[Résolu] Problème GandCrab 5.2

[celine12200]

Bonsoir,

j'ai pu récupérer mes fichiers avec "Shadow Explorer", ouf .. 

Pour ce qui est des photos je les ai aussi mais quand elles sont en petites icones c'est nikel par contre en taille normale j'ai les 3/4 de l'image cachée derrières une bande de couleur. J'ai récupérer aussi des vidéos mais souci, elle ne se lancent pas, comme si elles étaient sur pause. Tout cela n'est pas bien grave car j'ai tout en double sur mon téléphone 'il va falloir que je les stockent sur usb).

J'ai toujours les fichiers bloqués sur mon bureau , et le manuel pour la rançon est toujours là. Je pense que maintenant on peut essayer de tout supprimer. 

A bientôt

[ab-web]

Bonsoir

He oui   malheureusement quand le ransomware , chiffre  des fichiers : certains sont parfois totalement irrécupérables .

Citation

Je pense que maintenant on peut essayer de tout supprimer. 

Oui il faut supprimer tous les fichiers chiffrés ou non utilisables ,
si ce n'est pas possible démarre windows en mode sans échec pour faire les suppressions .
après cela refait moi un scan avec FRST .

[celine12200]

Bonsoir,

j'ai supprimé les fichiers crypter et passer FRST.

Voici les rapport :

Addition : https://cjoint.com/c/IDkso5hURjS

FRST : https://cjoint.com/c/IDksqWA5QOS

j'ai le manuel 'SJJKKNR-MANUAL" qui s'est mis dans tous les fichiers du pc. 

Bonne soirée.

[ab-web]

Bonsoir

Citation

j'ai le manuel 'SJJKKNR-MANUAL" qui s'est mis dans tous les fichiers du pc. 

C'est a dire ?  , dans les dossiers ou répertoires ?
Ouvre FRST , dans la zone rechercher colle : SJJKKNR-MANUAL  > Clic : chercher fichiers .

il reste des fichiers affublés de l'extension "sjjkknr"

Ouvre FRST , > copie entièrement le texte hébergé a l'adresse suivante,  https://textup.fr/326930YM
clic une fois sur corriger , met les résultats ( recherche et correction) dans ta prochaine réponse .

 

Modifié le 10 avril 2019 par ab-web

[celine12200]

Re,

j'ai passer FRST : 

recherche https://cjoint.com/c/IDkvoiiiozS

correction https://cjoint.com/c/IDkvo6q5DkS

J'ai encore les manuel ainsi que fichiers avec l'extension sjjkknr. J'ai mis en pj une copie écran d'un emplacement pour exemple.

Si ça peut t'aider, j'ai vu que sur le manuel il y avait comme instruction :

Do not modify encrypted files et do not change data below. 

Begin gandcrab key  ( une multitude de lettres et chiffres) end gandcrab key

et begin pc data ( pleins de chiffres et lettres) end pc data

All your files, documents, photos, databases and other important files are encrypted and have the extension: .SJJKKNR

 

Bonne soirée

[ab-web]

Bonjour

Bon dommage que FRST ne le trouve pas .
Donc en fait il reste encore pas mal de fichiers chiffrés avec l'extension sjjkknr , on va faire une autre recherche!

    Télécharge SEAF >  https://nicolascoolman.eu/download/seaf/ de C_XX
    Enregistre-le sur le Bureau
    ( Exécuter en tant qu’administrateur à partir de Windows Vista ).
    Une fenêtre va s’ouvrir .

    Colle   SJJKKNR-MANUAL;sjjkknr  dans la zone de recherche,

•     Sélectionne MD5 dans les options des fichiers ( pour le calcul du checksum des fichiers),
•     Coche les 3 cases en-dessous,
•     Dans Options du registre, coche Chercher également dans le registre,

    Clique sur Lancer la recherche,

    En fin de recherche, une fenêtre apparaît.
    – Clique sur Non,
    – Une fenêtre s’affiche avec le rapport de recherche ( SeafLog.txt ).

[celine12200]

Bonjour,

voici le rapport SEAF, c'est impressionnant tout ce qu'il a trouvé !

https://cjoint.com/c/IDmiPimOJNS

A+

[ab-web]

Bonjour

Oui c'est énorme , et vu que beaucoup de fichiers système sont touchés , en cherchant a supprimer , on risque de mettre un joli boxon !
je pense qu'il est nécessaire de réinstaller windows au propre .
cela représente du travail , car tous tes programmes personnels seront a réinstaller , mais c'est certainement la meilleure solution .
il te faut mettre a l'abri les fichiers personnels ( documents images photo etc etc ) sur un disque externe ou clé USB

Ouvre le paramètres > mise a jour et sécurité > Recupération > descend sur la page > clic sur : voir comment redémarrer avec une installation propre.
Clic sur oui  a la première question > > sous  redémarrage a Zero >> Clic sur prise en main .
si tu rencontre un souci fait moi signe , donne des nouvelles une fois réinstallé .

 

[celine12200]

Bonjour,

j'ai réinstallé Windows et malheureusement cela n a rien changé, tous les fichiers crypté et les manuels sont encore présents comme sur ma copie écran précédente.

Par contre cela a gardé tous mes documents personnels enregistré depuis lundi dernier. J avais eu un message de Windows avec une liste de programme personnel a réinstallé par la suite( imprimante, CCleaner ...) sauf que tout est encore présents. Je trouve cela bizarre. Les seules choses a remettre à jour sont par rapport a cortona, la météo, les contact, en fait tout ce qui est du Windows store.

 

A bientôt.

[ab-web]

Bonsoir

Essaie la réinitialisation avec suppression des fichiers
paramètres > mises a jour et sécurité > récupération > réinitialiser ce PC .
si cela ne marche pas , il faudra passer a une réinstallation avec formatage ,
en attente du résultat

Modifié le 12 avril 2019 par ab-web