Erreurs multiples, fichiers corrompus, infection TeslaCrypt

[Cbingo]

Bonjour à tous,

Je sollicite votre aide pour un problème qui ne me concerne pas vraiment mais qui concerne un ami.

Ce dernier a un "petit" soucie avec son Windows qui, depuis hier, paraît être totalement fichu. Il ne peut plus ouvrir ses fichiers , dont des fichiers professionnels non importés. Le fond d'écran de bureau est tout simplement noir.

Lorsqu'il ouvre un fichier, un message d'erreur lui indique qu'il est corrompu, qu'il ne peut pas être lu. Lorsqu'il va sur internet, une page automatique s'ouvrir lui proposant de télécharger un logiciel pour récupérer ses fichiers.

Une idée de ce que c'est ? Que puis-je faire pour l'aider ?

[ѠOOT]

Bonjour,

D'après la description, votre ami a probablement été victime d'un rançongiciel chiffreur de fichiers.

Vous pouvez conseiller à votre ami de suivre le tutoriel FRST sur sa machine infectée. ( bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué )

Télécharger et lancer le scan FRST, cela va générer 3 rapports :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoyer, comme expliqué, ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour, donner les 3 liens pjjoint qui mènent à ses rapports, dans une nouvelle réponse afin que l'on puisse les consulter.

[Cbingo]

Je vous remercie pour votre réactivité.

Vous trouverez ci-joint les fichiers demandés:

FRST: http://pjjoint.malekal.com/files.php?id ... 4q14j5w715

Addition: http://pjjoint.malekal.com/files.php?id ... 12h10j1415

Quant au troisième rapport de scan, il n'apparaît nul part.

[Malekal_morte]

Deux antivirus, désinstalle celui en trop.

