Mes données sur Windows 10 paralysées par Cryptowall 3.0

Dannh · par **Dannh** » 18 oct. 2015 09:15

Bonjour,

Je viens d'être victime de CryptoWall 3.0 et j'ai besoin d'aide de la part d'un interlocuteur.

http://pjjoint.malekal.com/files.php?id ... 10k12i13m5
http://pjjoint.malekal.com/files.php?id ... f8u14k14r7
http://pjjoint.malekal.com/files.php?id ... p8v7r11h15

Merci

par **Malekal_morte** » 18 oct. 2015 12:38

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Ton ordinateur est bourré d'adwares et de programmes parasites en plus de cryptowall

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b13] => C:\Windows\system32\regsvr32.exe C:\1f9b134\1f9b134.dll
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b134] => C:\Windows\system32\regsvr32.exe C:\Users\DANNHB~1\AppData\Roaming\1f9b134.dll <===== ATTENTION

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
* Télécharge le sur ton bureau ou dossier de téléchargement.
* Lance AdwCleaner, clique sur [Scanner].
* L'analyse peux durer plusieurs minutes, patiente.
* Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
* Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Fais un nettoyage ZHPCleaner.

Refais un scan FRST et donne les rapports via pjjoint.

Dannh · par **Dannh** » 01 nov. 2015 03:21

Merci beaucoup
voici le contenu le fixlog:
Résultats de correction de Farbar Recovery Scan Tool (x86) Version:15-10-2015 01
Exécuté par Dannh BOLOKO (2015-11-01 03:14:43) Run:1
Exécuté depuis C:\Users\Dannh BOLOKO\Desktop
Profils chargés: Dannh BOLOKO (Profils disponibles: Dannh BOLOKO)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b13] => C:\Windows\system32\regsvr32.exe C:\1f9b134\1f9b134.dll
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b134] => C:\Windows\system32\regsvr32.exe C:\Users\DANNHB~1\AppData\Roaming\1f9b134.dll
*****************

HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\Software\Microsoft\Windows\CurrentVersion\Run\\1f9b13 => valeur non trouvé(e).
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\Software\Microsoft\Windows\CurrentVersion\Run\\1f9b134 => valeur non trouvé(e).

==== Fin de Fixlog 03:14:44 ====

Dannh · par **Dannh** » 01 nov. 2015 04:01

Après avoir redémarré l'ordinateur les fichiers help_decript sont toujour présents et les fichiers multimédia ne marche pas. L'opération a t-il marchée?
Les fichiers sont-ils corrompu?
Merci.

par **Malekal_morte** » 01 nov. 2015 11:51

La récupération des documents est impossible.

Pour les fichiers help_decrypt, il faut les supprimer manuellement.
Fais une recherche de fichiers et supprime les tous.

As-tu fait le reste de la procédure ?
AdwCleaner + ZHPCleaner.
Quand c'est fait, refais un scan FRST comme demandé.

Dannh · par **Dannh** » 02 nov. 2015 02:17

Oui c'est fait
merci!

par **Malekal_morte** » 02 nov. 2015 07:34

et donc les rapports FRST sont où ?

Dannh · par **Dannh** » 04 nov. 2015 00:53

Voici les rapports:
FRST, AdwCleaner, ZHPCleaner

par **Malekal_morte** » 04 nov. 2015 09:17

Le rapport FRST n'est pas du tout récent.

Exécuté par Dannh BOLOKO (administrateur) sur DANNH (16-10-2015 01:01:46)

Dannh · par **Dannh** » 05 nov. 2015 01:12

Je viens d' effectuer une nouvelle analyse
voici les résultats du fichier FRST

par **Malekal_morte** » 05 nov. 2015 09:14

Le PC ne rame pas ?
car tu as plein d'applications inutiles.

Désinstalle :
Les programmes IOBit
Smadsoft / Smadav
TuneUp
WAMP.

Touche Windows + R
tape : taskmgr et OK.
Onglet Démarrage, décoche :

HKLM\...\Run: [APSDaemon] => C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2015-05-15] (Apple Inc.)
HKLM\...\Run: [PCMAgent] => C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe [148776 2009-09-16] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe [202024 2009-09-16] (CyberLink)
HKLM\...\Run: [TVEService] => C:\Program Files\CyberLink\TV Enhance\TVEService.exe [226536 2009-09-29] (CyberLink Corp.)
HKLM\...\Run: [Zune Launcher] => C:\Program Files\Zune\ZuneLauncher.exe [159456 2011-08-05] (Microsoft Corporation)
HKLM\...\Run: [RIMBBLaunchAgent.exe] => C:\Program Files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe [90448 2011-11-02] (Research In Motion Limited)
HKLM\...\Run: [Nginx] => C:\Program Files\Nginx\shortcut.lnk [1687 2015-07-14] ()
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2015-06-17] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [157992 2015-07-11] (Apple Inc.)
HKLM\...\Run: [IObit Malware Fighter] => C:\Program Files\IObit\IObit Malware Fighter\IMF.exe [5889824 2015-07-28] (IObit)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [BitTorrent] => C:\Users\Dannh BOLOKO\AppData\Roaming\BitTorrent\BitTorrent.exe [1977192 2015-10-10] (BitTorrent Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [Messenger (Yahoo!)] => C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe [4351216 2009-05-13] (Yahoo! Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [DownloadAccelerator] => "C:\Program Files\DAP\DAP.EXE" /STARTUP
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [NokiaSuite.exe] => C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe [1053056 2011-11-01] (Nokia)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [IDMan] => C:\Program Files\Internet Download Manager\IDMan.exe [3911248 2015-10-16] (Tonec Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [RIMDeviceManager] => C:\Program Files\Common Files\Research In Motion\RIMDeviceManager\RIMDeviceManager.exe [2061648 2012-01-19] (Research In Motion Limited)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [MediaDICO36] => C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe [252416 2004-05-27] (L'Aventure Multimedia)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6453528 2015-07-17] (Piriform Ltd)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [iCloudServices] => C:\Program Files\Common Files\Apple\Internet Services\iCloudServices.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [ApplePhotoStreams] => C:\Program Files\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [iCloudDrive] => C:\Program Files\Common Files\Apple\Internet Services\iCloudDrive.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [uTorrent] => C:\Users\Dannh BOLOKO\AppData\Roaming\uTorrent\updates\3.4.5_41202.exe [1822048 2015-10-14] (BitTorrent Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aura.lnk [2013-09-04]
ShortcutTarget: Aura.lnk -> C:\Windows\8 Skin Pack\Aura\Aura.exe (Stealth Software)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel du Petit Larousse 2010.lnk [2014-08-11]
ShortcutTarget: Hyperappel du Petit Larousse 2010.lnk -> C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe (Pas de fichier)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk [2015-09-09]
ShortcutTarget: RealPlayer Cloud Service UI.lnk -> C:\Program Files\Real\RealPlayer\RPDS\Bin\rpsystray.exe (RealNetworks, Inc.)
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk [2013-08-26]
ShortcutTarget: Adobe Gamma.lnk -> C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bible Verse.lnk [2013-08-11]
ShortcutTarget: Bible Verse.lnk -> C:\Program Files\Bible Verse\verse.exe ()
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GLhNNYOIk.resources [2013-09-06] ()
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\KYRsYX.resources [2013-09-06] ()

OK et ne redémarre pas l'ordinateur.

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msrjshrgb.exe <===== ATTENTION
S2 834b7789; "C:\Windows\system32\rundll32.exe" "c:\Program Files\CutterSystem\CutterSystem.dll",serv
S2 jiqepyci; pas de ImagePath
c:\Program Files\CutterSystem

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Malekal.com forum

Mes données sur Windows 10 paralysées par Cryptowall 3.0

Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Je suis infecté par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0