Windows 7 a été infecté par le ransomware Cerber

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

kiedo
newbie expert
newbie expert
Messages : 51
Inscription : 20 nov. 2008 20:25

Windows 7 a été infecté par le ransomware Cerber

Message par kiedo » 03 avr. 2016 00:10

Bonjour

Mon Windows 7 est infecté par le Ransomware Cerber pouvez vous m'aider à le supprimer par avance merci




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté virus cerber

Message par Malekal_morte » 03 avr. 2016 00:18

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

<gras>1°)</gras> FRST
Suis le tutoriel FRST.

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

kiedo
newbie expert
newbie expert
Messages : 51
Inscription : 20 nov. 2008 20:25

Re: Infecté virus cerber

Message par kiedo » 03 avr. 2016 02:24

voici les liens


Shortcut


merci du retour
Dernière édition par kiedo le 01 mai 2016 16:00, édité 1 fois.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte » 03 avr. 2016 11:03

Voici les deux opérations à effectuer.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

kiedo
newbie expert
newbie expert
Messages : 51
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo » 03 avr. 2016 11:37

voici une copie du fichier suite a la correction FRST

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Pascal (2016-04-03 11:23:22) Run:1
Exécuté depuis C:\Users\Pascal\Desktop
Profils chargés: Pascal (Profils disponibles: Pascal)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Code:
Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  
*****************

Code: => Erreur: Pas de correction automatique trouvée pour cet élément.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
C:\windows\System32\Tasks\Scheduled Update for Ask Toolbar => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar" => clé supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Run => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Command Processor\\AutoRun => valeur supprimé(es) avec succès
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE => valeur supprimé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\LkLOz.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1} => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\07De306.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\e5654.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ose00000.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\stub.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll => déplacé(es) avec succès

==== Fin de Fixlog 11:23:24 ====


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte » 03 avr. 2016 11:57

ok, si tu ne peux pas envoyer le zip de la quarantaine FRST.
Utilise le site partage facile pour l'héberger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte » 03 avr. 2016 13:04

Merci reçu.
>Mise à jour de la fiche Fiche du Ransomware Cerber.

La détection est plutôt bonne :
SHA256: 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier : SndVol.exe
Ratio de détection : 16 / 56
Date d'analyse : 2016-04-03 10:57:20 UTC (il y a 2 minutes)

AVware Trojan.Win32.Generic!BT 20160403
Ad-Aware Gen:Variant.Razy.36318 20160403
Arcabit Trojan.Razy.D8DDE 20160403
Avira (no cloud) TR/Dropper.VB.bhdk 20160403
BitDefender Gen:Variant.Razy.36318 20160403
ESET-NOD32 Win32/Filecoder.Cerber.B 20160403
Emsisoft Gen:Variant.Razy.36318 (B) 20160403
F-Secure Gen:Variant.Razy.36318 20160403
GData Gen:Variant.Razy.36318 20160403
Malwarebytes Trojan.Injector.VB 20160403
eScan Gen:Variant.Razy.36318 20160403
Microsoft Trojan:Win32/Porest!dha 20160403
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160403
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160403
Tencent Win32.Trojan.Filecoder.Hvjd 20160403
VIPRE Trojan.Win32.Generic!BT 20160403
ALYac 20160403
Tu devrais installer Avast! ou Antivir.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

kiedo
newbie expert
newbie expert
Messages : 51
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo » 03 avr. 2016 14:03

WINDOWS a été nettoyé ?

Des fichiers ont été cryptés est ce qu'il y a un moyen de les récupérer ? si je fais un restaure Est-ce que je peux espérer en récupérer. Sinon j'ai fait une copie sur disque sur externe Est-ce que je peux les réinstaller ?

Malheureusement je n'avais pas tout sauvegardé des pdf des photos et des films.
Je pensais que Antivir était installé.

Merci de tes conseils

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte » 03 avr. 2016 14:06

Normalement oui, fais un nettoyage Antivir pour terminer.
Il faut restaurer les fichiers avec une sauvegarde.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

kiedo
newbie expert
newbie expert
Messages : 51
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo » 03 avr. 2016 20:26

comment puis-je restauré il me semble que j'avais fait une suvegarde mais je n'ai pus le point ?
merci encore pour ton aide

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte » 03 avr. 2016 22:27

Ca dépend, comment as-tu sauvegardé tes documents ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

david040380
Messages : 1
Inscription : 18 avr. 2016 10:41

Re: Windows 7 a été infecté par le ransomware Cerber

Message par david040380 » 18 avr. 2016 10:43

Bonjour à tous,

Mon Windows est infecté par Cerber, je viens de lancer l'utilitaire en suivant votre procédure et voici les liens pour récupérer les fichiers

http://pjjoint.malekal.com/files.php?id ... u12w8k12y9
http://pjjoint.malekal.com/files.php?id ... 06n9m12i13
http://pjjoint.malekal.com/files.php?id ... 8r5q8b15j6


mot de passe : cerber

Merci à vous

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 a été infecté par le ransomware Cerber

Message par Malekal_morte » 18 avr. 2016 11:40

Salut,

Le Ransomware Cerber n'est plus actif au vu de tes rapports, plus qu'à supprimer les fichiers :
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur DECRYPT MY FILES et supprime les fichiers trouvés.

Je t'invite aussi à changer tous tes mots de passe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95058
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 a été infecté par le ransomware Cerber

Message par Malekal_morte » 21 avr. 2016 09:14

Bonjour LOLO,

Je pense que tu peux désinstaller GlaryHole MalwareHunter.
Suis ces deux étapes.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
  HKU\S-1-5-18\...\Run: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\Run: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\RunOnce: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
 HKU\S-1-5-18\...\RunOnce: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 Task: {6A1DDA7E-C6E4-45E1-A635-3951F218F143} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-06-20] () <==== ATTENTION
2016-04-20 23:41 - 2016-04-20 23:41 - 0012834 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0011382 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0000204 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 1602-05-15 16:07 - 1602-05-15 16:07 - 0002250 _____ () C:\Users\direct ai\AppData\Roaming\mQH32oIZ8j.cerber 
  Reboot:
 
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


2/Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »