Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Windows 7 a été infecté par le ransomware Cerber

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

kiedo
newbie expert
newbie expert
Messages : 62
Inscription : 20 nov. 2008 20:25

Windows 7 a été infecté par le ransomware Cerber

Message par kiedo »

Bonjour

Mon Windows 7 est infecté par le Ransomware Cerber pouvez vous m'aider à le supprimer par avance merci

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté virus cerber

Message par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

<gras>1°)</gras> FRST
Suis le tutoriel FRST.

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kiedo
newbie expert
newbie expert
Messages : 62
Inscription : 20 nov. 2008 20:25

Re: Infecté virus cerber

Message par kiedo »

voici les liens


Shortcut


merci du retour
Dernière modification par kiedo le 01 mai 2016 16:00, modifié 1 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte »

Voici les deux opérations à effectuer.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kiedo
newbie expert
newbie expert
Messages : 62
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo »

voici une copie du fichier suite a la correction FRST

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Pascal (2016-04-03 11:23:22) Run:1
Exécuté depuis C:\Users\Pascal\Desktop
Profils chargés: Pascal (Profils disponibles: Pascal)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Code:
Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  
*****************

Code: => Erreur: Pas de correction automatique trouvée pour cet élément.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
C:\windows\System32\Tasks\Scheduled Update for Ask Toolbar => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar" => clé supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Run => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Command Processor\\AutoRun => valeur supprimé(es) avec succès
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE => valeur supprimé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\LkLOz.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1} => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\07De306.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\e5654.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ose00000.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\stub.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll => déplacé(es) avec succès

==== Fin de Fixlog 11:23:24 ====

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte »

ok, si tu ne peux pas envoyer le zip de la quarantaine FRST.
Utilise le site partage facile pour l'héberger.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte »

Merci reçu.
>Mise à jour de la fiche Fiche du Ransomware Cerber.

La détection est plutôt bonne :
SHA256: 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier : SndVol.exe
Ratio de détection : 16 / 56
Date d'analyse : 2016-04-03 10:57:20 UTC (il y a 2 minutes)

AVware Trojan.Win32.Generic!BT 20160403
Ad-Aware Gen:Variant.Razy.36318 20160403
Arcabit Trojan.Razy.D8DDE 20160403
Avira (no cloud) TR/Dropper.VB.bhdk 20160403
BitDefender Gen:Variant.Razy.36318 20160403
ESET-NOD32 Win32/Filecoder.Cerber.B 20160403
Emsisoft Gen:Variant.Razy.36318 (B) 20160403
F-Secure Gen:Variant.Razy.36318 20160403
GData Gen:Variant.Razy.36318 20160403
Malwarebytes Trojan.Injector.VB 20160403
eScan Gen:Variant.Razy.36318 20160403
Microsoft Trojan:Win32/Porest!dha 20160403
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160403
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160403
Tencent Win32.Trojan.Filecoder.Hvjd 20160403
VIPRE Trojan.Win32.Generic!BT 20160403
ALYac 20160403
Tu devrais installer Avast! ou Antivir.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kiedo
newbie expert
newbie expert
Messages : 62
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo »

WINDOWS a été nettoyé ?

Des fichiers ont été cryptés est ce qu'il y a un moyen de les récupérer ? si je fais un restaure Est-ce que je peux espérer en récupérer. Sinon j'ai fait une copie sur disque sur externe Est-ce que je peux les réinstaller ?

Malheureusement je n'avais pas tout sauvegardé des pdf des photos et des films.
Je pensais que Antivir était installé.

Merci de tes conseils

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte »

Normalement oui, fais un nettoyage Antivir pour terminer.
Il faut restaurer les fichiers avec une sauvegarde.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kiedo
newbie expert
newbie expert
Messages : 62
Inscription : 20 nov. 2008 20:25

Re: Windows 7 infecté par le ransomware Cerber

Message par kiedo »

comment puis-je restauré il me semble que j'avais fait une suvegarde mais je n'ai pus le point ?
merci encore pour ton aide

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté par le ransomware Cerber

Message par Malekal_morte »

Ca dépend, comment as-tu sauvegardé tes documents ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

david040380
Messages : 1
Inscription : 18 avr. 2016 10:41

Re: Windows 7 a été infecté par le ransomware Cerber

Message par david040380 »

Bonjour à tous,

Mon Windows est infecté par Cerber, je viens de lancer l'utilitaire en suivant votre procédure et voici les liens pour récupérer les fichiers

http://pjjoint.malekal.com/files.php?id ... u12w8k12y9
http://pjjoint.malekal.com/files.php?id ... 06n9m12i13
http://pjjoint.malekal.com/files.php?id ... 8r5q8b15j6


mot de passe : cerber

Merci à vous

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 a été infecté par le ransomware Cerber

Message par Malekal_morte »

Salut,

Le Ransomware Cerber n'est plus actif au vu de tes rapports, plus qu'à supprimer les fichiers :
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur DECRYPT MY FILES et supprime les fichiers trouvés.

Je t'invite aussi à changer tous tes mots de passe.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.


Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 a été infecté par le ransomware Cerber

Message par Malekal_morte »

Bonjour LOLO,

Je pense que tu peux désinstaller GlaryHole MalwareHunter.
Suis ces deux étapes.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
  HKU\S-1-5-18\...\Run: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\Run: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\RunOnce: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
 HKU\S-1-5-18\...\RunOnce: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 Task: {6A1DDA7E-C6E4-45E1-A635-3951F218F143} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-06-20] () <==== ATTENTION
2016-04-20 23:41 - 2016-04-20 23:41 - 0012834 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0011382 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0000204 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 1602-05-15 16:07 - 1602-05-15 16:07 - 0002250 _____ () C:\Users\direct ai\AppData\Roaming\mQH32oIZ8j.cerber 
  Reboot:
 
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


2/Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »