Mes données sur Windows 10 paralysées par Cryptowall 3.0

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Dannh

Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Bonjour,

Je viens d'être victime de CryptoWall 3.0 et j'ai besoin d'aide de la part d'un interlocuteur.

http://pjjoint.malekal.com/files.php?id ... 10k12i13m5
http://pjjoint.malekal.com/files.php?id ... f8u14k14r7
http://pjjoint.malekal.com/files.php?id ... p8v7r11h15

Merci
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Je suis infecté par Cryptowall 3.0

par Malekal_morte »

Salut,


Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.


~~

Ton ordinateur est bourré d'adwares et de programmes parasites en plus de cryptowall

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b13] => C:\Windows\system32\regsvr32.exe C:\1f9b134\1f9b134.dll
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b134] => C:\Windows\system32\regsvr32.exe C:\Users\DANNHB~1\AppData\Roaming\1f9b134.dll <===== ATTENTION



Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
* Télécharge le sur ton bureau ou dossier de téléchargement.
* Lance AdwCleaner, clique sur [Scanner].
* L'analyse peux durer plusieurs minutes, patiente.
* Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
* Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



Fais un nettoyage ZHPCleaner.


Refais un scan FRST et donne les rapports via pjjoint.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Dannh

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Merci beaucoup
voici le contenu le fixlog:
Résultats de correction de Farbar Recovery Scan Tool (x86) Version:15-10-2015 01
Exécuté par Dannh BOLOKO (2015-11-01 03:14:43) Run:1
Exécuté depuis C:\Users\Dannh BOLOKO\Desktop
Profils chargés: Dannh BOLOKO (Profils disponibles: Dannh BOLOKO)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b13] => C:\Windows\system32\regsvr32.exe C:\1f9b134\1f9b134.dll
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [1f9b134] => C:\Windows\system32\regsvr32.exe C:\Users\DANNHB~1\AppData\Roaming\1f9b134.dll
*****************

HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\Software\Microsoft\Windows\CurrentVersion\Run\\1f9b13 => valeur non trouvé(e).
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\Software\Microsoft\Windows\CurrentVersion\Run\\1f9b134 => valeur non trouvé(e).

==== Fin de Fixlog 03:14:44 ====
Dannh

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Après avoir redémarré l'ordinateur les fichiers help_decript sont toujour présents et les fichiers multimédia ne marche pas. L'opération a t-il marchée?
Les fichiers sont-ils corrompu?
Merci.
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Malekal_morte »

La récupération des documents est impossible.

Pour les fichiers help_decrypt, il faut les supprimer manuellement.
Fais une recherche de fichiers et supprime les tous.

As-tu fait le reste de la procédure ?
AdwCleaner + ZHPCleaner.
Quand c'est fait, refais un scan FRST comme demandé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Dannh

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Oui c'est fait
merci!
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Malekal_morte »

et donc les rapports FRST sont où ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Dannh

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Voici les rapports:
FRST, AdwCleaner, ZHPCleaner
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Malekal_morte »

Le rapport FRST n'est pas du tout récent.
Exécuté par Dannh BOLOKO (administrateur) sur DANNH (16-10-2015 01:01:46)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Dannh

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Dannh »

Je viens d' effectuer une nouvelle analyse
voici les résultats du fichier FRST
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Mes données sur Windows 10 paralysées par Cryptowall 3.0

par Malekal_morte »

Le PC ne rame pas ?
car tu as plein d'applications inutiles.

Désinstalle :
Les programmes IOBit
Smadsoft / Smadav
TuneUp
WAMP.


Touche Windows + R
tape : taskmgr et OK.
Onglet Démarrage, décoche :

HKLM\...\Run: [APSDaemon] => C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [60712 2015-05-15] (Apple Inc.)
HKLM\...\Run: [PCMAgent] => C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe [148776 2009-09-16] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe [202024 2009-09-16] (CyberLink)
HKLM\...\Run: [TVEService] => C:\Program Files\CyberLink\TV Enhance\TVEService.exe [226536 2009-09-29] (CyberLink Corp.)
HKLM\...\Run: [Zune Launcher] => C:\Program Files\Zune\ZuneLauncher.exe [159456 2011-08-05] (Microsoft Corporation)
HKLM\...\Run: [RIMBBLaunchAgent.exe] => C:\Program Files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe [90448 2011-11-02] (Research In Motion Limited)
HKLM\...\Run: [Nginx] => C:\Program Files\Nginx\shortcut.lnk [1687 2015-07-14] ()
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2015-06-17] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [157992 2015-07-11] (Apple Inc.)
HKLM\...\Run: [IObit Malware Fighter] => C:\Program Files\IObit\IObit Malware Fighter\IMF.exe [5889824 2015-07-28] (IObit)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [BitTorrent] => C:\Users\Dannh BOLOKO\AppData\Roaming\BitTorrent\BitTorrent.exe [1977192 2015-10-10] (BitTorrent Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [Messenger (Yahoo!)] => C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe [4351216 2009-05-13] (Yahoo! Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [DownloadAccelerator] => "C:\Program Files\DAP\DAP.EXE" /STARTUP
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [NokiaSuite.exe] => C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe [1053056 2011-11-01] (Nokia)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [IDMan] => C:\Program Files\Internet Download Manager\IDMan.exe [3911248 2015-10-16] (Tonec Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [RIMDeviceManager] => C:\Program Files\Common Files\Research In Motion\RIMDeviceManager\RIMDeviceManager.exe [2061648 2012-01-19] (Research In Motion Limited)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [MediaDICO36] => C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe [252416 2004-05-27] (L'Aventure Multimedia)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner.exe [6453528 2015-07-17] (Piriform Ltd)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [iCloudServices] => C:\Program Files\Common Files\Apple\Internet Services\iCloudServices.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [ApplePhotoStreams] => C:\Program Files\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [iCloudDrive] => C:\Program Files\Common Files\Apple\Internet Services\iCloudDrive.exe [43816 2015-04-26] (Apple Inc.)
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\Run: [uTorrent] => C:\Users\Dannh BOLOKO\AppData\Roaming\uTorrent\updates\3.4.5_41202.exe [1822048 2015-10-14] (BitTorrent Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Aura.lnk [2013-09-04]
ShortcutTarget: Aura.lnk -> C:\Windows\8 Skin Pack\Aura\Aura.exe (Stealth Software)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel du Petit Larousse 2010.lnk [2014-08-11]
ShortcutTarget: Hyperappel du Petit Larousse 2010.lnk -> C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe (Pas de fichier)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\RealPlayer Cloud Service UI.lnk [2015-09-09]
ShortcutTarget: RealPlayer Cloud Service UI.lnk -> C:\Program Files\Real\RealPlayer\RPDS\Bin\rpsystray.exe (RealNetworks, Inc.)
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk [2013-08-26]
ShortcutTarget: Adobe Gamma.lnk -> C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bible Verse.lnk [2013-08-11]
ShortcutTarget: Bible Verse.lnk -> C:\Program Files\Bible Verse\verse.exe ()
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GLhNNYOIk.resources [2013-09-06] ()
Startup: C:\Users\Dannh BOLOKO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\KYRsYX.resources [2013-09-06] ()
OK et ne redémarre pas l'ordinateur.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1261532111-4151208307-1204149289-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msrjshrgb.exe <===== ATTENTION
S2 834b7789; "C:\Windows\system32\rundll32.exe" "c:\Program Files\CutterSystem\CutterSystem.dll",serv
S2 jiqepyci; pas de ImagePath
c:\Program Files\CutterSystem
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »