Rançongiciel DECRYPT-MY-FILES.txt

[Jackodio]

Bonjour à tous,

J'ai été infecté aujourd'hui avec qqe chose ressemblant à un ransomware / rançongiciel chiffreur de fichiers : tous mes liens et fichiers ont été modifiés avec l'ajout de : .id_429861730_fgb45ft3pqamyji7.onion au nom des liens et nom de fichiers. J'ai tenté deux fois une restauration à une date antérieure sans succès à cause d'un fichier non accessible non identifié. Je crois qu'une désinfection s'impose avant de poursuivre mon chemin...

PS: un fichier txt a été créé sur mon bureau dont le contenu est là mais... invisible !!! : -DECRYPT-MY-FILES.txt

Merci d'avance de votre aide

Jackodio
Windows 7 - 64b
AV AVAST 11.2.2262

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Jackodio]

Bonjour Malekal Morte !

Avant de procéder, voici un complément d'information :

Quand je retire le greffon .id_429861730_fgb45ft3pqamyji7.onion après le mon d'un raccourci, ce dernier redeviens normal et fonctionnel. Son icône passe de blanc à normal. Pour qqe programmes (comme VLC, WORD...) ça ne fonctionne pas mais recréer le raccourcis est facile.

Quand je retire le greffon après le nom d'un fichier txt ou pdf (fichier.pdf.greffon), le fichier redeviens normal.

Le rançongiciel a créé un nouveau profil Firefox de base sans favoris en sauvegardant l'original sous un autre nom. J'ai supprimé le profil vide et ai renommé la sauvegarde avec le nom du supprimé et tout est revenu en ordre.

Concernant les fichiers Word et Excel, c'est plus corcé : après avoir retiré le greffon, le fichier ouvre et on voit son contenu sauf que Word essai d'effectuer une maj de composant ou une configuration soit :
1- pour réinstaller un composant supprimé par le rançongiciel, ou
2- maintenir ou installer un composant du rançongiciel.

De toute façon, la procédure échoue et on ne peu continuer à utiliser WORD ou EXCEL :

Erreur-installation-office.gif

Erreur-installation-office-2.gif

Erreur-installation-office-3.gif

Aprés vérification, il semble que le dossier C:\MSOCache\All Users ait été créé par le rançongiciel à cause de la présence du fichier DECRYPT-MY-FILES.txt :



Quand j'ouvre l'ordinateur, l'antivirus bloque un fichier mm.exe et je me demande s'il y a un rapport avec le rançongiciel ?



S'il y a d'autres dommages que le rançongiciel a effectué, c'est à voir.

Tout ce que j'espère est que les dommages se limitent au dossier "Mes documents", au Bureau et au profil Firefox.

J'attends votre aval pour procéder au FRST.

Salutations distinguées,

Jackodio

[Malekal_morte]

Pour l'hébergement d'images sur le forum, merci de lire ce message : Règlement hébergement des images sur le forum.

Vu la détection Avast!, ton ordinateur est infecté, donc faire FRST.

[Jackodio]

Bonjour

FRST
Shortcut
Addition

Merci beaucoup

Jackodio

[Malekal_morte]

Envoie C:\Program Files (x86)\System Explorer\SystemExplorer.exe sur http://upload.malekal.com

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 IFEO\taskmgr.exe: [Debugger] "C:\Program Files (x86)\System Explorer\SystemExplorer.exe"
C:\Program Files (x86)\System Explorer
2017-05-09 16:42 - 2017-05-09 16:42 - 00111144 _____ C:\Users\iJack\AppData\Local\GDIPFONTCACHEV1.DAT
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Slomo\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Slomo\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Public\Desktop\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\iJack\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\iJack\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default User\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default User\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:30 - 2017-05-09 16:30 - 00001144 _____ C:\Windows\system32\-DECRYPT-MY-FILES.txt
2017-05-10 11:59 - 2015-12-20 15:39 - 00000000 ____D C:\ProgramData\SystemExplorer
2017-05-09 16:35 - 2009-07-14 00:54 - 00000314 ___SH C:\Users\Public\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000438 ___SH C:\Users\iJack\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000318 ___SH C:\Users\iJack\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000318 ___SH C:\Users\iJack\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:32 - 2017-01-02 01:14 - 00007652 _____ C:\Users\iJack\AppData\Local\Resmon.ResmonCfg.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:32 - 2016-01-19 23:42 - 00000000 ____D C:\Users\iJack\AppData\Local\{F929CF75-DD81-A3CD-B019-862594717ABD}
2017-05-09 16:32 - 2015-12-19 21:51 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1D2F
2017-05-09 16:32 - 2015-12-14 23:14 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_118C
2017-05-09 16:32 - 2015-12-13 14:57 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_3A2F
2017-05-09 16:32 - 2015-12-13 14:54 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_28B5
2017-05-09 16:32 - 2015-12-05 22:42 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1B40
Hosts:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

[Jackodio]

Bonjour

Malheureusement, votre site d'upload refuse le programme System Explorer et le dossier compressé en disant qu'ils sont "invalide" !

Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par iJack (10-05-2017 18:29:35) Run:1
Exécuté depuis C:\Users\iJack\Desktop
Profils chargés: iJack (Profils disponibles: iJack)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
IFEO\taskmgr.exe: [Debugger] "C:\Program Files (x86)\System Explorer\SystemExplorer.exe"
C:\Program Files (x86)\System Explorer
2017-05-09 16:42 - 2017-05-09 16:42 - 00111144 _____ C:\Users\iJack\AppData\Local\GDIPFONTCACHEV1.DAT
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Slomo\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Slomo\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:35 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Public\Desktop\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\iJack\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\iJack\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default User\AppData\Local\-DECRYPT-MY-FILES.txt
2017-05-09 16:31 - 2017-05-09 16:30 - 00001144 _____ C:\Users\Default User\AppData\-DECRYPT-MY-FILES.txt
2017-05-09 16:30 - 2017-05-09 16:30 - 00001144 _____ C:\Windows\system32\-DECRYPT-MY-FILES.txt
2017-05-10 11:59 - 2015-12-20 15:39 - 00000000 ____D C:\ProgramData\SystemExplorer
2017-05-09 16:35 - 2009-07-14 00:54 - 00000314 ___SH C:\Users\Public\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:35 - 2009-07-14 00:54 - 00000210 ___SH C:\Users\Public\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000438 ___SH C:\Users\iJack\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000318 ___SH C:\Users\iJack\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:33 - 2015-11-14 20:17 - 00000318 ___SH C:\Users\iJack\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:32 - 2017-01-02 01:14 - 00007652 _____ C:\Users\iJack\AppData\Local\Resmon.ResmonCfg.id_429861730_fgb45ft3pqamyji7.onion
2017-05-09 16:32 - 2016-01-19 23:42 - 00000000 ____D C:\Users\iJack\AppData\Local\{F929CF75-DD81-A3CD-B019-862594717ABD}
2017-05-09 16:32 - 2015-12-19 21:51 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1D2F
2017-05-09 16:32 - 2015-12-14 23:14 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_118C
2017-05-09 16:32 - 2015-12-13 14:57 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_3A2F
2017-05-09 16:32 - 2015-12-13 14:54 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_28B5
2017-05-09 16:32 - 2015-12-05 22:42 - 00000000 ____D C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1B40
Hosts:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\taskmgr.exe => clé supprimé(es) avec succès
C:\Program Files (x86)\System Explorer => déplacé(es) avec succès
C:\Users\iJack\AppData\Local\GDIPFONTCACHEV1.DAT => déplacé(es) avec succès
C:\Users\Slomo\AppData\Local\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\Slomo\AppData\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\Public\Desktop\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\iJack\AppData\Local\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\iJack\AppData\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\Default\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\Default\AppData\Local\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\Users\Default\AppData\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
"C:\Users\Default User\AppData\Local\-DECRYPT-MY-FILES.txt" => non trouvé(e).
"C:\Users\Default User\AppData\-DECRYPT-MY-FILES.txt" => non trouvé(e).
C:\Windows\system32\-DECRYPT-MY-FILES.txt => déplacé(es) avec succès
C:\ProgramData\SystemExplorer => déplacé(es) avec succès
"C:\Users\Public\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
"C:\Users\Public\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
C:\Users\Public\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion => déplacé(es) avec succès
"C:\Users\Public\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
"C:\Users\iJack\Documents\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
"C:\Users\iJack\Downloads\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
"C:\Users\iJack\Desktop\desktop.ini.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
"C:\Users\iJack\AppData\Local\Resmon.ResmonCfg.id_429861730_fgb45ft3pqamyji7.onion" => non trouvé(e).
C:\Users\iJack\AppData\Local\{F929CF75-DD81-A3CD-B019-862594717ABD} => déplacé(es) avec succès
C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1D2F => déplacé(es) avec succès
C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_118C => déplacé(es) avec succès
C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_3A2F => déplacé(es) avec succès
C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_28B5 => déplacé(es) avec succès
C:\Users\iJack\AppData\OICE_15_974FA576_32C1D314_1B40 => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2294443000-3717229763-623066986-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2294443000-3717229763-623066986-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 18:29:58 ====

J'ai eu une nouvelle interception "virale" de l'AV :

Avast-url-mal.gif

Un scan complet a été demandé au prochain démarrage; j'ai dit oui et il a redémarré sans mon accord ! J'ai perdu 3h...

Avant ça, aujourd'hui, j'ai purgé ±tous les greffons des nom de ±50,000 fichiers, et les documents Word et Excel peuvent maintenant s'ouvrir malgré un contenu parasite qui s'y trouve. J'ai restauré tous mes documents avec mes sauvegardes et 99% de mes documents devraient être sans parasites.

Merci infiniment

Jackodio

[Malekal_morte]

Tes documents sont perdus, enfin pour le moment.
Voir mon premier message si Shadow Explorer ne permet de rien trouver et les outils de DecryptTools dont RhanorDecrypt.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

[Jackodio]

Bonjour,

Résultat du scan Dois-je effectuer le nettoyage en cliquant sur le bouton "Clean all" ? Si vous répondez vite, je pourrai le faire car je laisse actif le programme ESET Online Scan pour un temp. Il y a des "potentially unsafe application" à analyser dans le scan.

Tes documents sont perdus, enfin pour le moment.
Voir mon premier message si Shadow Explorer ne permet de rien trouver et les outils de DecryptTools dont RhanorDecrypt.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

Documents perdus ? où ça ?

Oui j'ai perdu System Explorer, c'est tout. J'ai toujours le dossier compressé Quarantine.zip,

NB: tous les fichiers soit-disant cryptés ne le sont pas en fait : les nom de fichiers sont suivi du greffon .id_429861730_fgb45ft3pqamyji7.onion et les documents Word (Excel ?) contiennent un contenu parasite qui ne les empêchent pas d'ouvrir. MSWORD 2013 semble venir à bout du contenu parasite mais je ne sais pas si il le supprime ou le contourne ? En toute prudence, comme mentionné, j'ai écrasé tous mes documents soit-disant contaminés par mes originaux sauvegardés. Il traîne sûrement des contaminés dans mes dossiers mais, ils sont accessibles. Reste à savoir si ce contenu parasite est un déclencheur d'infection !? Les documents txt, pdf, jpg et images ne semblent pas affectés malgré le greffon au nom.

Sachant que des AV sont plus performant que d'autre, croyez-vous que Kaspersky aurait intercepté le rançongiciel ?

Merci bien
Jackodio

[Malekal_morte]

oui tu peux tout supprimer, il n'a rien trouvé de malveillant, que les fichiers instructions :

C:\Users\iJack\AppData\Roaming\SketchUp\SketchUp 2016\SketchUp\Plugins\su_advancedcameratools\-DECRYPT-MY-FILES.txt Win32/Filecoder.NKZ trojan
C:\Users\iJack\AppData\Roaming\SketchUp\SketchUp 2016\SketchUp\Plugins\su_advancedcameratools\cameradata\-DECRYPT-MY-FILES.txt Win32/Filecoder.NKZ trojan
C:\Users\iJack\AppData\Roaming\SketchUp\SketchUp 2016\SketchUp\Plugins\su_dynamiccomponents\css\-DECRYPT-MY-FILES.txt Win32/Filecoder.NKZ trojan
C:\Users\iJack\AppData\Roaming\SketchUp\SketchUp 2016\SketchUp\Plugins\su_sandbox\images\-DECRYPT-MY-FILES.txt Win32/Filecoder.NKZ trojan

Pour les documents corrompus, ils sont chiffrés, c'est tout.
C'est le but du ransomware de les rendre illisible afin de te demander de payer une somme d'argent pour retrouver l'accès à ces derniers.
Après étonnant que les images, PDF etc fonctionnent car il est censé tout prendre en otage.

Pour l'interception du ransomware et autres antivirus, difficile de spéculer là dessus.

As-tu toujours des alertes Avast! ?

[Jackodio]

oui tu peux tout supprimer, il n'a rien trouvé de malveillant, que les fichiers instructions :

Pour les documents corrompus, ils sont chiffrés, c'est tout.
C'est le but du ransomware de les rendre illisible afin de te demander de payer une somme d'argent pour retrouver l'accès à ces derniers.
Après étonnant que les images, PDF etc fonctionnent car il est censé tout prendre en otage.

As-tu toujours des alertes Avast! ?

Je vais devoir refaire le scan car j'ai fermé !

Pour l'instant, rien n'est chiffré ni corrompu car tout est accessible, malgré le contenu parasite des documents docx ! Peut-être que c'est une ancienne version de rançongiciel qui ne connait que les .doc et .xls et pas les .docx ni les .xlsx !? Son rançongiciel n'a peut-être aussi pas eu le temps de crypter et a seulement eu le temps d'ajouter les greffons aux nom de fichiers !?

Cette erreur survient à toutes les 15 min :

Win32-Malware-Gen-Avast.gif

Merci beaucoup
Jackodio

[Malekal_morte]

ok refais un scan Malwarebytes ces prochains jours en le mettant à jour.

[Jackodio]

Bonjour !

Raport Malwarebyte

J'ai succombé à la cyberattaque internationale des derniers jours ! Kaspersky semblais avoir identifié et corrigé la faille avant la cyberattaque.

Merci beaucoup
Jackodio

[Malekal_morte]

Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{237BBA1D-C5CD-4431-A581-355588ECECB0}|PATH, Aucune action de l'utilisateur, [453], [396875],1.0.1932
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START, Aucune action de l'utilisateur, [453], [396502],1.0.1932
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|START1, Aucune action de l'utilisateur, [453], [396503],1.0.1932

Aucune action de l'utilisateur <= tu as bien tout supprimé ?

[iBenny]

Bonjour,

Je n'ai fait que scanner et produire ce rapport. Je n'ai rien supprimé encore... J'attends vos instructions.

Merci bien
iBenny

PS: ne vous inquiétez pas du changement d'identité : c'est moi qui assiste à distance mon frère sur son pc...