Virus Cryptosystem, tous mes fichiers sont encryptés ?

[Pascal-lrq]

Bonjour,

Je viens d'être infecté par Cryptosystem,
J'ai suivi la procédure sur le site et je vous communique les 3 fichiers FRST :
http://pjjoint.malekal.com/files.php?id ... 11n12d15o6
http://pjjoint.malekal.com/files.php?id ... 2k138y13k9
http://pjjoint.malekal.com/files.php?id ... 11v13g10h8

Quelqu'un peut il m'aider ?

Tous mes fichiers sont encryptés,
y a t il un moyen de les récupérer ?

Merci de votre aide

Pascal

[Malekal_morte]

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Cela semble être Ransom:Win32/Tescrypt.A

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix


Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html [2015-08-28] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt [2015-08-28] ()
2015-08-29 11:10 - 2014-03-29 19:43 - 00000000 ____D C:\ProgramData\SaverEixtensIon
2015-08-29 11:07 - 2014-05-24 19:16 - 00000000 ____D C:\ProgramData\DiscounttExTTensi
2015-08-29 11:07 - 2014-05-24 02:57 - 00000000 ____D C:\ProgramData\CoupExtuension
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\YoutubeAdblocker
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\SafeWeb
2015-08-28 11:11 - 2014-03-23 00:40 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Local\Torch
2015-08-28 13:01 - 2013-06-27 08:19 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Roaming\Babylon
2015-08-28 10:58 - 2014-03-23 00:40 - 00000000 ____D C:\ProgramData\493b71b7b27e882d
2015-08-28 10:58 - 2013-11-11 12:54 - 00000000 ____D C:\ProgramData\APN
2015-08-28 10:58 - 2013-06-27 08:19 - 00000000 ____D C:\ProgramData\Babylon
2012-12-09 22:12 - 2012-12-09 22:12 - 27760586 _____ () C:\ProgramData\SPL2014.tmp
2014-06-15 17:09 - 2014-06-15 17:10 - 47502916 _____ () C:\ProgramData\SPL2D6B.tmp
2011-12-10 13:52 - 2011-12-10 13:52 - 10648661 _____ () C:\ProgramData\SPL31D9.tmp
2015-07-01 08:46 - 2015-07-01 08:46 - 1551488 _____ () C:\ProgramData\SPL3DBB.tmp
2011-03-17 13:15 - 2011-03-17 13:15 - 15760533 _____ () C:\ProgramData\SPL4972.tmp
2014-06-15 21:46 - 2014-06-15 21:47 - 19299885 _____ () C:\ProgramData\SPL60BF.tmp
2012-12-06 15:39 - 2012-12-06 15:39 - 33019428 _____ () C:\ProgramData\SPL6604.tmp
2014-11-24 22:42 - 2014-11-24 22:42 - 0684805 _____ () C:\ProgramData\SPL72AF.tmp
2011-03-17 13:16 - 2011-03-17 13:16 - 15760533 _____ () C:\ProgramData\SPL7A6C.tmp
2011-03-18 09:23 - 2011-03-18 09:24 - 15784366 _____ () C:\ProgramData\SPL80D2.tmp
2011-03-20 02:13 - 2011-03-20 02:13 - 15784366 _____ () C:\ProgramData\SPL8111.tmp
2011-03-20 21:01 - 2011-03-20 21:01 - 15784366 _____ () C:\ProgramData\SPL8313.tmp
2010-12-14 23:10 - 2010-12-14 23:10 - 9274788 _____ () C:\ProgramData\SPL93C9.tmp
2014-06-15 19:37 - 2014-06-15 19:37 - 23579596 _____ () C:\ProgramData\SPLB1AA.tmp
2011-03-24 22:44 - 2011-03-24 22:44 - 1115142 _____ () C:\ProgramData\SPLD03B.tmp
2012-03-05 23:44 - 2012-03-05 23:44 - 0736235 _____ () C:\ProgramData\SPLD335.tmp
2011-02-02 22:20 - 2011-02-02 22:20 - 2671460 _____ () C:\ProgramData\SPLE415.tmp
2012-06-18 21:19 - 2012-06-18 21:19 - 2053833 _____ () C:\ProgramData\SPLEA11.tmp
2011-06-13 20:57 - 2011-06-13 20:57 - 1839108 _____ () C:\ProgramData\SPLFE89.tmp


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais une recherche de fichiers sur restore_files_
et supprime tout ce qui est détecté.

[Pascal-lrq]

Bonjour et merci de ton aide,

Ci-dessous le résultat de la correction

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:31-08-2015
Exécuté par Cath&Pascal (2015-08-31 21:35:58) Run:1
Exécuté depuis C:\Users\Cath&Pascal\Desktop
Profils chargés: Cath&Pascal (Profils disponibles: Cath&Pascal)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt [2015-08-27] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html [2015-08-28] ()
Startup: C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt [2015-08-28] ()
2015-08-29 11:10 - 2014-03-29 19:43 - 00000000 ____D C:\ProgramData\SaverEixtensIon
2015-08-29 11:07 - 2014-05-24 19:16 - 00000000 ____D C:\ProgramData\DiscounttExTTensi
2015-08-29 11:07 - 2014-05-24 02:57 - 00000000 ____D C:\ProgramData\CoupExtuension
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\YoutubeAdblocker
2015-08-28 10:59 - 2014-03-23 00:41 - 00000000 ____D C:\ProgramData\SafeWeb
2015-08-28 11:11 - 2014-03-23 00:40 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Local\Torch
2015-08-28 13:01 - 2013-06-27 08:19 - 00000000 ____D C:\Users\Cath&Pascal\AppData\Roaming\Babylon
2015-08-28 10:58 - 2014-03-23 00:40 - 00000000 ____D C:\ProgramData\493b71b7b27e882d
2015-08-28 10:58 - 2013-11-11 12:54 - 00000000 ____D C:\ProgramData\APN
2015-08-28 10:58 - 2013-06-27 08:19 - 00000000 ____D C:\ProgramData\Babylon
2012-12-09 22:12 - 2012-12-09 22:12 - 27760586 _____ () C:\ProgramData\SPL2014.tmp
2014-06-15 17:09 - 2014-06-15 17:10 - 47502916 _____ () C:\ProgramData\SPL2D6B.tmp
2011-12-10 13:52 - 2011-12-10 13:52 - 10648661 _____ () C:\ProgramData\SPL31D9.tmp
2015-07-01 08:46 - 2015-07-01 08:46 - 1551488 _____ () C:\ProgramData\SPL3DBB.tmp
2011-03-17 13:15 - 2011-03-17 13:15 - 15760533 _____ () C:\ProgramData\SPL4972.tmp
2014-06-15 21:46 - 2014-06-15 21:47 - 19299885 _____ () C:\ProgramData\SPL60BF.tmp
2012-12-06 15:39 - 2012-12-06 15:39 - 33019428 _____ () C:\ProgramData\SPL6604.tmp
2014-11-24 22:42 - 2014-11-24 22:42 - 0684805 _____ () C:\ProgramData\SPL72AF.tmp
2011-03-17 13:16 - 2011-03-17 13:16 - 15760533 _____ () C:\ProgramData\SPL7A6C.tmp
2011-03-18 09:23 - 2011-03-18 09:24 - 15784366 _____ () C:\ProgramData\SPL80D2.tmp
2011-03-20 02:13 - 2011-03-20 02:13 - 15784366 _____ () C:\ProgramData\SPL8111.tmp
2011-03-20 21:01 - 2011-03-20 21:01 - 15784366 _____ () C:\ProgramData\SPL8313.tmp
2010-12-14 23:10 - 2010-12-14 23:10 - 9274788 _____ () C:\ProgramData\SPL93C9.tmp
2014-06-15 19:37 - 2014-06-15 19:37 - 23579596 _____ () C:\ProgramData\SPLB1AA.tmp
2011-03-24 22:44 - 2011-03-24 22:44 - 1115142 _____ () C:\ProgramData\SPLD03B.tmp
2012-03-05 23:44 - 2012-03-05 23:44 - 0736235 _____ () C:\ProgramData\SPLD335.tmp
2011-02-02 22:20 - 2011-02-02 22:20 - 2671460 _____ () C:\ProgramData\SPLE415.tmp
2012-06-18 21:19 - 2012-06-18 21:19 - 2053833 _____ () C:\ProgramData\SPLEA11.tmp
2011-06-13 20:57 - 2011-06-13 20:57 - 1839108 _____ () C:\ProgramData\SPLFE89.tmp

*****************

C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.html => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_wjfac.txt => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.html => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_ypcpi.txt => déplacé(es) avec succès
C:\ProgramData\SaverEixtensIon => déplacé(es) avec succès
C:\ProgramData\DiscounttExTTensi => déplacé(es) avec succès
C:\ProgramData\CoupExtuension => déplacé(es) avec succès
C:\ProgramData\YoutubeAdblocker => déplacé(es) avec succès
C:\ProgramData\SafeWeb => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Local\Torch => déplacé(es) avec succès
C:\Users\Cath&Pascal\AppData\Roaming\Babylon => déplacé(es) avec succès
C:\ProgramData\493b71b7b27e882d => déplacé(es) avec succès
C:\ProgramData\APN => déplacé(es) avec succès
C:\ProgramData\Babylon => déplacé(es) avec succès
C:\ProgramData\SPL2014.tmp => déplacé(es) avec succès
C:\ProgramData\SPL2D6B.tmp => déplacé(es) avec succès
C:\ProgramData\SPL31D9.tmp => déplacé(es) avec succès
C:\ProgramData\SPL3DBB.tmp => déplacé(es) avec succès
C:\ProgramData\SPL4972.tmp => déplacé(es) avec succès
C:\ProgramData\SPL60BF.tmp => déplacé(es) avec succès
C:\ProgramData\SPL6604.tmp => déplacé(es) avec succès
C:\ProgramData\SPL72AF.tmp => déplacé(es) avec succès
C:\ProgramData\SPL7A6C.tmp => déplacé(es) avec succès
C:\ProgramData\SPL80D2.tmp => déplacé(es) avec succès
C:\ProgramData\SPL8111.tmp => déplacé(es) avec succès
C:\ProgramData\SPL8313.tmp => déplacé(es) avec succès
C:\ProgramData\SPL93C9.tmp => déplacé(es) avec succès
C:\ProgramData\SPLB1AA.tmp => déplacé(es) avec succès
C:\ProgramData\SPLD03B.tmp => déplacé(es) avec succès
C:\ProgramData\SPLD335.tmp => déplacé(es) avec succès
C:\ProgramData\SPLE415.tmp => déplacé(es) avec succès
C:\ProgramData\SPLEA11.tmp => déplacé(es) avec succès
C:\ProgramData\SPLFE89.tmp => déplacé(es) avec succès

==== Fin de Fixlog 21:36:02 ====

Par contre je n'ai pas compris ce qu'il fallait faire avec restore_files ?

Pascal

[Malekal_morte]

ok fais le reste de la procédure.

[Pascal-lrq]

bonjour,

J'ai supprimé 26000 fichiers... mais impossible pour 5 fichiers
J'ai une erreur

0x8000402 : cette interface n'est pas prise en charge

De plus j'ai toujours mon buereau sur fond noir et impossible de mettre autre chose.
Le virus est il toujours présent ?

Merci, Pascal

[Malekal_morte]

De plus j'ai toujours mon buereau sur fond noir et impossible de mettre autre chose.

Ca bloque à quel niveau ?
Pas de message en bas à droite qui dit que Windows n'est pas authentique ?

[Pascal-lrq]

Bonjour,

Lorsque je fais une recherche sur les fichiers restore_files, il en reste 5.
Lorsque je fais supprimer dessus j'ai le message d'erreur. Je n'ai pas d'autre message. Pas de message en bas à droite.

Si j'essaie d'ouvrir l'un des fichiers, windows ne trouve pas le fichier et demande de vérifier l'emplacement.

Pascal

[Malekal_morte]

Pas grave, laisse les.
Tu n'as pas répondu pour la question précédente, en ce qui concerne le fond d'écran.

[Pascal-lrq]

Bonjour,

Non je n'ai pas de message en bas à droite. Je n'avais pas compris que la question était pour le fond d'écran
J'ai la version Windows d'originer non bricolée.

Je viens de refaire un essai et c'est bon...

Une dernière question avant de réutiliser mon disque dur, comment m'assurer que le virus a bien été supprimé ?

Pascal

[Malekal_morte]

Tu peux faire ceci :

Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :
* Tutorial Malwarebytes version gratuite
* Tutorial Malwarebytes version payante

Mets Malwarebytes à  jour puis lance un examen.

A la fin du scan, clic sur "Supprimer Selection" en bas à  gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal d'analyse.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[Pascal-lrq]

Deux fichiers après lanalyse
http://pjjoint.malekal.com/files.php?re ... 15y15c11h6
http://pjjoint.malekal.com/files.php?id ... g6s11m9j11

Pascal

[Malekal_morte]

Simplement des programmes parasites, pas de trojan.

[Pascal-lrq]

Bonjour,

Je vais considérer que le virus n'est plus là.
Je vais approfondir la rubrique concernant la protection d'un PC

Merci de ton aide.

Pascal