Virus - Fichiers xls, PDF & Jpg corrompus

[myrmithron]

Bonjour tout le monde,

Je suis désolé de venir vous embêter mais je me trouve dans une situation compliquée. Voilà, la grande majorité de mes fichiers JPG, PDF & XLS ne sont plus lisibles. J'ai remarqué des ralentissements importants de ma machine et une utilisation Disque importante (frôlant souvent les 100%) ces derniers temps.

Il y a 10 minutes, j'ai essayé d'ouvrir un XLS et je me suis rendu compte que l'ensemble des fichiers du dossier ont été modifié il y a un peu moins d'une semaine, et ils sont tous corrompus. Même chose pour les pdf. A priori, ceci s'est surtout passé sur mon lecteur D: mais plusieurs répertoires du C: sont aussi infectés.

J'ai lancé un projet encyclopédique Web important et j'ai environ 10.000 photos liées à ce projet (dont une bonne partie sont quand même en backup), mais également mes fichiers de compta (factures & cie...), 5 ans de photos perso....

Quelqu'un pourrait-il m'aider?

J'ai McAfee mais j'ai eu des soucis d'activation le mois dernier... J'ai fait un coup de CCleaner & AdwCleaner sans que ça ne suffise...

[Malekal_morte]

Salut,

AdwCleaner vise les adwares, pas les trojans et ransomwares.
Aucun utilité dans ton cas donc.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[myrmithron]

Bonsoir,

Merci pour votre réponse.

Lien FRST.txt: https://pjjoint.malekal.com/files.php?i ... 5w8w8g13x8

Lien Additional.txt : https://pjjoint.malekal.com/files.php?i ... 10q7n6j6q6

Lien Shortcut : https://pjjoint.malekal.com/files.php?i ... s13d8f12m9

[Malekal_morte]

Bon, l'ordinateur est infecté par le Trojan Sathurbot.
La date du fichier est le 03 mars, ça me paraît bizarre que ce soit depuis 2 mois sans que McAfee n'ait rien vu mais ça reste possible .

ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-03] ()

lui date du 05/06/2017 - Ca fait quand même 20 jours ...

2017-06-05 16:07 - 2017-03-03 11:52 - 00000000 ___HD C:\Users\Ben\AppData\Local\SysHashTable

Probablement, que pour monétiser, un ransomware a été chargé.
Je t'invite à prendre connaissance sur la méthode de propagation de ce Trojan, puisque tu télécharges des Torrent : le Trojan Sathurbot.

~~

Tu l'as acheté McAfee ?

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-03] ()  
C:\ProgramData\Microsoft\Performance\TheftProtection
2017-06-05 16:07 - 2017-03-03 11:52 - 00000000 ___HD C:\Users\Ben\AppData\Local\SysHashTable 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

3)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[myrmithron]

Merci pour vos retours.

En effet, je suis surpris de voir que ça fait si longtemps que je suis infecté en ayant McAfee. J'ai eu quelques soucis de mise à jour pendant les 2 derniers mois, ce qui pourrait expliquer tout ça.

Concernant les torrents, j'ai pas eu beaucoup de chance. Je compte sur les doigts d'une main mes téléchargements...

MacAfee a été acheté et mis à jour mais il a l'air de déconné :/ C'est mon ordinateur perso mais aussi pro pour mes projets, tous les logiciels sont en original.

Je mets à jour et envoie le rapport.

[myrmithron]

"Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message."
Je n'ai pas eu de fichier texte... mais le fichier suivant : https://pjjoint.malekal.com/files.php?i ... 15n6g10s13


Au redémarrage, j'ai killé 2 processus qui me paraissait suspect
Service de chiffrement Windows & service "Superfetch"

[myrmithron]

Le service de chiffrement est "cryptsvc". Je sais pas si ça peut être un virus également...

[myrmithron]

Le rapport Malware : https://pjjoint.malekal.com/files.php?i ... e15f14t5w6

[myrmithron]

Nouveau rapport FRST : https://pjjoint.malekal.com/files.php?i ... 15r9g14w13

Rapport Addition : https://pjjoint.malekal.com/files.php?i ... w1012w8k11

Rapport Shortcut : https://pjjoint.malekal.com/files.php?i ... g14q5h9d13

[Malekal_morte]

ok sur MBAM :

Fichier: 1
Trojan.Fileless.MTGen, C:\USERS\BEN\APPDATA\LOCAL\6B47178\F5129A9.BAT, En quarantaine, [379], [339956],1.0.2258

Supprime ce dossier, si existant : C:\USERS\BEN\APPDATA\LOCAL\6B4717


Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares
Sur la page de Decrypt, tu as un lien vers ID-Ransomware, tente d'envoyer un fichier, des fois qu'il parviennent à identifier le ransomware...
Sans fichier de note, ça va être difficile.

Il faudrait aussi changer tous tes mots de passe WEB, ils ont probablement été voler par les cheval de troie.