Rogue bloqueur de fichiers (sujet clos non résolu)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Rogue bloqueur de fichiers (sujet clos non résolu)

Message par Lucovitch » 15 sept. 2012 10:26

Bonjour à tous,
Je me trouve aux prises avec une saleté qui me dit en anglais que tous les fichiers sont cryptés et que seul l'envoi d'un code à une adresse mail et le paiement de 50 € débloquera la situation (ben voyons !)
Je suis mis en garde contre toute tentative de résoudre le problème moi-même ou par une tierce personne.
Ce joli fichier répond au doux nom de "How to decrypt files.txt".
J'ai installé OTL.exe. Pourriez-vous me concocter un script pour éradiquer ce malware.

Merci
Dernière édition par Lucovitch le 25 sept. 2012 09:22, édité 1 fois.




Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 15 sept. 2012 11:45

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 15 sept. 2012 13:48

Petite précision, les fichiers cryptés ont l'extension .blockage (l'orthographe est bonne)

En premier lieu, voici le rapport de Malwarebytes:
J'enchaîne avec OTL mais quel script dois-je mettre ?
Pièces jointes
mbam-log-2012-09-15 (14-32-21).txt
(13.38 Kio) Téléchargé 149 fois

Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 16 sept. 2012 00:10

Mets en quarantaine ce qui a été détecté.

Je suis tombé sur une variante (j'ai édité le billet en lien dans mon message précédent) et j'ai essayé l'outil de Kaspersky et pour le moment, il marche pas.
Faut patienter voir si une solution est trouvable.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 16 sept. 2012 16:33

Bonjour,

Dans le fichier de Malwarebytes,il est fait mention de tsft.exe comme fichier infecté. Ne serait-ce pas la source du problème ?


Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 17 sept. 2012 09:31

On va faire un OTL pour voir si encore infecté.
Mais le malware a crypté les documents, faut un programme qui décrypte (si c'est possible).


OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 18 sept. 2012 11:51

Bonjour et merci de ta disponibilité.
Voici le rapport: LIEN

Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 18 sept. 2012 17:12

Tu as installé plein de programmes parasites.

Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés. C'est notamment le cas sur 01net et Softonic qu'ils est conseillé d'éviter comme sites de téléchargement.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installer des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/2011/07/27/detec ... d-program/

Image

Tu peux installer ce programme pour filtrer ces PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/hosts ... upsadware/


~~


Désinstalle :
Askbar
Babylon
Funmoods
Yontoo

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/09/14 19:11:51 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Maurice\Application Data\Mozilla\Firefox\Profiles\7adczh6i.default\extensions\ffxtlbr@babylon.com
[2012/09/14 18:39:05 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\Maurice\Application Data\Mozilla\Firefox\Profiles\7adczh6i.default\extensions\ffxtlbr@funmoods.com
[2012/09/14 18:14:36 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\Maurice\Application Data\Mozilla\Firefox\Profiles\7adczh6i.default\extensions\plugin@yontoo.com
[2012/09/15 09:04:21 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Maurice\Application Data\Mozilla\Firefox\Profiles\7adczh6i.default\extensions\toolbar@ask.com
O2 - BHO: (WiseConvert 1.5 Toolbar) - {19803860-b306-423c-bbb5-f60a7d82cde5} - C:\Program Files\WiseConvert_1.5\prxtbWise.dll (Conduit Ltd.)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (FileConverter 1.5 Toolbar) - {cfcb809c-3a22-4616-a916-6c007bd9d920} - C:\Program Files\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (no name) - {DB26DEC7-5D32-4608-BB28-ED22fAE7647A} - No CLSID value found.
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
[2012/09/15 09:04:07 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com
[2012/09/15 09:04:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Local Settings\Application Data\AskToolbar
[2012/09/14 18:03:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Local Settings\Application Data\WiseConvert_1.5
[2012/09/14 18:03:09 | 000,000,000 | ---D | C] -- C:\Program Files\WiseConvert_1.5
[2012/09/14 17:30:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Application Data\PriceGong
[2012/09/14 17:30:41 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2012/09/14 17:30:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Local Settings\Application Data\FileConverter_1.5
[2012/09/14 17:30:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Local Settings\Application Data\Conduit
[2012/09/14 18:55:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Application Data\Funmoods
[2012/09/14 18:51:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Maurice\Start Menu
[2012/09/14 18:51:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Browser Manager
[2012/09/14 18:49:45 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
[2012/09/14 18:14:35 | 000,000,000 | ---D | C] -- C:\Program Files\Yontoo
[2012/09/14 18:13:54 | 000,000,000 | ---D | C] -- C:\Program Files\Funmoods
[2012/09/14 18:13:52 | 000,384,844 | ---- | M] () -- C:\Documents and Settings\Maurice\Local Settings\Application Data\funmoods-speeddial.crx
[2012/09/15 08:53:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask
[2012/07/05 08:07:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
[2012/07/04 16:38:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\boost_interprocess
[2012/09/14 18:51:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Browser Manager
[2012/09/14 18:48:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\Babylon
[2012/09/14 18:51:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\BabylonToolbar
[2012/09/14 18:55:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\Funmoods
[2012/06/24 07:12:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\Google
[2012/09/14 20:55:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\PriceGong
[2012/06/11 20:15:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\searchquband
[2012/09/14 10:51:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\searchqutoolbar
[2012/09/18 10:38:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\Systweak
[2012/06/29 18:30:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Maurice\Application Data\Toolbar4
* redemarre le pc sous windows et poste le rapport ici
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 18 sept. 2012 17:37

Voici le rapport: Fichier .log

Petite précision: ce n'est pas ma machine ! Personnellement j'utilise un IBM T43 de 2005 avec Win7 et 1.5 GO de mémoire. Eset Smart Security pour me protéger.

Concernant les barres d'outils, tu prêches un convaincu !
A bientôt

Lucovitch

Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 18 sept. 2012 18:01

okay alors fais lire la page au propriétaire.

Sinon ça va ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 18 sept. 2012 18:25

Eh bien disons que si cette saloperie ne me pourrissait pas l'existence, cela irait mieux !
Il semblerait que la gendarmerie nous pourrit la vie aussi !

A bientôt pour des nouvelles

Lucovitch

Malekal_morte
Site Admin
Site Admin
Messages : 95468
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rogue bloqueur de fichiers

Message par Malekal_morte » 19 sept. 2012 09:38

J'ai pas compris.
Tu as récupéré la main sur le PC ?

Pour ce qui est de récupéré les documents, tente ça : https://www.malekal.com/2012/03/12/votre ... oi-france/
si ça passe pas, malheureusement faudra faire tirer un trait sur les documents.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Lucovitch
newbie
newbie
Messages : 26
Inscription : 11 avr. 2012 10:19

Re: Rogue bloqueur de fichiers

Message par Lucovitch » 25 sept. 2012 09:21

Bonjour,

Aprés quelques jours d'indisponibilité, je me suis ré-attaqué au problème de ce PC mais malheureusement, je n'ai aucun couple fichier sain/infecté !
De guerre lasse, le propriétaire du PC m'a demandé de tout effacer et de tout réinstaller comme d'origine.
Merci donc de ton aide et de ta disponibilité.
Bon courage avec la gendarmerie, il semble qu'elle réalise une entrée en forçe ! PDT_007


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »