Virus Cryptosystem, tous mes fichiers sont encryptés ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 30 août 2015 12:55

Bonjour,

Je viens d'être infecté par Cryptosystem,
J'ai suivi la procédure sur le site et je vous communique les 3 fichiers FRST :
http://pjjoint.malekal.com/files.php?id ... 11n12d15o6
http://pjjoint.malekal.com/files.php?id ... 2k138y13k9
http://pjjoint.malekal.com/files.php?id ... 11v13g10h8

Quelqu'un peut il m'aider ?

Tous mes fichiers sont encryptés,
y a t il un moyen de les récupérer ?

Merci de votre aide

Pascal

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 31 août 2015 01:08

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Cela semble être Ransom:Win32/Tescrypt.A

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix


Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html [2015-08-28] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt [2015-08-28] ()
2015-08-29 11:10 - 2014-03-29 19:43 - 00000000 ____D C:\ProgramData\SaverEixtensIon
2015-08-29 11:07 - 2014-05-24 19:16 - 00000000 ____D C:\ProgramData\DiscounttExTTensi
2015-08-29 11:07 - 2014-05-24 02:57 - 00000000 ____D C:\ProgramData\CoupExtuension
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\YoutubeAdblocker
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\SafeWeb
2015-08-28 11:11 - 2014-03-23 00:40 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Local\Torch
2015-08-28 13:01 - 2013-06-27 08:19 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Roaming\Babylon
2015-08-28 10:58 - 2014-03-23 00:40 - 00000000 ____D C:\ProgramData\493b71b7b27e882d
2015-08-28 10:58 - 2013-11-11 12:54 - 00000000 ____D C:\ProgramData\APN
2015-08-28 10:58 - 2013-06-27 08:19 - 00000000 ____D C:\ProgramData\Babylon
2012-12-09 22:12 - 2012-12-09 22:12 - 27760586 _____ () C:\ProgramData\SPL2014.tmp
2014-06-15 17:09 - 2014-06-15 17:10 - 47502916 _____ () C:\ProgramData\SPL2D6B.tmp
2011-12-10 13:52 - 2011-12-10 13:52 - 10648661 _____ () C:\ProgramData\SPL31D9.tmp
2015-07-01 08:46 - 2015-07-01 08:46 - 1551488 _____ () C:\ProgramData\SPL3DBB.tmp
2011-03-17 13:15 - 2011-03-17 13:15 - 15760533 _____ () C:\ProgramData\SPL4972.tmp
2014-06-15 21:46 - 2014-06-15 21:47 - 19299885 _____ () C:\ProgramData\SPL60BF.tmp
2012-12-06 15:39 - 2012-12-06 15:39 - 33019428 _____ () C:\ProgramData\SPL6604.tmp
2014-11-24 22:42 - 2014-11-24 22:42 - 0684805 _____ () C:\ProgramData\SPL72AF.tmp
2011-03-17 13:16 - 2011-03-17 13:16 - 15760533 _____ () C:\ProgramData\SPL7A6C.tmp
2011-03-18 09:23 - 2011-03-18 09:24 - 15784366 _____ () C:\ProgramData\SPL80D2.tmp
2011-03-20 02:13 - 2011-03-20 02:13 - 15784366 _____ () C:\ProgramData\SPL8111.tmp
2011-03-20 21:01 - 2011-03-20 21:01 - 15784366 _____ () C:\ProgramData\SPL8313.tmp
2010-12-14 23:10 - 2010-12-14 23:10 - 9274788 _____ () C:\ProgramData\SPL93C9.tmp
2014-06-15 19:37 - 2014-06-15 19:37 - 23579596 _____ () C:\ProgramData\SPLB1AA.tmp
2011-03-24 22:44 - 2011-03-24 22:44 - 1115142 _____ () C:\ProgramData\SPLD03B.tmp
2012-03-05 23:44 - 2012-03-05 23:44 - 0736235 _____ () C:\ProgramData\SPLD335.tmp
2011-02-02 22:20 - 2011-02-02 22:20 - 2671460 _____ () C:\ProgramData\SPLE415.tmp
2012-06-18 21:19 - 2012-06-18 21:19 - 2053833 _____ () C:\ProgramData\SPLEA11.tmp
2011-06-13 20:57 - 2011-06-13 20:57 - 1839108 _____ () C:\ProgramData\SPLFE89.tmp


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais une recherche de fichiers sur restore_files_
et supprime tout ce qui est détecté.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 31 août 2015 21:31

Bonjour et merci de ton aide,

Ci-dessous le résultat de la correction

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:31-08-2015
Exécuté par Cath&Pascal (2015-08-31 21:35:58) Run:1
Exécuté depuis C:\Users\Cath&Pascal\Desktop
Profils chargés: Cath&Pascal (Profils disponibles: Cath&Pascal)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html [2015-08-28] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt [2015-08-28] ()
2015-08-29 11:10 - 2014-03-29 19:43 - 00000000 ____D C:\ProgramData\SaverEixtensIon
2015-08-29 11:07 - 2014-05-24 19:16 - 00000000 ____D C:\ProgramData\DiscounttExTTensi
2015-08-29 11:07 - 2014-05-24 02:57 - 00000000 ____D C:\ProgramData\CoupExtuension
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\YoutubeAdblocker
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\SafeWeb
2015-08-28 11:11 - 2014-03-23 00:40 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Local\Torch
2015-08-28 13:01 - 2013-06-27 08:19 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Roaming\Babylon
2015-08-28 10:58 - 2014-03-23 00:40 - 00000000 ____D C:\ProgramData\493b71b7b27e882d
2015-08-28 10:58 - 2013-11-11 12:54 - 00000000 ____D C:\ProgramData\APN
2015-08-28 10:58 - 2013-06-27 08:19 - 00000000 ____D C:\ProgramData\Babylon
2012-12-09 22:12 - 2012-12-09 22:12 - 27760586 _____ () C:\ProgramData\SPL2014.tmp
2014-06-15 17:09 - 2014-06-15 17:10 - 47502916 _____ () C:\ProgramData\SPL2D6B.tmp
2011-12-10 13:52 - 2011-12-10 13:52 - 10648661 _____ () C:\ProgramData\SPL31D9.tmp
2015-07-01 08:46 - 2015-07-01 08:46 - 1551488 _____ () C:\ProgramData\SPL3DBB.tmp
2011-03-17 13:15 - 2011-03-17 13:15 - 15760533 _____ () C:\ProgramData\SPL4972.tmp
2014-06-15 21:46 - 2014-06-15 21:47 - 19299885 _____ () C:\ProgramData\SPL60BF.tmp
2012-12-06 15:39 - 2012-12-06 15:39 - 33019428 _____ () C:\ProgramData\SPL6604.tmp
2014-11-24 22:42 - 2014-11-24 22:42 - 0684805 _____ () C:\ProgramData\SPL72AF.tmp
2011-03-17 13:16 - 2011-03-17 13:16 - 15760533 _____ () C:\ProgramData\SPL7A6C.tmp
2011-03-18 09:23 - 2011-03-18 09:24 - 15784366 _____ () C:\ProgramData\SPL80D2.tmp
2011-03-20 02:13 - 2011-03-20 02:13 - 15784366 _____ () C:\ProgramData\SPL8111.tmp
2011-03-20 21:01 - 2011-03-20 21:01 - 15784366 _____ () C:\ProgramData\SPL8313.tmp
2010-12-14 23:10 - 2010-12-14 23:10 - 9274788 _____ () C:\ProgramData\SPL93C9.tmp
2014-06-15 19:37 - 2014-06-15 19:37 - 23579596 _____ () C:\ProgramData\SPLB1AA.tmp
2011-03-24 22:44 - 2011-03-24 22:44 - 1115142 _____ () C:\ProgramData\SPLD03B.tmp
2012-03-05 23:44 - 2012-03-05 23:44 - 0736235 _____ () C:\ProgramData\SPLD335.tmp
2011-02-02 22:20 - 2011-02-02 22:20 - 2671460 _____ () C:\ProgramData\SPLE415.tmp
2012-06-18 21:19 - 2012-06-18 21:19 - 2053833 _____ () C:\ProgramData\SPLEA11.tmp
2011-06-13 20:57 - 2011-06-13 20:57 - 1839108 _____ () C:\ProgramData\SPLFE89.tmp

*****************

C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt => déplacé(es) avec succès
C:\ProgramData\SaverEixtensIon => déplacé(es) avec succès
C:\ProgramData\DiscounttExTTensi => déplacé(es) avec succès
C:\ProgramData\CoupExtuension => déplacé(es) avec succès
C:\ProgramData\YoutubeAdblocker => déplacé(es) avec succès
C:\ProgramData\SafeWeb => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Local\Torch => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Babylon => déplacé(es) avec succès
C:\ProgramData\493b71b7b27e882d => déplacé(es) avec succès
C:\ProgramData\APN => déplacé(es) avec succès
C:\ProgramData\Babylon => déplacé(es) avec succès
C:\ProgramData\SPL2014.tmp => déplacé(es) avec succès
C:\ProgramData\SPL2D6B.tmp => déplacé(es) avec succès
C:\ProgramData\SPL31D9.tmp => déplacé(es) avec succès
C:\ProgramData\SPL3DBB.tmp => déplacé(es) avec succès
C:\ProgramData\SPL4972.tmp => déplacé(es) avec succès
C:\ProgramData\SPL60BF.tmp => déplacé(es) avec succès
C:\ProgramData\SPL6604.tmp => déplacé(es) avec succès
C:\ProgramData\SPL72AF.tmp => déplacé(es) avec succès
C:\ProgramData\SPL7A6C.tmp => déplacé(es) avec succès
C:\ProgramData\SPL80D2.tmp => déplacé(es) avec succès
C:\ProgramData\SPL8111.tmp => déplacé(es) avec succès
C:\ProgramData\SPL8313.tmp => déplacé(es) avec succès
C:\ProgramData\SPL93C9.tmp => déplacé(es) avec succès
C:\ProgramData\SPLB1AA.tmp => déplacé(es) avec succès
C:\ProgramData\SPLD03B.tmp => déplacé(es) avec succès
C:\ProgramData\SPLD335.tmp => déplacé(es) avec succès
C:\ProgramData\SPLE415.tmp => déplacé(es) avec succès
C:\ProgramData\SPLEA11.tmp => déplacé(es) avec succès
C:\ProgramData\SPLFE89.tmp => déplacé(es) avec succès

==== Fin de Fixlog 21:36:02 ====

Par contre je n'ai pas compris ce qu'il fallait faire avec restore_files ?

Pascal

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 31 août 2015 21:54

ok fais le reste de la procédure.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 01 sept. 2015 22:17

bonjour,

J'ai supprimé 26000 fichiers... mais impossible pour 5 fichiers
J'ai une erreur

0x8000402 : cette interface n'est pas prise en charge

De plus j'ai toujours mon buereau sur fond noir et impossible de mettre autre chose.
Le virus est il toujours présent ?

Merci, Pascal

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 02 sept. 2015 08:03

De plus j'ai toujours mon buereau sur fond noir et impossible de mettre autre chose.
Ca bloque à quel niveau ?
Pas de message en bas à droite qui dit que Windows n'est pas authentique ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 02 sept. 2015 21:33

Bonjour,

Lorsque je fais une recherche sur les fichiers restore_files, il en reste 5.
Lorsque je fais supprimer dessus j'ai le message d'erreur. Je n'ai pas d'autre message. Pas de message en bas à droite.

Si j'essaie d'ouvrir l'un des fichiers, windows ne trouve pas le fichier et demande de vérifier l'emplacement.

Pascal

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 02 sept. 2015 21:36

Pas grave, laisse les.
Tu n'as pas répondu pour la question précédente, en ce qui concerne le fond d'écran.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 03 sept. 2015 20:27

Bonjour,

Non je n'ai pas de message en bas à droite. Je n'avais pas compris que la question était pour le fond d'écran
J'ai la version Windows d'originer non bricolée.

Je viens de refaire un essai et c'est bon...

Une dernière question avant de réutiliser mon disque dur, comment m'assurer que le virus a bien été supprimé ?

Pascal

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 03 sept. 2015 20:59

Tu peux faire ceci :

Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :
* Tutorial Malwarebytes version gratuite
* Tutorial Malwarebytes version payante

Mets Malwarebytes à  jour puis lance un examen.

A la fin du scan, clic sur "Supprimer Selection" en bas à  gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal d'analyse.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84530
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Malekal_morte » 04 sept. 2015 10:47

Simplement des programmes parasites, pas de trojan.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pascal-lrq
newbie
newbie
Messages : 7
Inscription : 30 août 2015 12:43

Re: Virus Cryptosystem, tous mes fichiers sont encryptés ?

Message par Pascal-lrq » 04 sept. 2015 23:31

Bonjour,

Je vais considérer que le virus n'est plus là.
Je vais approfondir la rubrique concernant la protection d'un PC

Merci de ton aide.

Pascal

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités