[Clôt] Windows 10 est infecté, fichiers en otage, *.wallet

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

[Clôt] Windows 10 est infecté, fichiers en otage, *.wallet

Message par ced007 » 28 nov. 2016 12:56

Bonjour,

Je me suis fait pirater mon Windows 10 ou bien j'ai ouvert un mauvais fichier.
Tous les fichiers de mon disque dur sont pris en otage par un Ransomware, ils ont été renommés en *.wallet

ex: ANNEXE 2.docx.[mkgoro@india.com].wallet

J'ai bien tenté les utilitaires de kaspersky/nod32/TeslaDecoder mais rien ne fonctionne.

Quelqu'un a déjà eu ce genre d’extension? Un petite solution?
Merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ordi infecté extention *.wallet

Message par Malekal_morte » 28 nov. 2016 13:51

Salut,

Tesladecoder c'est pour la variante TeslaCrypt... toi tu as une autre variante.

Essaye Les versions précédentes avec Shadow Explorer.

Sinon c'est mort,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Pour vérifier si le ransomware est encore actif.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Ordi infecté extention *.wallet

Message par ced007 » 28 nov. 2016 14:32

Bon les versions précédentes ne donne rien (vide).

Donc j'ai effectué un scan FRST:
Voici les rapports:

- FRST : http://pjjoint.malekal.com/files.php?id ... 14e12l5t15
- Addition.txt : http://pjjoint.malekal.com/files.php?id ... 3e14r7n146
- Shortcut.txt: http://pjjoint.malekal.com/files.php?id ... 8o13m13z14

Merci pour votre aide.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ordi infecté extention *.wallet

Message par Malekal_morte » 28 nov. 2016 15:46

ok,
Deux étapes à réaliser.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Task: C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => C:\Users\JROME~1\AppData\Roaming\3831F7~1\Updane.exe <==== ATTENTION
Task: {2C5B588A-5814-412A-9914-EE4A437C9072} - System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461\Updane.exe [2013-04-19] ()
2016-11-28 06:13 - 2016-11-28 06:13 - 00019609 _____ C:\Users\Jérome\AppData\Roaming\Loharac
2016-11-28 06:13 - 2016-11-28 06:13 - 00002836 _____ C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}
2016-11-28 06:13 - 2016-11-28 06:13 - 00000296 _____ C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job
2016-11-28 06:13 - 2016-11-28 06:13 - 00000000 ____D C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461
HKLM-x32\...\RunOnce: [Curadefa] => C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B "C:\Users\JROME~1\AppData\Roaming\Loharac"
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur [http://upload.malekal.com/]
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Ordi infecté extention *.wallet

Message par ced007 » 28 nov. 2016 16:21

Voici mon fichier:

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27-11-2016
Exécuté par Jérome (28-11-2016 15:06:29) Run:1
Exécuté depuis D:\Jérome\Desktop
Profils chargés: Jérome (Profils disponibles: Jérome & UpdatusUser)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
Task: C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => C:\Users\JROME~1\AppData\Roaming\3831F7~1\Updane.exe <==== ATTENTION
Task: {2C5B588A-5814-412A-9914-EE4A437C9072} - System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461\Updane.exe [2013-04-19] ()
2016-11-28 06:13 - 2016-11-28 06:13 - 00019609 _____ C:\Users\Jérome\AppData\Roaming\Loharac
2016-11-28 06:13 - 2016-11-28 06:13 - 00002836 _____ C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}
2016-11-28 06:13 - 2016-11-28 06:13 - 00000296 _____ C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job
2016-11-28 06:13 - 2016-11-28 06:13 - 00000000 ____D C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461
HKLM-x32\...\RunOnce: [Curadefa] => C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B "C:\Users\JROME~1\AppData\Roaming\Loharac"
*****************

C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2C5B588A-5814-412A-9914-EE4A437C9072}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C5B588A-5814-412A-9914-EE4A437C9072}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3831F7C9-D61B-B49D-1FC8-110A4077C461}" => clé supprimé(es) avec succès
C:\Users\Jérome\AppData\Roaming\Loharac => déplacé(es) avec succès
"C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}" => non trouvé(e).
"C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job" => non trouvé(e).
C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461 => déplacé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\Curadefa => valeur supprimé(es) avec succès

==== Fin de Fixlog 15:06:30 ====

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ordi infecté extention *.wallet

Message par Malekal_morte » 28 nov. 2016 16:52

ok, fais l'envoi étape 2 =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Ordi infecté extention *.wallet

Message par ced007 » 28 nov. 2016 17:52

C'est fais...
J'ai du redémarrer en mode sans échec certain fichier étaient verrouillés
fichier: Quarantine.zip

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par Malekal_morte » 28 nov. 2016 19:03

ok :)

histoire de :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Créer un point de restauration.

Télécharge et installe MBAR,
Mets le à jour, fais un "scan rapide", supprime tout,
Enregistre le rapport sur http://pjjoint.malekal.com/ et donne le lien pjjoint ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par ced007 » 28 nov. 2016 20:12

Voici le rapport de malwrebayte:

http://pjjoint.malekal.com/files.php?id ... _d8c9u9h99


Rapport mbar...masi il y avait rien:

http://pjjoint.malekal.com/files.php?id ... 15u8f15o14

Merci

PS: je peux envoyer un fichier corrompu si tu veux?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par Malekal_morte » 28 nov. 2016 20:29

Je ne pense pas que je puisse récupérer les fichiers corrompus.
Vu le mail, je dirai que c'est le même genre de variantes que là : BandarChor / Criakl / Rakhni (Crypto-Ransomware)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par ced007 » 28 nov. 2016 22:40

Il y a rien a faire?
Aucun moyen de décrypter les fichiers?
Je ne dois pas être le seul avec le type d’extension?
Encore merci pour ton aide

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par Malekal_morte » 29 nov. 2016 14:24

Normalement non.
L'utilitaire Kaspersky pour ce type de ransomware est : http://support.kaspersky.com/fr/10556
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ced007
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 16:28

Re: Windows 10 infecté, fichiers en otage, extention *.walle

Message par ced007 » 29 nov. 2016 23:07

Bon j'ai testé avec l'utilitaire de Kaspersky et bien c'est pareil... Merci pour votre aide!!
J'espère quand même trouver une solution car j'ai tout perdu et pas de sauvegardes...

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Clôt] Windows 10 est infecté, fichiers en otage, *.wall

Message par Malekal_morte » 30 nov. 2016 10:52

Bon courage PDT_013
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85029
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Clôt] Windows 10 est infecté, fichiers en otage, *.wallet

Message par Malekal_morte » 18 mai 2017 21:01

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Dadoumin09 et 7 invités