Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

loversmoon
newbie
newbie
Messages : 20
Inscription : 17 sept. 2006 21:54

Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Message par loversmoon »

Bonjour
J'ai un PC qui a un ransomware RSA 4096, en effet tous mes fichiers sont en extension .MICRO.

Comment faire pour m'en débarrasser et existe t 'il une méthode pour décrypter ces fichiers. Merci

D'après ce que j'ai lu sur votre forum, cela semble difficile de décrypter mais bon je demande quand meme...

:- )

En tout cas, j'attends votre aide pour supprimer ce virus.

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par RSA 4096

Message par Malekal_morte »

Salut,


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infecté par RSA 4096

Message par angelique »

  1. Passe un coup de TDSSKiller : tdsskiller-kaspersky-t28637.html
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Tu devrais avoir une détection sur C:\Windows\system32\Drivers\volsnap.sys choisi CURE et si est détecté eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys choisi delete sur celui là
    Poste le rapport ici.
  2. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
    Copie/colle dedans ce qui suit :

    U5 eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys [97752 2016-01-14] () <===== ATTENTION Necurs Rootkit?
    "eb49e83145aabf5a" => service n'a pas pu être déverrouillé. <===== ATTENTION
    R2 syshost32; C:\Windows\Installer\{588256FF-E3B2-5A7C-5232-071E3172EF62}\syshost.exe [138240 2016-01-12] () [Fichier non signé]
    HKLM-x32\...\Run: [rimage-v5] => C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    HKU\S-1-5-21-2352971959-862115284-3922626981-1001\...\Run: [rimage-v5] => C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html [2016-02-10] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png [2016-02-10] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt [2016-02-10] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html [2016-02-10] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png [2016-03-18] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt [2016-02-10] ()
    BHO-x32: Bing Bar Helper -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Pas de fichier
    C:\Windows\Installer\{588256FF-E3B2-5A7C-5232-071E3172EF62}
    C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    C:\Windows\System32\Drivers\eb49e83145aabf5a.sys
    2016-02-10 01:36 - 2016-02-10 01:36 - 0012752 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:36 - 2016-02-10 01:36 - 0068386 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:36 - 2016-02-10 01:36 - 0002121 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:35 - 2016-02-10 01:35 - 0012752 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:35 - 2016-02-10 01:35 - 0068386 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:35 - 2016-02-10 01:35 - 0002121 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:34 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\kxcrhan.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\lpcnkap.exe
    2016-02-10 01:30 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\muikkrb.exe
    2016-02-10 01:30 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\ngbilqw.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\typxddp.exe
    2016-02-10 01:33 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\vgitkyt.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\wabickm.exe
    2016-02-10 02:00 - 2016-02-10 02:00 - 0012752 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 02:00 - 2016-02-10 02:00 - 0068386 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 02:00 - 2016-02-10 02:00 - 0002121 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:56 - 2016-02-10 01:56 - 0012752 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:56 - 2016-02-10 01:56 - 0068386 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:56 - 2016-02-10 01:56 - 0002121 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:43 - 2016-02-10 02:02 - 0012752 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:43 - 2016-02-10 02:02 - 0068386 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:43 - 2016-02-10 02:02 - 0002121 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2014-02-11 11:29 - 2014-02-11 11:29 - 0000000 _____ () C:\Users\Anthony\AppData\Local\{0955A7B9-8100-4791-A485-A0EC59C141B8}
    2014-02-11 11:29 - 2014-02-11 11:29 - 0000000 _____ () C:\Users\Anthony\AppData\Local\{9C5DAB69-BE03-497E-B373-F9C02C02009E}
    2012-02-24 03:42 - 2010-10-06 18:45 - 0131984 _____ () C:\ProgramData\FullRemove.exe
    2016-02-10 01:38 - 2016-02-10 01:40 - 0012752 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:38 - 2016-02-10 01:40 - 0068386 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:38 - 2016-02-10 01:40 - 0002121 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    EmptyTemp:
  3. Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton fix/Corriger
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

loversmoon
newbie
newbie
Messages : 20
Inscription : 17 sept. 2006 21:54

Re: Infecté par RSA 4096

Message par loversmoon »

FIXLOG
http://pjjoint.malekal.com/files.php?id ... 2b8o6q12u9

Concernant kaspersky, je n'a pas eu les erreurs que tu m as dit mais d'autres, j'ai juste exécuter les actions par défaut.
En fait là je me retrouve un w7 en mode test est ce normal ??

TDSS LOG
http://pjjoint.malekal.com/files.php?id ... 3q15i9d8e9

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par RSA 4096

Message par Malekal_morte »

Refais un nouveau scan FRST et donne les rapports via pjjoint.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.


Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par RSA 4096

Message par Malekal_morte »

Ca me semble correct.

Change tous tes mots de passe.

Fais un nettoyage Tutoriel MBAM version gratuite

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30497
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise
Contact :

Re: Infecté par RSA 4096

Message par angelique »

Concernant kaspersky, je n'a pas eu les erreurs que tu m as dit mais d'autres
non ça en faisait parti de ce que je t'ai dit !

et si est détecté eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys choisi delete sur celui là
16:42:07.0919 0x094c C:\Windows\System32\Drivers\eb49e83145aabf5a.sys - copied to quarantine
16:42:07.0933 0x094c HKLM\SYSTEM\ControlSet001\services\eb49e83145aabf5a - will be deleted on reboot
16:42:07.0954 0x094c HKLM\SYSTEM\ControlSet002\services\eb49e83145aabf5a - will be deleted on reboot
16:42:08.0102 0x094c C:\Windows\System32\Drivers\eb49e83145aabf5a.sys - will be deleted on reboot
16:42:08.0102 0x094c eb49e83145aabf5a ( Rootkit.Win32.Necurs.gen ) - User select action: Delete

➫ tu peux supprimer .::

2016-03-19 16:49 - 2016-03-19 16:50 - 00004920 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.49.09_log.txt
2016-03-19 16:45 - 2016-03-19 16:45 - 00004920 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.45.03_log.txt
2016-03-19 16:42 - 2016-03-19 16:42 - 00000000 ____D C:\TDSSKiller_Quarantine
2016-03-19 16:25 - 2016-03-19 16:42 - 00376852 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.25.09_log.txt
2016-03-19 16:22 - 2016-03-19 16:23 - 00002268 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.22.25_log.txt
2016-03-19 16:19 - 2016-03-19 16:20 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Anthony\Desktop\tdsskiller.exe
2016-03-19 15:03 - 2016-03-19 18:17 - 00017683 _____ C:\Users\Anthony\Desktop\FRST.txt
2016-03-19 15:01 - 2016-03-19 18:17 - 00000000 ____D C:\FRST
2016-03-19 14:58 - 2016-03-19 14:58 - 02374144 _____ (Farbar) C:\Users\Anthony\Desktop\FRST64.exe

& fait ce que dit Malekal
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

loversmoon
newbie
newbie
Messages : 20
Inscription : 17 sept. 2006 21:54

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Message par loversmoon »

ok merci a vous deux

mission accompli reste plus qu'a attendre une soluce pour récuperer les fichiers

Merci encore pour votre travail.


Cdlt

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Message par Malekal_morte »

Ne te fais pas trop d'illusion.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102588
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Message par Malekal_morte »

En plus de du Ransomware RSA 4096 - TeslaCrypt.
Un nouveau ransomware qui reprend les mêmes fichiers d'instructions que TeslaCrypt vient de sortir, il y a quelques jours.
Voir la fiche : Ransomware RSA-4096 - extension .crypt.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »