Windows 10 a été infecté par Jobcrypter, extension en .css

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Windows 10 a été infecté par Jobcrypter, extension en .css

Message par Otacon102 » 18 mai 2016 22:31

Bonjour à vous tous et merci pour votre présence sur le net qui nous aide bien!

Voilà, le Windows 10 de mon père a été infecté par JobCrypter

Les fichiers sont pris en otage, l'extension est .css, comme vous l'avez souligné en dessous.

Questions qui peuvent paraitre bêtes:
1- J'ai branché la clef USB sur le Windows infecté. Peut-elle devenir contagieuse?
2 - Une tentative de récupération à un état antérieur fonctionnera t'il?
3 - Avez-vous eu vents de possibles de décryptages?
4- Une seule partition de cryptée, pas les autres, pourquoi?

Dans le doute après avoir utilisé cette clef USB sur le Windows 10 infecté sur le mien, j'ai réalisé un scan FRST64 qui n'a produit que deux fichier .txt dont vous trouverez les liens ci-dessous....on ne sait jamais.

D'autre part je tente une restauration sans trop d'espoir.
Je refais un scan FRST que je vous publierai demain

http://pjjoint.malekal.com/files.php?id ... 2s6c12l6j7
http://pjjoint.malekal.com/files.php?id ... 1w10z13t11

Merci à vous encore.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87586
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hop! Encore un Jobcrypter

Message par Malekal_morte » 18 mai 2016 23:10

Salut,

Le rapport est correct.
Normalement, comme expliqué dans la page, ça va par des emails.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Re: Hop! Encore un Jobcrypter

Message par Otacon102 » 18 mai 2016 23:22

Voici les deux autres rapports provenant du pc infecté:

http://pjjoint.malekal.com/files.php?id ... 11j14o8u14
http://pjjoint.malekal.com/files.php?id ... 9p11j9t6r7


Pareil deux fichiers et non trois.
Encore une question bête, en théorie si on paye, on retrouve nos fichiers décryptés où c'est un rêve lointain?


PS. La restauration n'a servit à rien, erreur Windows à la fin de la restauration...

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87586
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hop! Encore un Jobcrypter

Message par Malekal_morte » 18 mai 2016 23:30

lui il a le crypter..

Suis ces deux étapes :

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
Task: {50A176FF-53C5-4BB6-96EF-999FC866D099} - System32\Tasks\JJD-PCQuietaCameV2 => Rundll32.exe HogtiesAardvark.dll,main 7 1 <==== ATTENTION
2016-05-16 09:02 - 2016-05-16 09:02 - 00467456 ____H (J o b C r y p t e r) C:\Users\JJD-PC\AppData\Roaming\L o c k e r.exe
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\Users\JJD-PC\AppData\Roaming\ProductData
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\ProgramData\ProductData
Task: {D0172705-7174-4A08-BA79-3C2F1643E1F3} - \dxr3027 -> Pas de fichier <==== ATTENTION
2016-05-16 07:14 - 2016-05-16 15:23 - 00000000 ___HD C:\Users\JJD-PC\AppData\Roaming\ProgramFiles(32.3u)
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Re: Hop! Encore un Jobcrypter

Message par Otacon102 » 18 mai 2016 23:45

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-05-2016
Exécuté par JJD-PC (2016-05-18 23:38:35) Run:1
Exécuté depuis C:\Users\JJD-PC\Desktop
Profils chargés: JJD-PC (Profils disponibles: JJD-PC)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {50A176FF-53C5-4BB6-96EF-999FC866D099} - System32\Tasks\JJD-PCQuietaCameV2 => Rundll32.exe HogtiesAardvark.dll,main 7 1 <==== ATTENTION
2016-05-16 09:02 - 2016-05-16 09:02 - 00467456 ____H (J o b C r y p t e r) C:\Users\JJD-PC\AppData\Roaming\L o c k e r.exe
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\Users\JJD-PC\AppData\Roaming\ProductData
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\ProgramData\ProductData
Task: {D0172705-7174-4A08-BA79-3C2F1643E1F3} - \dxr3027 -> Pas de fichier <==== ATTENTION
2016-05-16 07:14 - 2016-05-16 15:23 - 00000000 ___HD C:\Users\JJD-PC\AppData\Roaming\ProgramFiles(32.3u)

