Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus codeur Windows


 Share

Messages recommandés

Bonjour,

Mon ordinateur portable est infecté depuis lundi par un malware. La page affichait "virus codeur de Windows... puis me proposait de payer 100€ " la réparation.

Je n'avais plus la main pour faire quoi que ce soit. J'ai re-démarré en mode sans echec puis je l'ai rebooté à une date antérieure ; cela m'a permis de retrouver la possibilité de me connecter sur internet mais la plupart de mes fichiers sont illisibles (icones word, power point, excel, adobe... remplacés par un rectangle blanc, noms de fichiers codés (succession de lettres et chiffres).

Mes vidéos et fichiers audio ne dont pas touchés ; quasiment toutes les photos sont touchées sauf quelques unes intactes...

L'exploration avec malwarebytes et avast ne donne rien.

Un seul fichier word est intact mais quand j'essaye de l'ouvrir, une boite de dialogue microsoft me demandant l'activation de l'installation de microsoft professional 2007 se lance ; quand je clique sur suivant, elle se bloque.

Auriez vous une piste pour m'aider?

Merci !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

La procédure est assez complexe.

Imprimez la pour la suivre attentivement.

 

Le Trojan-Ransom.Win32.Rector réalise des modifications non autorisées des données sur des ordinateurs-"victimes", ce qui rend le travail avec ces données impossible.

Dès que les données sont prises "en otage" (ont été bloquées), une rançon sera exigée.

Le pirate promet à la victime d'envoyer un programme débloquant les données après avoir reçu la somme annoncée.

 

trojan_encoder_trojanransomware_crypt.png

Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC.

Un simple double-clic sur un raccourci malicieux réinstalle l’infection.

Tentez d'abord une restauration à une date antérieure.

Dans le cas où Windows est bloqué notamment par des ransomwares.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.

Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

 

Télécharger le programme et le lancer

Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.

Lorsque la clef USB ou le CD est prêt :

Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:

Laissez le Scan s’opérer

A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».

Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.

 

 

D'abord Eset on line puis Mbam

 

Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

hh3lp9.jpg

Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.

Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"

Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"

Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

 

Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche

Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats" pour voir lesfichiers infectés.

Ouvrez le fichier log:C:\Program Files\ESET Online Scanner\log.txt

et copiez-collez son contenu dans la prochaine réponse

 

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

 

 

 

 

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

 

Pour cela: Sous Vista /7:

Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.

Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

 

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

 

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.

Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.

Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

 

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".

Télécharger ShadowExplorer

Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".

Suivre la procédure d'installation.

 

Toujours Exécuter en tant qu'administrateur, d

onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

 

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector

Téléchargez RectorDecryptor sur l'ordinateur infecté

Décompressez l'archive.zip

Lancez RectorDecryptor.exe

cliquez sur le bouton Start scan.

La recherche et le déchiffrage des fichiers cryptés se réalise.

choisir l’option Delete crypted files after decryption.

Le rapport a un nom de type :

C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

 

2)Téléchargez RannohDecryptor

Lancez le et cliquez Start scan

 

 

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage

Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).

Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.

Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

 

2) Dr.Web fournit un fix dont voici l’adresse:

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Mettre le fix sur le bureau et pas ailleurs.

Lancer Menu Démarrer -> executer ->

Tapez successivement

cmd

cd bureau

te94decrypt.exe -k 85

ou dernières versions

te94decrypt.exe -k 91 ou 100

120428011534174514.jpg

 

ou dernière évolution

 

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)

Sinon il risque de crypter aussi le reste

une copie originale d'un des fichiers cryptés est nécessaire

 

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

 

3- lancer Matsnu1decrypt.exe

 

4- indiquer le chemin d'un fichier original (Select original file)

 

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

 

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

 

Ensuite l'outil va décrypter tous les fichiers cryptés

 

 

 

Comme c'est une méthode de décryptage TRES récente,

il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

Lien vers le commentaire
Partager sur d’autres sites

Bonjour voici le rapport de l'analyse de Eset

 

 

[email protected] as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36

# end=stopped

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-14 10:53:49

# local_time=2012-07-14 12:53:49 )

# country="France"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 9874 93892911 0 0

# compatibility_mode=8192 67108863 100 0 149 149 0 0

# scanned=2466

# found=0

# cleaned=0

# scan_time=169

[email protected] as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

[email protected] as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=0abccf2e0ab9cb44bd88461e04642d36

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-14 01:43:22

# local_time=2012-07-14 03:43:22 )

# country="France"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 13153 93896190 0 0

# compatibility_mode=8192 67108863 100 0 3428 3428 0 0

# scanned=192735

# found=5

# cleaned=5

# scan_time=7062

C:\Users\Christelle\AppData\Local\Temp\dzyjeplult.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Local\Temp\ltsyopwzna.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Local\Temp\spejxmiqgr.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Roaming\Dxfnic\lrsmnxux.exe a variant of Win32/Kryptik.AIDW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Users\Christelle\AppData\Roaming\Xfpstvh\rfnanxux.exe Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Lien vers le commentaire
Partager sur d’autres sites

voici le rapport de MBAM

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.07.14.05

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Christelle :: CHRISTELLE-PC [administrateur]

 

14/07/2012 18:07:47

mbam-log-2012-07-14 (18-07-47).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 387276

Temps écoulé: 56 minute(s), 45 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

En fait, je coince à partir de Rectordécryptor ; pourrais-je avoir des indications plus détaillées concernant la fin de la procédure?

Merci!

Lien vers le commentaire
Partager sur d’autres sites

Je ne peux pas détailler plus la procédure.

 

Elle est simple à suivre si cette condition est remplie:

 

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

C'est fait, mais quand on compare 2 fichiers identiques, le massage suivant apparait : " Cannot find description key. May be unknown trojan program modification".

 

Existe-t-il un autre moyen de décrypter les fichiers?...

 

Merci!

Lien vers le commentaire
Partager sur d’autres sites

Existe-t-il un autre moyen de décrypter les fichiers?...

 

Non, je ne crois pas.

 

Avez vous la même réponse avec les 2 outils,

utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

Lien vers le commentaire
Partager sur d’autres sites

quand on compare 2 fichiers identiques, le massage suivant apparai

 

Il me vient un doute.

 

Ce qu'il faut, ce n'est pas 2 fichiers identiques mais 1 crypté et 1 non crypté( le même , bien sur)

C'est bien ce que vous avez présenté aux 2 outils ?

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...