Windows 7 a été infecté par Crytowall 3.0

[chris jasp]

Bonjour à tous,

Je me suis fait infecter par le virus Help_Decrypt.

En voyant ce forum j'ai suivi le tutoriel et me voici avec un fichier FRST.txt que voici.
http://pjjoint.malekal.com/files.php?id ... i13n8c5n12

Si quelqu'un pouvait m'aider.
merci

[Malekal_morte]

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Il y a aussi [url=https://www.malekal.com/supprimer-les-p ... adware/des adwares[/url] qui tournent.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Startup: C:\Users\christelle.jasquart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML [2015-09-05] ()
Startup: C:\Users\christelle.jasquart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-09-05] ()
Startup: C:\Users\christelle.jasquart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT [2015-09-05] ()
InternetURL: C:\Users\christelle.jasquart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://ayh2m57ruxjtwyd5.abctopayforwin.com/1sUk7jb
HKLM-x32\...\Run: [SweetIM] => C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [Startertv] => [X]
HKLM-x32\...\Run: [MapsGalaxy EPM Support] => C:\Program Files (x86)\MapsGalaxy_39\bar\1.bin\39medint.exe [12872 2014-07-21] (Mindspark Interactive Network, Inc.)
HKLM-x32\...\Run: [MapsGalaxy_39 Browser Plugin Loader 64] => C:\Program Files (x86)\MapsGalaxy_39\bar\1.bin\39brmon64.exe [71752 2014-07-21] (VER_COMPANY_NAME)
R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026944 2015-09-05] (Enigma Software Group USA, LLC.)
2015-09-05 21:59 - 2015-09-05 21:59 - 00003376 _____ C:\Windows\System32\Tasks\SpyHunter4Startup
2015-09-05 21:59 - 2015-09-05 21:59 - 00000000 ____D C:\Users\christelle.jasquart\AppData\Roaming\Enigma Software Group
R2 MapsGalaxy_39Service; C:\Program Files (x86)\MapsGalaxy_39\bar\1.bin\39barsvc.exe [88648 2014-07-21] (COMPANYVERS_NAME)
2015-09-05 15:00 - 2012-12-19 17:48 - 00000000 ____D C:\ProgramData\SweetIM


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/

~~

Fais une recherche de fichiers pour supprimer tous les fichiers help_decrypt.

[chris jasp]

Bonjour,
un très grand merci pour l'aide. Après toute la journée à suivre vos conseils je crois que mon ordinateur n'est plus infecter. Effectivement j'ai perdu tous mes fichiers mais c'est un moindre mal.
je ne comprends pas l'origine de l'infection car je n'ouvre aucune pièce jointe suspecte et il me semble qu'hier je n'ai été que sur des sites internet (le bon coin et leclerc drive!). Est ce possible que le virus soit arrivé par ce biais.
Encore une fois merci beaucoup pour l'aide et la réactivité.

[chris jasp]

Par contre je viens de m'apercevoir que je ne peux pas réactiver mon centre de sécurité. Est ce grave?

[Malekal_morte]

Tu as ce FAQ pour rétablir les services Windows dont le centre de sécurité.

Dans mon message précédent, je donne les deux vecteur principales de ces infections :
- pièce jointe par mail, document Word et Excel compris et ou zip.
- Exploit sur site WEB.

Si tu es certains de ne pas avoir ouvert de pièce jointe piégée, alors c'est probablement le second cas.


Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à  la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à  jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à  ton insu.
Le fait de ne pas avoir des logiciels à  jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à  jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à  jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à  jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à  faire.