AV: Anti-virus firewall 9.12 (Enabled - Up to date) {15414183-282E-D62C-CA37-EF24860A2F17}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKLM\...\Run: [Instant Savings App-repairJob] => wscript.exe C:\Users\martial\AppData\Local\Instant Savings App\repair.js
C:\Users\martial\AppData\Local\Instant Savings App
Startup: C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2015-12-05] ()
Startup: C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ugl.html [2015-12-05] ()
Startup: C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ugl.txt [2015-12-05] ()
2015-12-05 03:38 - 2015-12-05 03:38 - 00009832 _____ C:\Users\martial\AppData\Roaming\how_recover+ugl.html
2015-12-05 03:38 - 2015-12-05 03:38 - 00009832 _____ C:\Users\martial\AppData\how_recover+ugl.html
2015-12-05 03:38 - 2015-12-05 03:38 - 00002779 _____ C:\Users\martial\AppData\Roaming\how_recover+ugl.txt
2015-12-05 03:38 - 2015-12-05 03:38 - 00002779 _____ C:\Users\martial\AppData\how_recover+ugl.txt
2015-12-05 03:30 - 2015-12-05 03:30 - 00009832 _____ C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+ugl.html
2015-12-05 03:30 - 2015-12-05 03:30 - 00009832 _____ C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+ugl.html
2015-12-05 03:30 - 2015-12-05 03:30 - 00002779 _____ C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+ugl.txt
2015-12-05 03:30 - 2015-12-05 03:30 - 00002779 _____ C:\Users\martial\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+ugl.txt
2015-12-05 03:27 - 2015-12-05 03:27 - 00009832 _____ C:\Users\martial\AppData\LocalLow\how_recover+ugl.html
2015-12-05 03:27 - 2015-12-05 03:27 - 00002779 _____ C:\Users\martial\AppData\LocalLow\how_recover+ugl.txt
2015-12-05 02:56 - 2015-12-05 03:26 - 00009832 _____ C:\Users\martial\AppData\Local\how_recover+ugl.html
2015-12-05 02:56 - 2015-12-05 03:26 - 00002779 _____ C:\Users\martial\AppData\Local\how_recover+ugl.txt
2015-12-05 02:56 - 2015-12-05 02:56 - 00009832 _____ C:\Users\martial\AppData\Local\Apps\how_recover+ugl.html
2015-12-05 02:56 - 2015-12-05 02:56 - 00002779 _____ C:\Users\martial\AppData\Local\Apps\how_recover+ugl.txt
2015-12-05 02:34 - 2015-12-05 02:34 - 00009832 _____ C:\Users\Public\Documents\how_recover+ugl.html
2015-12-05 02:34 - 2015-12-05 02:34 - 00002779 _____ C:\Users\Public\Documents\how_recover+ugl.txt
2015-12-05 02:33 - 2015-12-05 02:39 - 00009832 _____ C:\ProgramData\how_recover+ugl.html
2015-12-05 02:33 - 2015-12-05 02:39 - 00002779 _____ C:\ProgramData\how_recover+ugl.txt
2015-12-05 01:38 - 2015-12-07 09:51 - 00000680 _____ C:\Users\martial\AppData\Local\d3d9caps.tmp
2015-12-05 01:13 - 2015-12-05 02:38 - 00000000 ___HD C:\ProgramData\{49A0BAC7-3326-4433-9373-4AA8793ABB5C}
2015-12-07 09:46 - 2014-09-20 15:29 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2015-12-05 03:38 - 2015-09-30 18:12 - 00033054 _____ C:\Users\martial\Desktop\150922095506_secteur_mirebeau_plateaux_u7_1ere_phase.pdf.vvv
2015-12-05 03:38 - 2015-09-25 18:17 - 00120238 _____ C:\Users\martial\Desktop\FEUILLE DE PRESE. plat. U6-U7 2015-2016.xls.vvv
2015-12-05 03:38 - 2015-06-20 12:34 - 00094990 _____ C:\Users\martial\Desktop\Devis n° DC0334 - (3) (1).pdf.vvv
2015-12-05 03:38 - 2015-06-19 19:38 - 00052142 _____ C:\Users\martial\Desktop\Copie de tresorerie.xls.vvv
2015-12-05 03:38 - 2015-06-18 19:30 - 00000446 _____ C:\Users\martial\Desktop\Nouveau dossier compressé.zip.vvv
2015-12-05 03:38 - 2014-12-18 18:43 - 00056238 _____ C:\Users\martial\Desktop\EFFECTIFS bretigny. foot 2014-2015.xls.vvv
2015-12-05 03:38 - 2014-12-15 18:51 - 00052654 _____ C:\Users\martial\Desktop\GEMEAUX.xls.vvv
2015-12-05 03:38 - 2014-11-07 16:57 - 00114606 _____ C:\Users\martial\Desktop\FEUILLE DE PRESENCES plateaux U8-U9 (5).xls.vvv
2015-12-05 03:38 - 2014-03-03 16:14 - 00013422 _____ C:\Users\martial\Desktop\ERIC.xlsx.vvv
2015-12-05 02:32 - 2012-03-13 21:18 - 00000000 ____D C:\ProgramData\2237D
2015-12-05 02:32 - 2011-09-28 20:59 - 00000000 ____D C:\ProgramData\AA7
Task: C:\Windows\Tasks\iMeshNAG.job => C:\Users\lea\AppData\Local\Temp\iMesh_setup.exe <==== ATTENTION
Task: {D4AABD4A-1C48-40CD-83E3-D1584F72A879} - System32\Tasks\{7F39B7FE-68CE-4DF1-A736-ABF29CB0EB2F} => pcalua.exe -a "C:\Program Files\GamesBar\uninst.exe"

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/


~~

Touche Windows + R
tape C:\ProgramData\
et OK.
Fais une capture d'écran et donne la via pjjoint.

[Cbingo]

J'ai effectuer les démarches que vous avez indiqué pour nettoyer par contre je n'ai toujours pas réussis à récupérer les fichiers qui ont été cryptés.

[Cbingo]

Ci-joint une copie du message qui apparaît dès l'ouverture d'un fichier :

---> http://pjjoint.malekal.com/files.php?id ... 15t15b5w10

De plus, le fond d'écran de bureau demeure noir et au démarrage, il y a toujours le même message d'erreur.

[Malekal_morte]

Le message au démarrage, ce sont les instructions pour payer la rançon.

Fais une recherche de fichiers sur how_recover
Supprime tout ce qui est trouvé.

Fais la capture d'écran du contenu du dossier ProgramData.

[Cbingo]

Je n'arrive pas à faire d'Imprime Ecran avec la touche correspondant vu que la commande m'ouvre le dossier ProgramData.

De plus, lorsque je fais une recherche sur le nom how_recover il ne trouve rien.

[Malekal_morte]

Je n'arrive pas à faire d'Imprime Ecran avec la touche correspondant vu que la commande m'ouvre le dossier ProgramData.

Une fois que le dossier ProgramData est ouvert.
Appuye sur la touche Impr Ecr.
Puis :
Touche Windows + R
tape mspaint et OK.
Menu Edition et coller
tu dois avoir l'image avec la liste des dossiers.
Fichier / Enregistrer sous
tu enregistres l'images sur ton bureau
et tu la donnes via pjjoint ou ici dans un nouveau message en pièce jointe (bouton "ajouter des fichiers joints" lors de l'édition d'un message).
Voir là : afficher-une-image-sur-forum-t662.html

De plus, lorsque je fais une recherche sur le nom how_recover il ne trouve rien.

Ca c'est pas possible.
Voir là pour faire des recherches de fichiers sur Windows : Recherche de fichiers Windows.

[Cbingo]

D'accord, je vais faire les captures d'écran.

Concernant les fichiers How_Recover j'en ai trouvé plus de 830... J'ai voulu tous les supprimer mais un message m'indiquant que le fichier source a été supprimé et que je ne pouvais donc pas supprimer ces raccourcis.

En effet, il s'agissait d'un fichier de logiciel piraté, je l'ai donc supprimer le matin même sans savoir qu''il était la source du virus.

Comment faire pour supprimer les 830 raccourcis?

[Malekal_morte]

Supprime les par paquets de 100.

[Cbingo]

Je crois qu'on ne s'est pas bien compris.

Je ne peux pas les supprimer puisqu'il est dit que les fichiers sont introuvables dans l'emplacement d'origine.

Du coup, je suis perdu.

Le problème n'est toujours pas résolu.

[Malekal_morte]

Ca doit être l'indexation qui renvoit n'importe quoi.

Tu peux faire la capture d'écran de ProgramData ?
Sinon l'ordinateur se comporte comment ?

[Cbingo]

Voici les captures du dossier Programme Data comme demandé :

-> Capture1 : http://pjjoint.malekal.com/files.php?id ... v10c6n13x6

-> Capture2: http://pjjoint.malekal.com/files.php?id ... n13t7p14i7

-> Capture3: http://pjjoint.malekal.com/files.php?id ... p6o12f11s6

-> Capture4: http://pjjoint.malekal.com/files.php?id ... 12m9z13n11

-> Capture5: http://pjjoint.malekal.com/files.php?id ... q7e8z14k11

Les fichiers cryptés sont restés cryptés. Nous n'arrivons pas à les récupérer. Le même message (voire pièce jointe des anciens messages) apparaît.
Le fond d'écran est noir.
Rien ne s'est amélioré.

[Cbingo]

Il est possible de récupérer les fichiers qui ont été cryptés?

Car c'est ce que souhaite le propriétaire du PC.

J'ai entendu parler d'un logiciel fait par kapersky pour récupérer des fichiers cryptés.

Si ce n'est pas possible, un reparamétrage d'usine pourrait régler le problème ?