ransomware fichiers cryptés :-(

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

necris38
Messages : 3
Inscription : 18 déc. 2022 17:35

ransomware fichiers cryptés :-(

par necris38 »

Bonjour,

Ma niece s'est fait véroler son PC (en installant un soft d'enregistremeent de video youtube...).
Resultat: tous ses cours de 4 ans de FAC cryptés avec une extension en .sqwctwxj et un fichier readme.html dans chaque repertoires.
Les softs anti-ransomware classiques des différends antivirus ne le reconnaissent pas.
J'en ai conclue en lisant le forum qu'il y a bien peu d'espoir mais voici les compte-rendus d'analyse:

https://pjjoint.malekal.com/files.php?i ... 3i15m10v15

https://pjjoint.malekal.com/files.php?i ... 10d11y12q8

https://pjjoint.malekal.com/files.php?i ... 6z5p11y8f7

Merci par avance !
Avatar de l’utilisateur
Parisien_entraide
Messages : 17195
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: ransomware fichiers cryptés :-(

par Parisien_entraide »

Bonsoir


Il faudrait déjà identifier le ransomware, même si les solutions pour récupérer les fichiers sont de l'ordre du presque néant
Parfois un coup de chance peut surgir si les autorités d'un pays saisissent les serveurs lors d'arrestation ce qui peut déboucher sur un décryptor (c'est déjà arrivé)

Ensuite 4 de cours.. Normalement cela ne doit pas être car tout le monde sauvegarde ses fichiers importants


Donc copier coller de la procédure de Malekal

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32266
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: ransomware fichiers cryptés :-(

par angelique »

Bonjour/Bonsoir

Pour le cryptage des données, c'est mort aujourd'hui.
Ma niece s'est fait véroler son PC (en installant un soft d'enregistremeent de video youtube...).
C'est con mais c'est trop tard lol car elle aurait demandé avant , je lui aurait refilé ça ➮ FDM-2022.22.5.zip

ça télécharge les vidéo de partout lol mais c'est interdit maintenant.



Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
necris38
Messages : 3
Inscription : 18 déc. 2022 17:35

Re: ransomware fichiers cryptés :-(

par necris38 »

C'est bien ce qu'il me semblait...
On peut quand même récupérer le disque en le formattant ?

Voici le fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-12-2022
Exécuté par alxbt (18-12-2022 19:20:01) Run:1
Exécuté depuis C:\Users\alxbt\Downloads
Profils chargés: alxbt
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-3062272405-1915307494-1761270842-1002\...\Run: [liGauPhbLw] => C:\Users\Public\vliGauPhbLw.3fr [99 2022-12-04] () [Fichier non signé]
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
2022-12-04 19:30 - 2022-12-04 19:30 - 000000099 _____ C:\Users\Public\vliGauPhbLw.3fr
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
StartPowershell:
sfc /scannow
EndPowershell:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-3062272405-1915307494-1761270842-1002\Software\Microsoft\Windows\CurrentVersion\Run\\liGauPhbLw" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => supprimé(es) avec succès
C:\Users\Public\vliGauPhbLw.3fr => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= Powershell: =========




D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .

L a v Ú r i f i c a t i o n e s t Ó 1 0 0 % t e r m i n Ú e .




L a P r o t e c t i o n d e s r e s s o u r c e s W i n d o w s a d Ú t e c t Ú d e s f i c h i e r s c o r r o m p u s e t l e s a r Ú p a r Ú s .


P o u r l e s r Ú p a r a t i o n s e n l i g n e , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l d e C B S s i t u Ú Ó l ' e m p l a c e m e n t s u i v a n t á :


w i n d i r \ L o g s \ C B S \ C B S . l o g . E x e m p l e á : C : \ W i n d o w s \ L o g s \ C B S \ C B S . l o g . P o u r l e s r Ú p a r a t i o n s


h o r s c o n n e x i o n , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l f o u r n i p a r l ' i n d i c a t e u r / O F F L O G F I L E .




========= Fin de Powershell: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 37176325 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 144838 B
Windows/system/drivers => 6309054 B
Edge => 927880 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 81368 B
alxbt => 262296183 B

RecycleBin => 4584750570 B
EmptyTemp: => 4.6 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 19:24:27 ====
Avatar de l’utilisateur
angelique
Messages : 32266
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: ransomware fichiers cryptés :-(

par angelique »

On peut quand même récupérer le disque en le formatant ?
Quel disque ? parceque là la merde est virée, reste les fichiers cryptés (si elle veut pas les garder , elle les supprime) et j'ai mis un lien zip pour ses téléchargements Youtube si elle veut

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
necris38
Messages : 3
Inscription : 18 déc. 2022 17:35

Re: ransomware fichiers cryptés :-(

par necris38 »

Ha ok, c'est déja ça,pas besoin de rincer le PC alors.

Merci de votre aide en tout cas !
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »