Virus codeurs Windows et fichiers cryptés

[erictaxi27]

Bonjour,

Comme certain j'ai ouvert un mail d'une sois disant facture et j'ai été infecté par un virus me réclamant 100 euros bla bla bla bla bla bla

j'ai suivi un peu tout ce qui se disais sur les forums mais mes compétences en informatique sont limitées (j'en suis au stade rapport OTL ), je viens vers vous pour me donner un petit coup de main , pour voir dabord si mon ordi n'est plus infecté et pouvoir recuperer mes fichiers cryptés et certaines applications qui me servent pour mon travail.

Merki d avance

 

Eric

[Apollo]

Bonjour,

 

Ne lance pas d'outils sans que cela te soit demandé stp, n'installe rien et ne fais aucune modification tant que le pc n'est pas clean.

 

Essaie d'abord de faire une restauration système, cela suffit parfois à se débarrasser de cette teigne; ceci dit cela est presque toujours dû à des applications jamais à jour... (flash, java etc.)

 

[Résolu] Arnaque « online-cyber-police » - Forums Zebulon.fr

 

@++

[Apollo]

Re,

 

Qu'en est-il exactement? Tu as déjà réussi à te débarrasser de ce ransomware? As-tu des fichiers cryptés et sous quel nom? (genre locked-nomdufichier-4 caractères aléatoires) ?

++

[erictaxi27]

Bonjour,

Je ne sais pas vraiment si mon virus est supprimé !!!

pour la restauration a quel momement on choisit le compte usuel ( désolé je bloque déjà a cette etape ) car moi je suis en admin?

une fois tapez cmd on tape : %systemroot%\system32\restore\rstrui.exe ? ( mais quand je mets ce texte cela me dit:

windows n'a pas pu se connecter au service sens , consulter votre admin systeme !!

[Apollo]

Ce que je voudrais savoir, c'est si la page demandant une rançon apparaît toujours et si tu as des fichiers/dossiers bloqués.

Le compte usuel est celui avec lequel tu te connectes habituellement.

 

Fais ceci stp:

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

[erictaxi27]

Bonjour et merci de votre aide

 

Je n'ai plus le message de rançon , j'ai acces a internet mais certains programmes ( dont un qui me sert pour mon travail est bloqué )et tous mes fichiers word exel images sont cryptés

 

voici le rapport de rogue

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Eric [Droits d'admin]

Mode: Recherche -- Date: 24/07/2012 14:50:53

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 4 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND

[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 rad.msn.com

127.0.0.1 rad.live.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST9500325AS +++++

--- User ---

[MBR] adb0aa9ec6250927eb9163cc393d5494

[bSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 119232 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 285153280 | Size: 337704 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

[Apollo]

Ok,

 

Quel genre de cryptage? Devant le nom du fichier, vois-tu le mot "locked" et après le nom 4 caractères aléatoires comme "abcd".. par exemple?

 

 

Relance Rogue Killer et clique sur suppression; poste le rapport.

Puis clique sur HostRaz et poste le rapport.

 

@++

[erictaxi27]

les noms de mes fichiers bloqués sont du genre : LGqAdLxqfosjdnA

[erictaxi27]

Apres supression voici le rapport :

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Eric [Droits d'admin]

Mode: Suppression -- Date: 24/07/2012 15:05:24

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 4 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)

[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 rad.msn.com

127.0.0.1 rad.live.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST9500325AS +++++

--- User ---

[MBR] adb0aa9ec6250927eb9163cc393d5494

[bSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 119232 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 285153280 | Size: 337704 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

apres Hostraz

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Eric [Droits d'admin]

Mode: HOSTS RAZ -- Date: 24/07/2012 15:07:02

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

[Apollo]

Re,

 

J'avoue que je n'ai jamais vu ce genre de cryptage (autant de caractères...)

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

 

 

 

-------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.62.0.1300 Download

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

---------------------

Je te suggère, après avoir fait l'analyse MBAM, de lire le post de Pear pour tenter de décrypter, mais seulement après MBAM.

 

Virus gendarmerie nationale - Fichiers Locked - Forums Zebulon.fr

 

Bon courage.

 

@++