[Résolu] Windows 8.1 infecté par rançongiciel en .micro

[Pat14]

Bonjour,

Windows vient d'être infecté par un rançongiciel,
j'ai donc suivi la démarche FRST, voici donc les 3 liens :

FRST.txt : http://pjjoint.malekal.com/files.php?id ... 14l11q8c10
Addition.txt : http://pjjoint.malekal.com/files.php?id ... 3e9j14y8r5
Shortcut.txt : http://pjjoint.malekal.com/files.php?id ... 2s5v9c8s14


Merci d'avance pour ton aide.

Cordialement.

[Malekal_morte]

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

C'est la variante extension .micro - il n'y a donc pour le moment aucune solution pour récupérer les documents.


Pour la désinfection de l'ordinateur :

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\...\Run: [zservice-34] => C:\Users\constant\AppData\Roaming\nmjmmhe45.exe
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk [2015-06-11]
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\tovvbhe45.exe
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\uuahahe45.exe


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com

~~

Fais une recherche de fichiers sur Windows (voir Recherche de fichiers sur Windows) sur help_recover_instructions et supprime les fichiers

[Pat14]

Merci de ta patience, d'après ce que je comprends (question qui doit t'être posée 50 fois par jour), je vais perdre tous mes documents photos vidéos etc ?

Je te copie/colle la suite :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-01-2016
Exécuté par constant (2016-01-22 16:36:55) Run:1
Exécuté depuis C:\Users\constant\Desktop
Profils chargés: constant & UpdatusUser (Profils disponibles: constant & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\...\Run: [zservice-34] => C:\Users\constant\AppData\Roaming\nmjmmhe45.exe
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk [2015-06-11]
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\tovvbhe45.exe
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\uuahahe45.exe

*****************

HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\Software\Microsoft\Windows\CurrentVersion\Run\\zservice-34 => valeur supprimé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\tovvbhe45.exe => déplacé(es) avec succès
C:\Users\constant\AppData\Roaming\uuahahe45.exe => déplacé(es) avec succès

==== Fin de Fixlog 16:36:55 ====

Cordialement

[Malekal_morte]

Pour le moment, oui il n'y a pas de solution pour les récupérer.

Le ransomware a été supprimé.

Il te faut sécuriser ton Windows, si tu as été infecté, c'est qu'il y a un souci de sécurité.

>> Comment sécuriser son Windows

[Pat14]

D'accord, comment saurais-je s'il y a une solution pour tout récupérer ?
Y'en aura t-il une un jour ? Dois-je par conséquent garder mes fichiers ?

Je peux brancher un DD désormais sur mon ordinateur ?
Je crains qu'une de mes clefs USB n'ai été contaminée également.
C'est possible de la vérifier elle aussi ?

Merci de ton aide.

[Malekal_morte]

Pour les solutions faut te tenir au courant comme venir voir ici.
Dans tous les cas, s'il y en a une, je mettrai à jour la page suivante :
http://forum.malekal.com/teslacrypt-ran ... 53347.html
https://www.malekal.com/how_recover-tes ... nsion-vvv/

[Pat14]

D'accord, je me tiendrai au courant dans ce cas.

J'ai une petite question par contre concernant ma clé USB qui était branchée au moment de l'infection, j'aimerais bien la désinfecter également (elle était débranchée lors de la manipulation que tu m'as fais faire), j'ai donc désactivé l'autorun pour pouvoir la brancher mais ne sais pas forcément quelle démarche suivre, la même ? Je l'ai refaite, cependant je ne sais pas forcément quoi "écrire" dans le fixlist.txt, pourrais-tu m'aiguiller?

Encore Merci pour tout.

[Malekal_morte]

Ta clef USB n'est pas infectée.
Ces ransomwares n'ont pas de méchanismes d'auto-propagation utilisant les médias amovibles.

[Pat14]

D'accord, je pense que tout est rentré dans l'ordre, en attendant d'avoir une solution pour récupérer les .micro

Je te remercie chaleureusement, te souhaitant une bonne journée.

Cordialement, Florian.

[Malekal_morte]

Pas de soucis !

Sécurise ton Windows pour ne pas le réinfecter : Comment sécuriser son Windows

[Huguesmircea]

Voici le contenu du fichier texte suite au lancement de FRST sur le bureau de mon ordinateur infecté sur lequel j'avais enregistré le fichier txt demandé dans le message ci-dessous -repris dans le corps du message;
Merci d'avance de ce travail de passionné:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:14-05-2016
Exécuté par rose (2016-05-15 09:12:33) Run:1
Exécuté depuis C:\Users\rose\Desktop
Profils chargés: rose (Profils disponibles: rose)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\...\Run: [zservice-34] => C:\Users\rose\AppData\Roaming\nmjmmhe45.exe
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt [2016-01-22] ()
Startup: C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk [2015-06-11]
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\rose\AppData\Roaming\tovvbhe45.exe
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\rose\AppData\Roaming\uuahahe45.exe
*****************

HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\Software\Microsoft\Windows\CurrentVersion\Run\\zservice-34 => valeur non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt => non trouvé(e).
C:\Users\rose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk => non trouvé(e).
"C:\Users\rose\AppData\Roaming\tovvbhe45.exe" => non trouvé(e).
"C:\Users\rose\AppData\Roaming\uuahahe45.exe" => non trouvé(e).

==== Fin de Fixlog 09:12:33 ====

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

C'est la variante extension .micro - il n'y a donc pour le moment aucune solution pour récupérer les documents.


Pour la désinfection de l'ordinateur :

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-1774372201-3220821581-1348061092-1001\...\Run: [zservice-34] => C:\Users\constant\AppData\Roaming\nmjmmhe45.exe
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+btw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+xfl.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.html [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ylw.txt [2016-01-22] ()
Startup: C:\Users\constant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support PMB.lnk [2015-06-11]
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\tovvbhe45.exe
2016-01-22 11:17 - 2016-01-22 11:17 - 0257024 _____ () C:\Users\constant\AppData\Roaming\uuahahe45.exe


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com

~~

Fais une recherche de fichiers sur Windows (voir Recherche de fichiers sur Windows) sur help_recover_instructions et supprime les fichiers

[Malekal_morte]

Salut,

Les fix sont spécifiques, donc déjà faisons un scan FRST.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Huguesmircea]

En réponse à votre message, voici les 3 liens des 3 fichiers respectifs demandés:
Encore un grand merci pour la clarté de vos indications!

Lien 1 : http://pjjoint.malekal.com/files.php?id ... 7d8y9y8x11
Lien 2 : http://pjjoint.malekal.com/files.php?id ... 11e15m7o14
Lien 3 : http://pjjoint.malekal.com/files.php?id ... s13j9o10h5

[Malekal_morte]

Pas de trace de ransomware et de TeslaCrypt, ni de fichiers .micro
Juste quelques DLLs relatives à des adwares.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 2014-04-04 23:15 - 2016-05-14 21:32 - 0016952 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\1eaadjc.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0018724 ____T () C:\Users\rose\AppData\Roaming\Microsoft\bass.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0014392 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\kfgresk.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0013984 ____T () C:\Users\rose\AppData\Roaming\Microsoft\mjcriu.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0010808 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\peaadje.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0026200 ____T ((: JOBnik! :) [Arthur Aminov, ISRAEL]) C:\Users\rose\AppData\Roaming\Microsoft\qwadjb.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0015416 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\rsaadjd.dll 
 2014-04-04 23:15 - 2016-05-14 21:32 - 0098360 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\~DFKaa6c901.tmp 

 2016-05-15 10:44 - 2013-12-13 19:06 - 00000000 ____D C:\Users\rose\AppData\Local\Software  

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

[Huguesmircea]

Un grand merci, s'il n'y avait plus rien tant mieux; cela m'aura permis de jeter les plus de 18000 fichiers infectés par le .micro : je ne souhaite cela à personne, quelle vérole!
J'espère que c'est terminé!?
Il me reste encore 3 fichiers suspects :
-2" help_recover-instructions+nnm.html " (propriétés :file:///C:/Users/rose/Pictures/Marie%2520-%2520Ange/help_recover_instructions+nnm.htmlet) et 1 "help_recover_instructions+kxb.html ( propriétés : file:///C:/Users/rose/Desktop/Anciennes%2520donn%E9es%2520de%2520Firefox/vvdin0q4.default-1431846144303/adblockplus/help_recover_instructions+kxb.html)"
Qu'en penser? Merci.

Voici les résultats de la correction:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:14-05-2016
Exécuté par rose (2016-05-15 20:19:35) Run:2
Exécuté depuis C:\Users\rose\Desktop
Profils chargés: rose (Profils disponibles: rose)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
2014-04-04 23:15 - 2016-05-14 21:32 - 0016952 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\1eaadjc.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0018724 ____T () C:\Users\rose\AppData\Roaming\Microsoft\bass.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0014392 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\kfgresk.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0013984 ____T () C:\Users\rose\AppData\Roaming\Microsoft\mjcriu.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0010808 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\peaadje.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0026200 ____T ((: JOBnik! [Arthur Aminov, ISRAEL]) C:\Users\rose\AppData\Roaming\Microsoft\qwadjb.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0015416 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\rsaadjd.dll
2014-04-04 23:15 - 2016-05-14 21:32 - 0098360 ____T (Un4seen Developments) C:\Users\rose\AppData\Roaming\Microsoft\~DFKaa6c901.tmp

2016-05-15 10:44 - 2013-12-13 19:06 - 00000000 ____D C:\Users\rose\AppData\Local\Software
*****************

C:\Users\rose\AppData\Roaming\Microsoft\1eaadjc.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\bass.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\kfgresk.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\mjcriu.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\peaadje.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\qwadjb.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\rsaadjd.dll => déplacé(es) avec succès
C:\Users\rose\AppData\Roaming\Microsoft\~DFKaa6c901.tmp => déplacé(es) avec succès
C:\Users\rose\AppData\Local\Software => déplacé(es) avec succès

==== Fin de Fixlog 20:19:36 ====