[Résolu] Windows 7 infecté par TeslaCrypt, extension en .vvv

[olibats]

Bonjour, un de mes pc portable sous Windows 7 32 à été infecté par le virus RSA-4096 qui est une variante de TeslaCrypt si j'ai bien compris. Après avoir suivie la méthode de désinfection j'ai téléchargé FRST qui m'a généré les 3 fichiers .txt, et donc après les avoir passés dans pjjoint (comme indiqué dans la méthode), voici les liens pour pouvoir les faire lire à qui voudra bien m'aider:

FRST.txt: http://pjjoint.malekal.com/files.php?id ... s12g6h13u7

Addition.txt: http://pjjoint.malekal.com/files.php?id ... t14v8r5n10

Shortcut.txt: http://pjjoint.malekal.com/files.php?id ... 6e10q11e15

Merci de votre aide

[Malekal_morte]

Salut,


Tu as donc été infecté par un Rançongiciels chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.


Désinstalle SpyHunter, sert à rien.

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-1514241244-3723396335-4190348611-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\e\AppData\Local\Ufmmedia\clrdp09.dll ATTENTION
C:\Users\e\AppData\Local\Ufmmedia
2015-12-27 09:16 - 2015-12-27 09:16 - 00001244 _____ C:\Users\e\Desktop\SpyHunter.lnk
2015-12-27 09:16 - 2015-12-27 09:16 - 00000000 ____D C:\Users\e\AppData\Roaming\Enigma Software Group
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [16432 2015-12-27] (Enigma Software Group USA, LLC.)
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [784256 2015-12-27] (Enigma Software Group USA, LLC.)
2015-12-22 11:46 - 2014-02-01 16:56 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Fais une recherche de fichiers sur how_recover et supprime tout.

Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv

[olibats]

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:27-12-2015
Exécuté par e (2015-12-28 14:10:48) Run:1
Exécuté depuis C:\Users\e\Downloads
Profils chargés: e (Profils disponibles: e)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1514241244-3723396335-4190348611-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\e\AppData\Local\Ufmmedia\clrdp09.dll ATTENTION
C:\Users\e\AppData\Local\Ufmmedia
2015-12-27 09:16 - 2015-12-27 09:16 - 00001244 _____ C:\Users\e\Desktop\SpyHunter.lnk
2015-12-27 09:16 - 2015-12-27 09:16 - 00000000 ____D C:\Users\e\AppData\Roaming\Enigma Software Group
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [16432 2015-12-27] (Enigma Software Group USA, LLC.)
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [784256 2015-12-27] (Enigma Software Group USA, LLC.)
2015-12-22 11:46 - 2014-02-01 16:56 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
*****************

"HKU\S-1-5-21-1514241244-3723396335-4190348611-1000\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}" => clé supprimé(es) avec succès
C:\Users\e\AppData\Local\Ufmmedia => déplacé(es) avec succès
C:\Users\e\Desktop\SpyHunter.lnk => déplacé(es) avec succès
C:\Users\e\AppData\Roaming\Enigma Software Group => déplacé(es) avec succès
esgiguard => service supprimé(es) avec succès
SpyHunter 4 Service => service supprimé(es) avec succès
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 => déplacé(es) avec succès

==== Fin de Fixlog 14:10:49 ====

[olibats]

Salut Malekal_morte et merci de ton aide. J'ai suivi toutes les étapes, et j'en suis à faire les recherches pour supprimer tous les fichiers how_recover et les fichiers howto_restore ... je vais étudier la méthode pour la réupération des fichiers. Merci encore

[Malekal_morte]

Pas de soucis

il faudra sécuriser Windows, car soit tu as ouvert un mail pourri, soit ton ordinateur est vulnérable aux exploits.
=> Sécuriser son Windows : http://forum.malekal.com/securiser-son- ... -t381.html

[olibats]

Super, mon problème est résolu !!

La méthode de récupération des fichiers est un peu complexe mais très bien expliquée et elle fonctionne parfaitement. Merci encore pour toute l'aide qui m'a été apporté, et oui j'avais chopé ce virus en laissant une autre personne ouvrir ses mails pendant quelques jours sur mon portable et vlan, le virus c'était pour moi !!

Merci beaucoup

[Malekal_morte]

Génial

[Malekal_morte]

En plus de du Ransomware RSA 4096 - TeslaCrypt.
Un nouveau ransomware qui reprend les mêmes fichiers d'instructions que TeslaCrypt vient de sortir, il y a quelques jours.
Voir la fiche : Ransomware RSA-4096 - extension .crypt.