme débloquant les données après avoir reçu la somme annoncée.

Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC.

Un simple double-clic sur un raccourci malicieux réinstalle l’infection.

Tentez d'abord une restauration à une date antérieure.

Dans le cas où Windows est bloqué notamment par des ransomwares.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.

Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

Télécharger le programme et le lancer

Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.

Lorsque la clef USB ou le CD est prêt :

Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:

Laissez le Scan s’opérer

A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».

Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.

D'abord Eset on line puis Mbam

Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.

Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"

Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"

Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche

Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats" pour voir lesfichiers infectés.

Ouvrez le fichier log:C:\Program Files\ESET Online Scanner\log.txt

et copiez-collez son contenu dans la prochaine réponse

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

Pour cela: Sous Vista /7:

Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.

Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.

Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.

Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".

Télécharger ShadowExplorer

Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".

Suivre la procédure d'installation.

Toujours Exécuter en tant qu'administrateur, d

onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector

Téléchargez RectorDecryptor sur l'ordinateur infecté

Décompressez l'archive.zip

Lancez RectorDecryptor.exe

cliquez sur le bouton Start scan.

La recherche et le déchiffrage des fichiers cryptés se réalise.

choisir l’option Delete crypted files after decryption.

Le rapport a un nom de type :

C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

2)Téléchargez RannohDecryptor

Lancez le et cliquez Start scan

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage

Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).

Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.

Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

2) Dr.Web fournit un fix dont voici l’adresse:

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Mettre le fix sur le bureau et pas ailleurs.

Lancer Menu Démarrer -> executer ->

Tapez successivement

cmd

cd bureau

te94decrypt.exe -k 85

ou dernières versions

te94decrypt.exe -k 91 ou 100

ou dernière évolution

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)

Sinon il risque de crypter aussi le reste

une copie originale d'un des fichiers cryptés est nécessaire

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

3- lancer Matsnu1decrypt.exe

4- indiquer le chemin d'un fichier original (Select original file)

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

Ensuite l'outil va décrypter tous les fichiers cryptés

Comme c'est une méthode de décryptage TRES récente,

il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

cénédra · le 14 juillet 2012

Bonjour voici le rapport de l'analyse de Eset

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36

# end=stopped

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-14 10:53:49

# local_time=2012-07-14 12:53:49 )

# country="France"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 9874 93892911 0 0

# compatibility_mode=8192 67108863 100 0 149 149 0 0

# scanned=2466

# found=0

# cleaned=0

# scan_time=169

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-14 01:43:22

# local_time=2012-07-14 03:43:22 )

# country="France"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 13153 93896190 0 0

# compatibility_mode=8192 67108863 100 0 3428 3428 0 0

# scanned=192735

# found=5

# cleaned=5

# scan_time=7062

C:\Users\Christelle\AppData\Local\Temp\dzyjeplult.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Local\Temp\ltsyopwzna.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Local\Temp\spejxmiqgr.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Roaming\Dxfnic\lrsmnxux.exe a variant of Win32/Kryptik.AIDW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Roaming\Xfpstvh\rfnanxux.exe Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

cénédra · le 14 juillet 2012

voici le rapport de MBAM

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

Version de la base de données: v2012.07.14.05

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Christelle :: CHRISTELLE-PC [administrateur]

14/07/2012 18:07:47

mbam-log-2012-07-14 (18-07-47).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Options d'examen désactivées: P2P

Elément(s) analysé(s): 387276

Temps écoulé: 56 minute(s), 45 seconde(s)

Processus mémoire détecté(s): 0