*****************

Erreur: Un point de restauration ne peut être créé qu'en mode normal.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{50A176FF-53C5-4BB6-96EF-999FC866D099}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{50A176FF-53C5-4BB6-96EF-999FC866D099}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\JJD-PCQuietaCameV2 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\JJD-PCQuietaCameV2" => clé supprimé(es) avec succès
C:\Users\JJD-PC\AppData\Roaming\L o c k e r.exe => déplacé(es) avec succès
C:\Users\JJD-PC\AppData\Roaming\ProductData => déplacé(es) avec succès
C:\ProgramData\ProductData => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D0172705-7174-4A08-BA79-3C2F1643E1F3} => clé non trouvé(e). 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\dxr3027 => clé non trouvé(e). 
C:\Users\JJD-PC\AppData\Roaming\ProgramFiles(32.3u) => déplacé(es) avec succès

==== Fin de Fixlog 23:38:35 ====


Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Re: Hop! Encore un Jobcrypter

Message par Otacon102 » 18 mai 2016 23:48

L'upload a réussi.

Tu veux que je refasse le fix en mode normal?

Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Re: Hop! Encore un Jobcrypter

Message par Otacon102 » 18 mai 2016 23:58

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:18-05-2016
Exécuté par JJD-PC (2016-05-18 23:50:25) Run:2
Exécuté depuis C:\Users\JJD-PC\Desktop
Profils chargés: JJD-PC (Profils disponibles: JJD-PC)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {50A176FF-53C5-4BB6-96EF-999FC866D099} - System32\Tasks\JJD-PCQuietaCameV2 => Rundll32.exe HogtiesAardvark.dll,main 7 1 <==== ATTENTION
2016-05-16 09:02 - 2016-05-16 09:02 - 00467456 ____H (J o b C r y p t e r) C:\Users\JJD-PC\AppData\Roaming\L o c k e r.exe
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\Users\JJD-PC\AppData\Roaming\ProductData
2016-05-16 08:35 - 2016-05-18 23:24 - 00000000 ____D C:\ProgramData\ProductData
Task: {D0172705-7174-4A08-BA79-3C2F1643E1F3} - \dxr3027 -> Pas de fichier <==== ATTENTION
2016-05-16 07:14 - 2016-05-16 15:23 - 00000000 ___HD C:\Users\JJD-PC\AppData\Roaming\ProgramFiles(32.3u)

*****************

Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{50A176FF-53C5-4BB6-96EF-999FC866D099} => clé non trouvé(e). 
C:\WINDOWS\System32\Tasks\JJD-PCQuietaCameV2 => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\JJD-PCQuietaCameV2 => clé non trouvé(e). 
"C:\Users\JJD-PC\AppData\Roaming\L o c k e r.exe" => non trouvé(e).
C:\Users\JJD-PC\AppData\Roaming\ProductData => déplacé(es) avec succès
C:\ProgramData\ProductData => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D0172705-7174-4A08-BA79-3C2F1643E1F3} => clé non trouvé(e). 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\dxr3027 => clé non trouvé(e). 
"C:\Users\JJD-PC\AppData\Roaming\ProgramFiles(32.3u)" => non trouvé(e).

==== Fin de Fixlog 23:51:36 ====

Otacon102
newbie
newbie
Messages : 6
Inscription : 18 mai 2016 22:17

Re: Hop! Encore un Jobcrypter

Message par Otacon102 » 19 mai 2016 00:00

Apparemment, c'est que ça a fonctionné :P

Je t'ai renvoyé le nouveau "Quarantaine.zip" après l'avoir fait le fix en mode normal.
Je l'ai fais vu que des choses ont été de nouveau déplacées.

J'attends la suite de tes instructions et explications (questions citées plus haut).

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87586
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 10 a été infecté par Jobcrypter, extension en .c

Message par Malekal_morte » 19 mai 2016 09:51

JobCrypter n'est plus actif. Donc normalement, plus grand chose à faire.

Essaye de récupérer tes fichiers avec ce programme :
http://www.pandasecurity.com/resources/ ... ransom.exe

Change tous les mots de passe, ils ont été volés.
Bien surveiller tes mouvements bancaires.

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité : Comment sécuriser mon Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 14 invités