ransomware avec fichiers cryptés en extensions LISP

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Bonjour à tous,

Après avoir tenter de télécharger un logiciel complet et sa licence de manière gratuite PDT_014 , je me suis retrouvé avec une bonne partie de mes fichiers cryptés avec pour extension LISP.

1/ J'ai commencé à suivre la procédure du site et j'ai pu mettre en quarantaine et supprimer un certain nombre de fichiers.
En revanche impossible de faire aboutir la procédure avec hitman pro qui une fois le scan effectué ne me propose pas de licence gratuite... Et je confirme qu'il a trouvé pas mal de choses même après le précédent scan de Malwarebytes Anti-Malware (MBAM).
=> Ceci est un 1er problème

2/ A cela s'ajoute une détection continue du logiciel Malware (merci les notif toutes les 3 secondes) à cause de sites malveillants en provenance de SysWOW64/svchost.exe de sites bloqués.
=> J'ai donc lancé un scan avec FRST comme mentionné dans ce post viewtopic.php?t=54955 qui parlait de SysWOW64.

3/ Je ne sais pas si le /2 est la cause du 100% d'occupation de la CPU visible via le gestionnaire des tâches, mais il y a quelque chose qui fait chauffer tout ça :o/

Voilà si quelqu'un veut bien m'aider sur le point 1/ ou 2/ dans un 1er temps, je serais preneur.

Merci d'avance.

Benoit Maury
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°)

Désinstalle Hitman Pro et Malwarebytes Anti-Malware.


2°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Bonsoir,

Merci pour la réactivité!
1/Hitman est déjà désinstallé, mais Malwarebytes tourne encore... Je vais le désinstaller.

2/ Le scan FRST a été fait avec Malwarebytes encore installé par contre.
Voici le 1er rapport FRST : https://pjjoint.malekal.com/files.php?i ... j6h7u13l15
Et le 2ème rapport Additional : https://pjjoint.malekal.com/files.php?i ... 13c7o15g11
Le 3ème étant en cours.

J'ai testé id-ransomware mais la clé semble être en ligne :o/ donc pas de décryptage possible.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

Le rapport FRST est vide.

Tu peux déjà désintaller ça pour faire du ménage :
CyberLink
Trend-Micro a été acheté ? Si ce n'est pas le cas ,désinstalle le.

Relance le scan et FRST et attends bien la fin.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Trend Micro désinstallé.
Les 2 programmes Cyberlink ne vont pas au bout de la désinstallation, obligé de tuer le process de désinstallation...

Je lance FRST64.

Une question n’est il pas possible de le lancer en mode sans échec avec prise en charge du réseau afin de calmer la CPU?
J’ai l’impression qu’en mode sans échec , certains logiciels malveillants sont inactifs et laisseraient de la CPU au scan.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

Si tu peux faire FRST en MSE sans problème.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

1er rapport FRST
https://pjjoint.malekal.com/files.php?i ... 7m10e14m15

2ème rapport
https://pjjoint.malekal.com/files.php?i ... 13s5f13q13

3ème rapport
https://pjjoint.malekal.com/files.php?i ... 6k96u10e14

Bon finalement, je l'avais lancé en mode normal mais Maleware n'était pas complétement désinstallé, j'ai du faire une install/désintall et j'ai coché Shortcut.txt en cours de scan...

Je refais tout ça quand même au cas où.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

1er rapport FRST
https://pjjoint.malekal.com/files.php?i ... f7g12w11g7

2ème rapport
https://pjjoint.malekal.com/files.php?i ... d13l10y105

3ème rapport Shortcuts
https://pjjoint.malekal.com/files.php?i ... 2y8k9d14e7

Cette fois nous sommes bon mais les fichiers semblent plus petits à avoir été faits sous MSE.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

A désinstaller :
CCleaner
CyberLink
iCloud
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [haleng] => C:\Users\kaubourg\AppData\Local\Temp\haleng.e <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {79A8B99B-8095-4414-825E-61E26A4D79C5} - System32\Tasks\Time Trigger Task => C:\Users\kaubourg\AppData\Local\56513cb8-a344-4362-ac10-38abfed57a44\5B11.exe [862720 2020-11-24] () [Fichier non signé] <==== ATTENTION
Task: {12640914-FFF1-48D1-A29B-A0260F65A336} - System32\Tasks\a3u6I0Ek => C:\AdwCleaner\Backup\C\Users\kaubourg\AppData\Roaming\_readme.txtIy.exe [1051236 2020-11-24] () [Fichier non signé] <==== ATTENTION
Task: {A503170C-2C7F-48A4-A80E-C093B7460671} - System32\Tasks\NvNgxUpdateCheckDaily_{2A68F03E-F03E-F03E-F03E-2A68F03EF03E} => C:\Users\kaubourg\AppData\Roaming\heceiev.exe <==== ATTENTION
Task: {D8E0B08D-D439-432A-AD9A-9A6D602CA097} - System32\Tasks\NvNgxUpdateCheckDaily_{78821544-1544-1544-1544-788215441544} => C:\Users\kaubourg\AppData\Roaming\hiceiev [204288 2020-01-03] () [Fichier non signé]
S2 ecqqlkky; C:\Windows\SysWOW64\ecqqlkky\xfuyljss.exe [11013632 2020-11-24] () [Fichier non signé]
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [iguupooc] => "C:\Users\kaubourg\dcqsgdew.exe"
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [tibqanobatib] => C:\Users\kaubourg\tibqanobatib.exe [196096 2020-11-24] () [Fichier non signé]
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [Regedit32] => C:\Windows\system32\regedit.exe
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [explorer.exe] => "C:\Users\kaubourg\AppData\Roaming\Microsoft\Windows\explorer.exe" -start <==== ATTENTION
HKU\S-1-5-21-512072370-2025854513-3165130202-1489\...\Run: [microsoft update] => SCHTASKS /run /tn a3u6I0Ek
2020-11-24 21:52 - 2020-11-24 22:23 - 000000000 ____D C:\ProgramData\q9w4y6w4w4y6w4
2020-11-24 17:29 - 2020-11-24 17:29 - 000000000 ____D C:\Program Files\HitmanPro
2020-11-24 17:28 - 2020-11-24 18:35 - 000000000 ____D C:\ProgramData\HitmanPro
2020-11-24 17:28 - 2020-11-24 17:28 - 011431000 _____ (SurfRight B.V.) C:\Users\kaubourg\Downloads\HitmanPro_x64.exe
2020-11-24 17:26 - 2020-11-24 22:34 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2020-11-24 17:26 - 2020-11-24 17:26 - 000000000 ____D C:\ProgramData\GridinSoft
2020-11-24 16:22 - 2020-11-24 16:22 - 001176128 _____ (Emsisoft Ltd.) C:\Users\kaubourg\Downloads\decrypt_STOPDjvu.exe
2020-11-24 16:09 - 2020-11-24 16:09 - 000003172 _____ C:\Windows\system32\Tasks\{9B763CBC-18BD-4E61-8E5F-EEB9472325D1}
2020-11-24 16:08 - 2020-11-24 16:08 - 000989584 _____ (GridinSoft LLC) C:\Users\kaubourg\Downloads\install-antimalware-fix.exe
2020-11-24 16:06 - 2020-11-24 16:06 - 001883976 _____ (Malwarebytes) C:\Users\kaubourg\Downloads\MBSetup-090357.090357.exe
2020-11-24 15:56 - 2020-11-24 15:56 - 000000000 ____D C:\Windows\system32\Tasks\Mozilla
2020-11-24 15:53 - 2020-11-24 15:53 - 000021962 _____ C:\Users\kaubourg\résultats.txt
2020-11-24 15:10 - 2020-11-24 22:57 - 000308232 _____ C:\Windows\ntbtlog.txt
2020-11-24 14:56 - 2020-11-24 14:56 - 000000016 _____ C:\ProgramData\mntemp
2020-11-24 14:55 - 2020-11-24 14:55 - 000001110 _____ C:\Users\kaubourg\_readme.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000001110 _____ C:\Users\kaubourg.FRSPARL011\_readme.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000001110 _____ C:\Users\bmoreau\_readme.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000001110 _____ C:\Users\ben\_readme.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000001110 _____ C:\Users\Administrateur\_readme.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000000561 _____ C:\Users\kaubourg\AppData\Local\bowsakkdestx.txt
2020-11-24 14:55 - 2020-11-24 14:55 - 000000000 ____D C:\SystemID
2020-11-24 14:52 - 2020-11-24 23:43 - 000003610 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 02CE8BD2C76083B2
2020-11-24 14:52 - 2020-11-24 14:51 - 000196096 ___SH C:\Users\kaubourg\tibqanobatib.exe
2020-11-24 14:51 - 2020-11-24 23:43 - 000003610 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 28D0A07067281E37
2020-11-24 14:51 - 2020-11-24 16:25 - 000003688 _____ C:\Windows\system32\Tasks\Time Trigger Task
2020-11-24 14:51 - 2020-11-24 14:51 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000000202 _____ C:\ProgramData\C96417SYML.exe
2020-11-24 14:51 - 2020-11-24 14:51 - 000000202 _____ C:\ProgramData\BYC1M53E0T.exe
2020-11-24 14:51 - 2020-11-24 14:51 - 000000000 ____D C:\Windows\SysWOW64\ecqqlkky
2020-11-24 14:51 - 2020-11-24 14:51 - 000000000 ____D C:\Users\kaubourg\AppData\Local\56513cb8-a344-4362-ac10-38abfed57a44
2020-11-24 14:51 - 2020-11-24 14:51 - 000000000 ____D C:\ProgramData\PIVWIE964T
2020-11-24 14:51 - 2020-11-24 14:51 - 000000000 ____D C:\ProgramData\AVSYYOPBSB
2020-11-24 14:50 - 2020-11-24 15:19 - 000003610 _____ C:\Windows\system32\Tasks\NvNgxUpdateCheckDaily_{2A68F03E-F03E-F03E-F03E-2A68F03EF03E}
2020-11-24 14:50 - 2020-11-24 14:50 - 000000000 ____D C:\Users\Public\Thunder Network
2020-11-24 14:50 - 2020-11-24 14:50 - 000000000 ____D C:\ProgramData\Thunder Network
2020-11-24 14:50 - 2020-11-24 14:50 - 000000000 ____D C:\Program Files (x86)\Seed Trade
2020-11-24 14:50 - 2020-11-24 14:50 - 000000000 ____D C:\Program Files (x86)\gdiview
2020-11-24 14:48 - 2020-11-24 14:49 - 000000000 ____D C:\Program Files (x86)\vszfl5ji7414
2020-11-24 14:48 - 2020-11-24 14:48 - 000000000 ____D C:\ProgramData\sib
2020-11-24 14:47 - 2020-11-24 14:48 - 000000000 ____D C:\Users\kaubourg\Downloads\videopad_5fbd0ed75034f_5fbd0ed750359
2020-11-24 14:46 - 2020-11-24 14:46 - 004154657 _____ C:\Users\kaubourg\Downloads\videopad_5fbd0ed75034f_5fbd0ed750359.zip
2020-11-24 14:38 - 2020-11-24 14:38 - 000000000 ____D C:\Users\kaubourg\AppData\Roaming\Fokeant
2020-11-24 14:37 - 2020-11-24 14:47 - 000000000 ____D C:\Program Files (x86)\loafer
2020-11-24 14:37 - 2020-11-24 14:37 - 000002988 _____ C:\Windows\system32\Tasks\Smart Clock
2020-11-24 14:37 - 2020-11-24 14:37 - 000000000 ____D C:\Users\kaubourg\AppData\Roaming\Smart Clock
2020-11-24 14:37 - 2020-11-24 14:37 - 000000000 ____D C:\ProgramData\Riate
2020-11-24 14:30 - 2020-11-24 14:39 - 000000000 ____D C:\Windows\system32\Tasks\NCH Software
2020-11-24 14:29 - 2020-11-24 14:29 - 000000000 ____D C:\Users\kaubourg\AppData\Roaming\NCH Software
2020-11-24 14:25 - 2020-11-24 14:59 - 000001848 _____ C:\Users\kaubourg\AppData\LocalLow\outlook.txt
2020-11-24 14:25 - 2020-11-24 14:59 - 000000000 ____D C:\Users\kaubourg\AppData\LocalLow\nb98wqnehe8bw89hb
2020-11-24 14:23 - 2020-11-24 14:23 - 000000000 ___HD C:\Users\kaubourg\AppData\Local\002f7ed251fb9e02ca166d3d3c8b3def
2020-11-24 14:23 - 2020-11-24 14:23 - 000000000 ____D C:\Users\kaubourg\AppData\Roaming\gfersesurity
2020-11-24 14:23 - 2020-11-24 14:23 - 000000000 ____D C:\Users\kaubourg\AppData\Local\Fyxdf
