Trojan crypteur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

fab4242
Messages : 3
Inscription : 06 août 2012 11:46

Trojan crypteur

par fab4242 »

Bonjour à tous,

Je viens ici partager ma mésaventure qu'il m'est arrivé ce we avec un trojan, et un début de solution pour réparer.

j'ai eu une fenêtre m'indiquant que certains logiciels office n'étaient pas légaux et en demandant si les fichiers impactés avaient de la valeur pour moi (sous entendu payer pour les retrouver). J'ai dit non, et à partir de la plus de nouvelle du trojan. Sauf que quelques heures après je me suis rendu compte que tous mes fichiers JPG DOC DOCX XLS et XLSX de mon pc étaient marqués comme corrompus.

La taille était inchangée ainsi que le nom, l'extension était elle aussi bonne mais impossible de les ouvrir.
j'ai passé tous les anti virus et trojans habituels sans succès puis cherché pendant plusieurs jours une solution sur tous les forums sans résultats. J'ai testé RogueKiller, l'outil de désinfection kaspersky et même rannohdecryptor en donnant un fichier non infecter et le même infecté.

En me penchant dans le code Hexa de tous ces fichiers infectés j'ai trouvé que le ou les 2 premiers caractères on été modifiés.
Pour l'instant je les récupères un par un avec une macro dans l'éditeur hexa, mais est-ce que que quelqu'un a une méthode fiable pour traiter tout le disque, j'ai peur d'oublier des fichier dans tous les dossiers windows ?

merci pour votre aide
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Salut,

T'as le trojan/dropper pour voir le nom qu'il a ?
Si oui ou s'il est en quarantaine, sort le de la quarantaine et envoie le sur http://upload.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab4242
Messages : 3
Inscription : 06 août 2012 11:46

Re: Trojan crypteur

par fab4242 »

je vois en MP que je suis pas le seul à avoir eu ca ce we.
Pour le nom j'ai trouvé les trojan "Agent" et "chifrax" mais l'outil de désinfection kaspersky ne me permet pas de les récupérer.
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Pareil, sorti le malware de la quarantaine et l'envoyer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pi-Wi
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

par Pi-Wi »

bonjour,

Pareil pour moi aujourd'hui, je viens d'essayer les différents anti ransomware pour le décryptage mais sans résultat !

Tous mes fichiers XLS, Doc et Jpg sont infectés ... à l'aide !!!
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Malekal_morte a écrit :Pareil, sorti le malware de la quarantaine et l'envoyer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Au passage, si vous avez une idée sur quel site vous avez pu chopper cela.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pi-Wi
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

par Pi-Wi »

re...

je fais suivre le message de Fab :

Bonjour,

j'ai un éditeur hexadecimal (ultraedit)
et j'ai comparé les premier caractères des fichiers infectés et non infectés.
Pour moi les fichiers touchés sont JPG, XLS, DOC XLSX etDOCX

un JPG doit avoir en 2 premier caractères FF ( les 2 ont été modifiées pour moi)

un doc ou xls : D0 (juste le D a modifier pour moi)
un docx ou xlsx : 50 (juste le 5 a modifier pour moi)

le mieux c'est d'ouvrir des fichiers non corrompus pour voir si chez toi le problème est bien le meme.
Après nettoyer le pc avec les antivirus pour etre sur de pas etre à nouveau infecté puis nettoyer les fichiers.

J'ai pas trouvé de méthode automatisée juste enregistrer une macro qui modifie et enregistre le fichier mais faut tous les ouvrir.


ça marche pour moi : réussi à ouvrir et modifier des jpg / Xcell ...
Par contre il faudrait automatiser la routine : quelques ames charitables ?
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Il faudrait le malware et l'envoyer aux AV, style Dr.Web devrait sortir un fix.
D'où ma demande.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab4242
Messages : 3
Inscription : 06 août 2012 11:46

Re: Trojan crypteur

par fab4242 »

je n'arrive pas à le récupérer j'espère qu'un autre l'a encore.
emrys
Messages : 4
Inscription : 06 août 2012 20:43

Re: Trojan crypteur

par emrys »

Bonjour, j'ai le même soucis après une attaque ce week-end.
Cela concerne mes fichiers .xls, .xlsx, .doc, .docx et jpg dont ceux de ma clef usb qui contient des données importantes.

L'attaque de ce week-end comprenait :
-EXP/2012-0507.CQ
-TR/Medfos.A.702
-EXP/JAVA.Ivinest.Gen
-ADWARE/Adware.Gen7

Au préalable durant la semaine AVIRA m'a aussi détecté:
-ADWARE/Adware.Gen2
-Windows W32/Patched.UB
-TR/ATRAPS.Gen
-TR/ZAccess.H
-TR/Cutwail.jhg
-TR/Sirefef.A.37
-EXP/2011-3544.CH.3
-EXP/2012-0507.CM
-EXP/JAVA.Ternub.Gen
-EXP/2012-0507.CO
-EXP/2012-0507.AY.3
-EXP/JAVA.Ternub.Gen
-BDS/ZAccess.wjv
-EXP/JAVA.Ternub.Gen

Après avoir vu le virus gendarmerie, j'ai illico fait fonctionner roguekiller et ai pu reprendre le contrôle pour désinstaller JAVA, flash, et acrobate.

il semblerait que je me soit débarrassé de tout ça (sous réserve... je n'y connais pas grand chose).
Malheureusement je me retrouve avec ces fichiers endommagés.

Quelle est la procédure à suivre pour sortir un trojan de la quarantaine et l'envoyer?
Comment être sur d’être débarrassé de cette multi-infection?
Si je peux être guidé par un pro, ça m'éviterait de faire des bétises car je crois que j'en ai déjà fait en utilisant notamment combofix tel que décrit dans un forum, sans aide de quelqu'un qui se connait...

J'ai vu notamment un forum après coup où malekal disait qu'il fallait faire attention avec ce logiciel et etre accompagné car il peut en gros y avoir une perte de chances de se débarrasser du virus.

Bref, si quelqu'un veux bien me donner un coup de main, je lui en serais très reconnaissant...
Malekal_morte
Messages : 107612
Inscription : 10 sept. 2005 13:57

Re: Trojan crypteur

par Malekal_morte »

Voir là : https://www.malekal.com/2010/11/12/tutor ... ocId563382

Les EXP ce sont les exploits sur site WEB qui ont permet l'infection ==> les-exploits-sur-les-sites-web-pieges-t3563.html

ZeroAccess (Sirefef) est une infection spécifique.
ADWARE c'est que tu as un adware style Boxore ou PCtuto

Reste ces trois là qu'il faudrait récupérer en les sortant de la quarantaine :
TR/ATRAPS.Gen
TR/Medfos.A.702
TR/Cutwail.jhg <= normalement c'est une famille spécifique de spambot

Par contre, je sais pas trop pourquoi tu parles de virus gendarmerie ?
C'est celui là : https://www.malekal.com/2012/03/12/votre ... oi-france/ ?
qui a changé de tête vers : http://img15.hostingpics.net/pics/53476 ... 155814.jpg
car il a des fonctions de look mais ça ne correspond pas aux symptômes décrits ici, d'autre part, les tools de Kaspersky et Dr.Web doivent fonctionner.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
emrys
Messages : 4
Inscription : 06 août 2012 20:43

Re: Trojan crypteur

par emrys »

emrys
Messages : 4
Inscription : 06 août 2012 20:43

Re: Trojan crypteur

par emrys »

J'ai consulté des sites de streaming ce we pour info...

Les fichiers ne sont pas renommés locked. Ile gardent leur noms et sont tous modifiés à peu près à la même minute près. Ils n'ont pas la même taille que les fichiers originaux.

Je confirme aussi qu'avec un éditeur hexadécimal, j'arrive à les récupérer un à un...
Dernière modification par emrys le 06 août 2012 22:29, modifié 1 fois.
Pi-Wi
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

par Pi-Wi »

re...

toujours pas d'exe pour modifier tous les fichiers de tous les disques ??
J'ai commencé comme le conseillait fab à le faire à la main ... mais impossible à faire pour tous les fichiers Word, Excel et JPG ...

personne ne sait faire de moulinette qui permet de changer les 2 premiers caractères en Hexa des fichiers ?

ce qui est dingue avec ces nouveaux ransomware c'est que même en étant à jour et en prenant les dispositions : on se fait connement piéger !
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »