Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus codeur Windows et fichiers illisibles


Messages recommandés

Bonjour,

J'ai eu un problème de phishing sur mon ordi. Il a été bloqué par un message me réclamant 100 € à verser à des lithuaniens. Avec MAM j'ai réussi à le débloquer en passant en mode sans échec, mais en redémarrant normalement tous mes fichiers microsoft office et les photos ont d'un seul coup changé de nom et sont devenus illisibles. Ils ont gardé la même taille, aussi je pense qu'ils ont subi une dégradation qui peut être corrigée (du moins j'en rêve). Quelqu'un a-t-il trouvé comment faire ?

Merci :-?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Le Trojan-Ransom.Win32.Rector réalise des modifications non autorisées des données sur des ordinateurs-"victimes", ce qui rend le travail avec ces données impossible.

Dès que les données sont prises "en otage" (ont été bloquées), une rançon sera exigée.

Le pirate promet à la victime d'envoyer un programme débloquant les données après avoir reçu la somme annoncée.

 

trojan_encoder_trojanransomware_crypt.png

Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC.

Un simple double-clic sur un raccourci malicieux réinstalle l’infection.

Tentez d'abord une restauration à une date antérieure.

Dans le cas où Windows est bloqué notamment par des ransomwares.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.

Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

 

Télécharger le programme et le lancer

Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.

Lorsque la clef USB ou le CD est prêt :

Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:

Laissez le Scan s’opérer

A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».

Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.

 

 

D'abord Eset on line puis Mbam

 

Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

hh3lp9.jpg

Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.

Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"

Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"

Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

 

Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche

Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats" pour voir lesfichiers infectés.

Ouvrez le fichier log:C:\Program Files\ESET Online Scanner\log.txt

et copiez-collez son contenu dans la prochaine réponse

 

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

 

 

 

 

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

 

Pour cela: Sous Vista /7:

Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.

Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

 

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

 

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.

Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.

Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

 

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".

Télécharger ShadowExplorer

Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".

Suivre la procédure d'installation.

 

Toujours Exécuter en tant qu'administrateur, d

onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

 

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector

Téléchargez RectorDecryptor sur l'ordinateur infecté

Décompressez l'archive.zip

Lancez RectorDecryptor.exe

cliquez sur le bouton Start scan.

La recherche et le déchiffrage des fichiers cryptés se réalise.

choisir l’option Delete crypted files after decryption.

Le rapport a un nom de type :

C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

 

2)Téléchargez RannohDecryptor

Lancez le et cliquez Start scan

 

 

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage

Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).

Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.

Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

 

2) Dr.Web fournit un fix dont voici l’adresse:

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Mettre le fix sur le bureau et pas ailleurs.

Lancer Menu Démarrer -> executer ->

Tapez successivement

cmd

cd bureau

te94decrypt.exe -k 85

ou dernières versions

te94decrypt.exe -k 91 ou 100

120428011534174514.jpg

 

ou dernière évolution

 

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)

Sinon il risque de crypter aussi le reste

une copie originale d'un des fichiers cryptés est nécessaire

 

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

 

3- lancer Matsnu1decrypt.exe

 

4- indiquer le chemin d'un fichier original (Select original file)

 

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

 

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

 

Ensuite l'outil va décrypter tous les fichiers cryptés

 

 

 

Comme c'est une méthode de décryptage TRES récente,

il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

merci pour la réponse, mais le problème est que comme le nom du fichier a été modifié, je ne sais pas du tout si c'est un fichier word, une image ou autre chose. D'autant que lorsqu'il y a eu pollution des fichiers, cette pollution a touché les fichiers que j'avais mis sur Dropbox et que je croyais préservé. Dropox n'est donc pas à conseiller comme support de sauvegarde externe.

Je me dis que si j'ai un éditeur qui me permette de fouiller les fichiers obtenus et si j'avais l'explication de la structure d'un fichier word, excel, jpg, ... je pourrais peut-être trouver où le bat blesse, mais je ne sais pas où aller chercher. J'envisage de faire un fdisk/mbr mais, mis à part mes fichiers illisibles tout semble marcher. J'ai fait un fichier word nouveau et il fonctionne correctement. En fait, je suis paumé !!!

Merci :outch:

Lien vers le commentaire
Partager sur d’autres sites

J'envisage de faire un fdisk/mbr

Cela ne vous avancera pas,bien au contraire

[quote

mais, mis à part mes fichiers illisibles tout semble marcher. J'ai fait un fichier word nouveau et il fonctionne correctement. En fait, je suis paumé !!!]

 

Il faut et il suffit que vous trouviez un fichier sain et le même bloqué.

C'est à ce jour la seule méthode qui fonctionne.

Mais je ne peux pas vous aider à chercher cette paire.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...