2020-11-24 14:23 - 2020-11-24 14:23 - 000000000 ____D C:\ProgramData\Garbage Cleaner
2020-11-24 14:22 - 2020-11-24 14:48 - 000000000 ____D C:\Program Files (x86)\MaskVPN
2020-11-24 14:22 - 2020-11-24 14:22 - 000000116 _____ C:\sjk43kj43d
2020-11-24 14:22 - 2020-11-24 14:22 - 000000116 _____ C:\kj34kji34jdkj
2020-11-24 14:22 - 2020-11-24 14:22 - 000000116 _____ C:\fsskjdslfsfs
2020-11-24 14:51 - 2020-11-24 14:51 - 000000202 _____ () C:\ProgramData\BYC1M53E0T.exe
2020-11-24 14:51 - 2020-11-24 14:51 - 000000202 _____ () C:\ProgramData\C96417SYML.exe
2020-11-24 14:51 - 2020-11-24 14:51 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2020-11-24 14:51 - 2020-11-24 14:51 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
2020-11-24 14:52 - 2020-11-24 14:51 - 000196096 ___SH () C:\Users\kaubourg\tibqanobatib.exe
2020-01-14 22:40 - 2020-01-03 04:33 - 000320202 ___SH () C:\Users\kaubourg\AppData\Roaming\acddhar
2020-01-14 22:40 - 2020-01-03 04:33 - 000405727 ___SH () C:\Users\kaubourg\AppData\Roaming\actvisu
2020-01-14 22:40 - 2020-01-03 04:33 - 000449352 ___SH () C:\Users\kaubourg\AppData\Roaming\bcbbgdh
2020-01-14 22:40 - 2020-01-03 04:33 - 000193024 ___SH () C:\Users\kaubourg\AppData\Roaming\bcceiev
2012-11-28 15:17 - 2012-11-28 15:17 - 000032768 ____H () C:\Users\kaubourg\AppData\Roaming\fin.zup
2020-01-14 22:40 - 2020-01-03 04:33 - 000204288 ___SH () C:\Users\kaubourg\AppData\Roaming\hiceiev
2013-07-04 09:44 - 2013-07-10 13:58 - 000000000 ____H () C:\Users\kaubourg\AppData\Roaming\navinfo.txt
2020-01-14 22:40 - 2020-01-03 04:33 - 000159744 ___SH () C:\Users\kaubourg\AppData\Roaming\uvceiev
2018-01-30 10:33 - 2018-01-30 10:33 - 000000045 _____ () C:\Users\kaubourg\AppData\Roaming\WB.CFG
2020-01-14 22:40 - 2020-01-03 04:33 - 000192512 ____N () C:\Users\kaubourg\AppData\Roaming\wuceiev
2020-11-24 14:55 - 2020-11-24 14:55 - 000000561 _____ () C:\Users\kaubourg\AppData\Local\bowsakkdestx.txt
2013-09-20 14:00 - 2020-11-24 14:48 - 000000096 _____ () C:\Users\kaubourg\AppData\Local\fusioncache.dat
2002-07-16 12:20 - 2020-11-24 14:45 - 000872523 _____ (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\j3salv.dll
2002-07-17 10:00 - 2020-11-24 14:51 - 000299061 _____ (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\msisam10.dll
2002-07-17 10:00 - 2020-11-24 14:47 - 000241724 _____ (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\msuni10.dll
2002-07-16 12:21 - 2002-07-16 12:21 - 001138762 _____ (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\rsalv.dll
2002-11-15 12:11 - 2020-11-24 14:47 - 000041034 _____ () C:\Users\kaubourg\AppData\Local\salv.exe
2015-04-20 18:40 - 2016-02-06 19:15 - 000353118 _____ () C:\Users\kaubourg\AppData\Local\SquareClock.Production_HBMV1Icon.ico
1999-06-27 05:11 - 2020-11-24 14:50 - 000002272 _____ (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\W95inf16.dll
1999-06-27 05:11 - 1999-06-27 05:11 - 000004608 ____R (Microsoft Corporation) C:\Users\kaubourg\AppData\Local\W95inf32.dll
R2 MaskVPNService; C:\Program Files (x86)\MaskVPN\mask_svc.exe [7493560 2020-08-06] (Global Media (Thailand) Co., Ltd -> Global Media (Thailand) Co., Ltd)
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
(Ne pas utiliser Zeok)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Voici le rapport fixlog.txt :
https://pjjoint.malekal.com/files.php?i ... 0h9g13p9d6

Au redémarrage ce matin, j'ai pu constater avoir été une nouvelle fois infecté par un autre ransomware PDT_013
J'ai donc relancé un scan FRST64.

https://pjjoint.malekal.com/files.php?i ... 6z13i11g14

https://pjjoint.malekal.com/files.php?i ... 1w58p15d11

https://pjjoint.malekal.com/files.php?i ... c11i6c10x7


J'ai fait un nettoyage de Firefox, désinstaller icloud, cyberlink et ccleaner.

Merci encore pour la réactivité, les outils de scan et de réparation toujours aussi légers à utiliser mais d'une puissante efficacité. PDT_018
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

ben33 a écrit : 25 nov. 2020 10:31Au redémarrage ce matin, j'ai pu constater avoir été une nouvelle fois infecté par un autre ransomware PDT_013
Heu comment ça ... ?
Parce que tes fichiers sont modifiés, ils vont restés comme cela.
Voir mon premier message.

Sinon ça va un peu mieux sur l'utilisation ?
Fais un nettoyage MBAM.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Ben j'ai un nouveau fichier
!!! ALL YOUR FILES ARE ENCRYPTED !!!.txt sur mon bureau qui date du redémarrage avec quelques fichiers sur le bureau qui ont été cryptés. Les fichiers ont une extension en 112-98F-4A2.
Voici son contenu (impossible à uploader à cause de la taille du nom du fichier):
!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: [email protected] and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Pay $ 100 in BTC
Write to email: [email protected]
Reserved email: [email protected]
Telegram: @uspex2

Your personal ID: 112-98F-4A2

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Pour ce qui est de l'utilisation du PC c'est niquel il respire comme avant, de ce côté là c'est bon.
Chrome et Firefox nettoyés => OK

OK je vais faire un nettoyage MBAM
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

Ce sont les fichiers de notice de paiement del a rançon.
Il faut les supprimer manuellement.
Tu dois en avoir dans chaque dossier.

Un recherche de fichiers de Windows peut aider à les supprimer d'un coup : Comment faire une recherche de fichiers dans Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben33
Messages : 11
Inscription : 24 nov. 2020 19:11

Re: ransomware avec fichiers cryptés en extensions LISP

par ben33 »

Mais je confirme qu’il y a eu d’autres fichiers qui ont été cryptés sur le bureau (.doc ou autres) avec une nouvelle extension.
Et le message de rançon d’hier demandait 980$ alors que celui de ce jour c’est 100$. C’est sûrement les soldes bientôt 😅.
Malekal_morte
Messages : 107573
Inscription : 10 sept. 2005 13:57

Re: ransomware avec fichiers cryptés en extensions LISP

par Malekal_morte »

C'est le principe d'un raçongiciel.

Je pense que l'on est au bout...
Fais bien les derniers scans MBAM.

change tous tes mots de passe, ils ont été volés[/url]

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »