Infection Stop Djvu

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Infection Stop Djvu

par Facteur_Rhesus »

Bonjour,

Un de nos ordinateurs domicile à été infecter par le ransomware Stop Djvu (identification faite grâce au site ID ransomware), suite au téléchargement d'un logiciel douteux (Un écart au règle de sécurité basique qui coute chère :/) . Avant de procéder a des tentatives de décryptages nous voulons nous assuré que l'ordinateur (qui tourne sur windows 10) soit clean. J'ai vu sur ce forum d'autre utilisateur toucher par des ransomware être guider grâce a l'outil de diagnostique FRST. Est t'il possible d'avoir une assistance ?

En vous remerciant du temps accordé pour nous aider.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10564
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Stop Djvu

par Parisien_entraide »

Bonsoir

La classification Djvu comporte de nombreux variants;
C'était lequel ?

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Merci pour ta réponse,

Alors voici ce que m'a donné ID Ransomware comme info complémentaire :

ransomnote_filename: _readme.txt
sample_extension: .dfwe
sample_bytes: [0x57543 - 0x57569] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357D

Je sais pas si c'est suffisant pour connaitre le variant ou est ce que j'ai loupé une info ?

Et voici les 3 liens des resultats du scan :

https://pjjoint.malekal.com/files.php?i ... 9n15x9q8p9
https://pjjoint.malekal.com/files.php?i ... 1r12b613c9
https://pjjoint.malekal.com/files.php?i ... 14j11k14s8
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Il doit bien avoir des fichier systeme infecté, Avast ne cesse de s'affoler en bloquant de manière régulière des tentative de connexion par le processus System32/svchost.exe.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10564
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Stop Djvu

par Parisien_entraide »

Pas de bol il a l 'air récent (moins de 5 jours) donc un nouveau variant, qui sera le 480ème de la série DJVU

Windows defender (mais regarde ce que dit Avast puisque tu l'as installé récemment) le détecte un VirTool:MSIL/CryptInject qui est une détection générique pour cette classe de ransomware
et venu avec "FoneLab for iOS 10.1.72 Multi-FR + Crack"
On voit la provenance puisque l'on voit du Yandex dans les rapports (Russie)

4meKey, Iphone Password unlocker... En général c'est recherché pour les l'Iphone volés (ou tablette Ipad)


De toutes les façons sur cette famille il n'y a pas 36 décrypteurs, et je doute que celui ci traite ce variant

STOP Djvu decryptor Emisoift

https://www.emsisoft.com/ransomware-dec ... /stop-djvu

A NE PAS UTILISER AVANT DESINFECTION (de toutes les façons tu sera bloqué si je lis ce que je vois dans hosts)

Attend l'analyse de MALEKAL

M'enfin, vu ce que je vois sur ton disque.. C'est normal d'avoir été infecté et en plus le fichier hosts est joliment rempli
Je note que tu as déjà essayé SpyHunter , le truc inutile
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Sale histoire tout ça, on a voulut débloquer un vieux ipod musical acheter d'occasion mais qui étais bloqué. Les softs les plus courants ne détecte pas ce genre de vieux modèle qui ne sont plus produits ce qui nous a conduit sur des trucs assez obscure. La leçons est rude mais mérité :(. Pour SpyHunter le référencement des moteurs de recherche sur ce genre de problème est bien parasité par moulte "tuto" qui préconise SpyHunter. On a bien vite vu que c'était assez pourri ce qui nous a amener à un forum spécialisé.

"M'enfin, vu ce que je vois sur ton disque.. C'est normal d'avoir été infecté et en plus le fichier hosts est joliment rempli" peut tu développer ce point ?

Coté désinfection je vois pas ce que je peux faire de plus. Avast et Malwarebyte on bien tourner et mis en quarantaine pas mal de chose (avant le scan FRST). Après la désinfections j'imagine qu'il faut attendre l'arrivé de clés de cryptage de ce nouveau variant ?

Heureusement ça aurait put être pire, la machine est récente et n'avez pas grand chose qui soit important ou pas sauvegarder sur une autre machine (hormis une grosse sauvegarde d'elden ring et une semaine de travail de graphisme).
Avatar de l’utilisateur
Parisien_entraide
Messages : 10564
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Stop Djvu

par Parisien_entraide »

Attend l'analyse de Malekal, il te fournira un "fix"


Le soucis c'est que tu as voulu te désinfecter toi même, mais cela ne veut pas dire que Windows est remise d'aplomb (su reste ce n'est pas le cas)

Quant aux fichiers cryptés... soit un décrypteur sera actualisé, mais il ne faut pas trop y compter (en général c'est pas le biais de failles, de saisies d'ordinateurs des réseaux mafieux, etc) soit il n'y aura rien
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 110619
Inscription : 10 sept. 2005 13:57

Re: Infection Stop Djvu

par Malekal_morte »

Salut,

Le ransomware n'est plus actif mais il y a des restes de Trojan.
Cela a dû venir avec un crack pour FoneLab ou un produit Wondershare.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-05-17 19:07 - 2022-05-17 19:07 - 000317950 _____ C:\Windows\ntbtlog.txt
2022-05-17 18:48 - 2022-05-17 18:48 - 000076744 _____ (EnigmaSoft Limited) C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys
2022-05-17 18:45 - 2022-05-17 18:45 - 006705440 _____ (EnigmaSoft Limited) C:\Users\Ana\Downloads\SpyHunter-Installer.exe
2022-05-17 18:40 - 2022-05-17 18:41 - 088039816 _____ (LuckyDog Software, Inc. ) C:\Users\Ana\Downloads\unlockgo.exe
2022-05-17 18:37 - 2022-05-17 18:37 - 000000290 __RSH C:\ProgramData\ntuser.pol
2022-05-17 18:37 - 2022-05-17 18:37 - 000000000 ____D C:\Users\Ana\AppData\Roaming\TSMonitor
2022-05-17 18:35 - 2022-05-17 18:35 - 001920912 _____ (Tenorshare Co., Ltd.) C:\Users\Ana\Downloads\4mekey.exe
2022-05-17 18:35 - 2022-05-17 18:35 - 000000000 ____D C:\Program Files (x86)\Tenorshare
2022-05-17 18:26 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\95ae2649e6d72d
2022-05-17 18:26 - 2022-05-17 18:26 - 000001106 _____ C:\Users\Ana\_readme.txt
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Users\Ana\AppData\Roaming\tor
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\ProgramData\C4BI2DAOR2VZ29CAU1O
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Program Files\Google
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Program Files\Chrome
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 _____ C:\ProgramData\RAPTOR.exe
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\Users\Ana\AppData\Local\45447b31-881b-4cdc-ad73-aeb73f7e5f50
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\SystemID
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\ProgramData\OJ4NF3ZMWAE0FFFAVE0
2022-05-17 18:21 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\apqjvencreea
2022-05-17 18:21 - 2022-05-17 20:02 - 000000000 ____D C:\Users\Ana\AppData\Local\fb733782-f42a-4435-ba8a-796153259deb
2022-05-17 18:21 - 2022-05-17 18:25 - 006889024 ____N C:\Windows\system32\Drivers\C3rWI84wj.sys
2022-05-17 18:21 - 2022-05-17 18:22 - 000000000 ____D C:\Program Files (x86)\MaskVPN
2022-05-17 18:21 - 2022-05-17 18:21 - 000000000 ____D C:\Users\Ana\AppData\Roaming\xwniotpgrvbx
2022-05-17 18:21 - 2018-08-29 15:48 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\tap0901.sys
2022-05-17 18:20 - 2022-05-17 18:20 - 000000000 ____D C:\Users\Ana\AppData\Local\AdvinstAnalytics
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Windows\system32\Tasks\Service
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\zv3T19YdRbp
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\shftool
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\DIWArf65
2022-05-17 18:19 - 2022-05-17 18:20 - 000000000 ____D C:\Users\Ana\AppData\Roaming\ewCar4
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\lkq6cm91.default-release
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\gi75v8aa.default
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\9jus8odv.default-release
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\5tndxji3.default
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Roaming\ServiceGet
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Roaming\Kalenume
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Local\Yandex
2022-05-11 19:53 - 2022-05-11 19:53 - 000315468 ___SH () C:\Users\Ana\AppData\Roaming\iedcrht
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Tu peux désinstaller cela, pas utile et encombrant :
Avast (lourd, laisser Windows Defender, plus léger)
CCleaner (pas utile)
Java (sauf si tu sais en avoir besoin)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Bonjour, Merci pour tout. J'ai appliqué les fix en suivant la procédure (redémarrage compris). Cependant avast continue de m'avertir qu'il bloque des tentatives de connexion provenant des processus /system32/svchost.exe et de Avastui.exe (ironiquement) ciblant une adresse blacklisté http non sécurisé.

Je suis d'accord qu'avast est très intrusif aussi bien dans ces popup que dans sa consommation de ressource. Mais la pour le coup windows defender ne semble pas s'affoler outre mesure.

Puis je vous renvoyer un scan FRST pour avoir confirmation que tout est clean ?
Malekal_morte
Messages : 110619
Inscription : 10 sept. 2005 13:57

Re: Infection Stop Djvu

par Malekal_morte »

Oui donne le rapport demandé.
Ce serait bien d'avoir une capture d'écran des alertes Avast! ou une copie des rapports
De mémoire, ils se trouvent dans C:\ProgramData\Avast!\Reports
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Alors voici les messages d'avast (impossible de retrouver l'emplacement des logs d'avast) : https://ibb.co/gjDVcLt

et le rapport de correction de FRST :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 18-05-2022
Exécuté par Ana (18-05-2022 18:12:45) Run:1
Exécuté depuis C:\Users\Ana\Desktop
Profils chargés: Ana
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2022-05-17 19:07 - 2022-05-17 19:07 - 000317950 _____ C:\Windows\ntbtlog.txt
2022-05-17 18:48 - 2022-05-17 18:48 - 000076744 _____ (EnigmaSoft Limited) C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys
2022-05-17 18:45 - 2022-05-17 18:45 - 006705440 _____ (EnigmaSoft Limited) C:\Users\Ana\Downloads\SpyHunter-Installer.exe
2022-05-17 18:40 - 2022-05-17 18:41 - 088039816 _____ (LuckyDog Software, Inc. ) C:\Users\Ana\Downloads\unlockgo.exe
2022-05-17 18:37 - 2022-05-17 18:37 - 000000290 __RSH C:\ProgramData\ntuser.pol
2022-05-17 18:37 - 2022-05-17 18:37 - 000000000 ____D C:\Users\Ana\AppData\Roaming\TSMonitor
2022-05-17 18:35 - 2022-05-17 18:35 - 001920912 _____ (Tenorshare Co., Ltd.) C:\Users\Ana\Downloads\4mekey.exe
2022-05-17 18:35 - 2022-05-17 18:35 - 000000000 ____D C:\Program Files (x86)\Tenorshare
2022-05-17 18:26 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\95ae2649e6d72d
2022-05-17 18:26 - 2022-05-17 18:26 - 000001106 _____ C:\Users\Ana\_readme.txt
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Users\Ana\AppData\Roaming\tor
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\ProgramData\C4BI2DAOR2VZ29CAU1O
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Program Files\Google
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 ____D C:\Program Files\Chrome
2022-05-17 18:23 - 2022-05-17 18:23 - 000000000 _____ C:\ProgramData\RAPTOR.exe
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\Users\Ana\AppData\Local\45447b31-881b-4cdc-ad73-aeb73f7e5f50
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\SystemID
2022-05-17 18:22 - 2022-05-17 18:22 - 000000000 ____D C:\ProgramData\OJ4NF3ZMWAE0FFFAVE0
2022-05-17 18:21 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\apqjvencreea
2022-05-17 18:21 - 2022-05-17 20:02 - 000000000 ____D C:\Users\Ana\AppData\Local\fb733782-f42a-4435-ba8a-796153259deb
2022-05-17 18:21 - 2022-05-17 18:25 - 006889024 ____N C:\Windows\system32\Drivers\C3rWI84wj.sys
2022-05-17 18:21 - 2022-05-17 18:22 - 000000000 ____D C:\Program Files (x86)\MaskVPN
2022-05-17 18:21 - 2022-05-17 18:21 - 000000000 ____D C:\Users\Ana\AppData\Roaming\xwniotpgrvbx
2022-05-17 18:21 - 2018-08-29 15:48 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\tap0901.sys
2022-05-17 18:20 - 2022-05-17 18:20 - 000000000 ____D C:\Users\Ana\AppData\Local\AdvinstAnalytics
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Windows\system32\Tasks\Service
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\zv3T19YdRbp
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\shftool
2022-05-17 18:19 - 2022-05-17 20:27 - 000000000 ____D C:\Users\Ana\AppData\Roaming\DIWArf65
2022-05-17 18:19 - 2022-05-17 18:20 - 000000000 ____D C:\Users\Ana\AppData\Roaming\ewCar4
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\lkq6cm91.default-release
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\gi75v8aa.default
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\9jus8odv.default-release
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Public\5tndxji3.default
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Roaming\ServiceGet
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Roaming\Kalenume
2022-05-17 18:19 - 2022-05-17 18:19 - 000000000 ____D C:\Users\Ana\AppData\Local\Yandex
2022-05-11 19:53 - 2022-05-11 19:53 - 000315468 ___SH () C:\Users\Ana\AppData\Roaming\iedcrht
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Windows\ntbtlog.txt => déplacé(es) avec succès
C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys => déplacé(es) avec succès
C:\Users\Ana\Downloads\SpyHunter-Installer.exe => déplacé(es) avec succès
C:\Users\Ana\Downloads\unlockgo.exe => déplacé(es) avec succès
C:\ProgramData\ntuser.pol => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\TSMonitor => déplacé(es) avec succès
C:\Users\Ana\Downloads\4mekey.exe => déplacé(es) avec succès
C:\Program Files (x86)\Tenorshare => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\95ae2649e6d72d => déplacé(es) avec succès
C:\Users\Ana\_readme.txt => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\tor => déplacé(es) avec succès
C:\ProgramData\C4BI2DAOR2VZ29CAU1O => déplacé(es) avec succès
C:\Program Files\Google => déplacé(es) avec succès
C:\Program Files\Chrome => déplacé(es) avec succès
C:\ProgramData\RAPTOR.exe => déplacé(es) avec succès
C:\Users\Ana\AppData\Local\45447b31-881b-4cdc-ad73-aeb73f7e5f50 => déplacé(es) avec succès
C:\SystemID => déplacé(es) avec succès
C:\ProgramData\OJ4NF3ZMWAE0FFFAVE0 => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\apqjvencreea => déplacé(es) avec succès
C:\Users\Ana\AppData\Local\fb733782-f42a-4435-ba8a-796153259deb => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\Drivers\C3rWI84wj.sys" => Planifié pour déplacement au redémarrage.
C:\Program Files (x86)\MaskVPN => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\xwniotpgrvbx => déplacé(es) avec succès
C:\Windows\system32\Drivers\tap0901.sys => déplacé(es) avec succès
C:\Users\Ana\AppData\Local\AdvinstAnalytics => déplacé(es) avec succès
C:\Windows\system32\Tasks\Service => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\zv3T19YdRbp => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\shftool => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\DIWArf65 => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\ewCar4 => déplacé(es) avec succès
C:\Users\Public\lkq6cm91.default-release => déplacé(es) avec succès
C:\Users\Public\gi75v8aa.default => déplacé(es) avec succès
C:\Users\Public\9jus8odv.default-release => déplacé(es) avec succès
C:\Users\Public\5tndxji3.default => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\ServiceGet => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\Kalenume => déplacé(es) avec succès
C:\Users\Ana\AppData\Local\Yandex => déplacé(es) avec succès
C:\Users\Ana\AppData\Roaming\iedcrht => déplacé(es) avec succès

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 18-05-2022 18:27:23)

C:\Windows\system32\Drivers\C3rWI84wj.sys => Impossible de déplacer

==== Fin de Fixlog 18:27:23 ====
Malekal_morte
Messages : 110619
Inscription : 10 sept. 2005 13:57

Re: Infection Stop Djvu

par Malekal_morte »

Alors une des alertes Avast! concernent le proxy qui était mis, normalement il a sauté :
ManualProxies: 0hxxp://104.155.207.188/win.pac
Relance une correction FRST avec ceci :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


~~

L'autre pour svchost.exe faut voir si elle revient.
Enfin la dernière concernant Firefox, réinitialise le pour voir :

Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes : Refais un scan FRST et donne les nouveaux rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Malekal_morte
Messages : 110619
Inscription : 10 sept. 2005 13:57

Re: Infection Stop Djvu

par Malekal_morte »

ok plus qu'à voir si tu as encore des alertes Avast!
Pendant ce temps là, change tous tes mots de passe, ils ont été certainement volés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Facteur_Rhesus
Messages : 8
Inscription : 17 mai 2022 19:55

Re: Infection Stop Djvu

par Facteur_Rhesus »

Ba pour le moment ya pas de nouvelle alerte. Je vais pouvoir commencer à voir si il y a moyen de décrypter même si je n'y crois pas trop. Je ferais une sauvegarde des fichiers crypté afin de les conserver au cas ou il y a une solution de decryptage un jour. Pour les mots de passes on a été assez réactif. On les as changer assez vite. Ma compagne utilise Keypass alors j'espère que ça a rendu les mdp moins facilement accessible que si géré par le navigateur directement.

Merci énormément pour l'aide précieuse. Des forums d'aide comme celui-ci devrait être bien mieux référencé.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »