Help infection extension axu3z

[etodane]

Bonjour

J'ai etait infecte suite a une visite sur un site web contenant un formulaire que j'ai telecharge a la suite de quoi mes extension ont etait change en .axu3z

Merci pour votre aide d'avance

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/]
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[etodane]

Bonjour ,

Merci pour votre réponse

FRST : https://pjjoint.malekal.com/files.php?i ... r11v7h7j15

Additionnal : https://pjjoint.malekal.com/files.php?i ... m14m7r9s10

Shortcut : https://pjjoint.malekal.com/files.php?i ... 12f12s8g13

J'ai aussi lu dans un des article disponible d'utilise ID Ransomware : et le nom qui en resultat : REvil / Sodinokibi

Merci pour votre aide precieuse

[angelique]

Bonjour/Bonsoir


Page à suivre ➯ https://www.malekal.com/ransomware-sodinokibi/


Tu télécharges des logiciels crackés, ce sera source de problèmes !!!! il y a des logiciels libre certainement équivalents.








Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Malekal_morte]

Ca va être chaud pour récupérer les données.
A lire : Ransomware REvil / Sodinokibi

[etodane]

Bonsoir ,

Merci pour votre aide voici le fixlog on partage le pc portable a 3 je fais passe le message pour les logiciel cracker concernant les fichier on va être patient avant de les récupéré si ce n'est pas possible dans l’immédiat


Fix result of Farbar Recovery Scan Tool (x64) Version: 09-10-2019 01
Ran by loc (09-10-2019 20:27:46) Run:1
Running from C:\Users\loc\Desktop
Loaded Profiles: loc & MSSQL$EBP (Available Profiles: loc & MSSQL$EBP)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2129982949-1099413137-277337156-1001\...\Run: [*98081C0B4467992247664<*>] => "C:\Users\loc\AppData\Roaming\DiVbWTn.exe" <==== ATTENTION (Value Name with invalid characters)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope value is missing
FF Homepage: Mozilla\Firefox\Profiles\3mt3o7v8.default -> file:///C:/ProgramData/Quoteexs/ff.HP
2019-10-03 09:23 - 2019-10-03 09:33 - 000000000 ____D C:\Users\loc\AppData\Local\b4d6fe7b-0c66-491c-9ab8-7d635883cc89
2019-10-03 09:23 - 2019-10-03 09:24 - 000000000 ____D C:\Users\loc\AppData\Local\08a182ae-4cad-4c56-a180-df4c4f1e66de
2019-10-03 09:23 - 2019-10-03 09:24 - 000000000 ____D C:\ProgramData\YB8GT2S534VXQ79XVUU34R8R0
2019-10-03 09:22 - 2019-10-03 09:39 - 000000000 ____D C:\Users\loc\AppData\Roaming\dhtyrew0pho
2019-10-03 09:22 - 2019-10-03 09:39 - 000000000 ____D C:\Program Files\BP9NW579UN
2019-10-03 09:19 - 2019-10-03 09:19 - 000000000 ____D C:\Users\loc\AppData\Local\e2f82683-473a-4887-97c2-4992d32a01e9
2019-10-03 09:19 - 2019-10-03 09:19 - 000000000 ____D C:\ProgramData\9XXFDRWB231A5QFQ8FJLRI18J
2019-10-03 09:18 - 2019-10-03 09:39 - 000000000 ____D C:\Users\loc\AppData\Roaming\h51ko5ktkz5
2019-10-03 09:18 - 2019-10-03 09:38 - 000000000 ____D C:\Users\loc\AppData\Local\b93966c8-293a-4f5a-8da6-46b297f17e7f
2019-10-03 09:14 - 2019-10-03 09:39 - 000000000 ____D C:\Users\loc\AppData\Roaming\cza3xxuv5l4
2019-10-03 09:14 - 2019-10-03 09:39 - 000000000 ____D C:\Program Files\WD4I1A1N91
2019-10-03 09:09 - 2019-10-03 09:39 - 000000000 ____D C:\Users\loc\AppData\Roaming\2cvva1gsogt
2019-10-03 09:09 - 2019-10-03 09:36 - 000000000 ____D C:\Users\loc\AppData\Roaming\InstallPack
2019-10-03 09:09 - 2019-10-03 09:09 - 000000000 ____D C:\ProgramData\QAHGU9YDUEB28XAHDJFAALHFI
2019-10-03 09:08 - 2019-10-03 09:39 - 000000000 ____D C:\Program Files (x86)\WW
2019-09-19 23:28 - 2019-10-03 09:38 - 000000000 ___HD C:\Program Files (x86)\bluejay
2019-09-19 23:28 - 2019-10-03 09:38 - 000000000 ____D C:\Program Files (x86)\Somnolence
2019-09-19 23:28 - 2019-10-03 09:38 - 000000000 ____D C:\Program Files (x86)\sightseers
2019-09-19 23:28 - 2019-10-03 09:37 - 000000000 ___HD C:\Program Files (x86)\Shay
2019-09-19 23:28 - 2019-10-03 09:37 - 000000000 ____D C:\Program Files (x86)\Inklings
2019-09-19 23:28 - 2019-09-19 23:50 - 000000000 ____D C:\Program Files (x86)\schuler
2019-09-19 23:27 - 2019-09-19 23:27 - 000000000 ____D C:\Users\loc\AppData\Local\AdvinstAnalytics
2019-09-19 22:58 - 2019-10-09 14:34 - 3549202660 _____ C:\Users\loc\Downloads\Microsoft Office Professional Plus 2019.iso.axu3z
2019-09-09 23:15 - 2019-09-09 23:15 - 000000000 ____D C:\Users\loc\AppData\Roaming\HYXDevPsnList
2019-09-09 23:15 - 2019-09-09 23:15 - 000000000 ____D C:\Users\loc\AppData\Roaming\dr.extra.config
2019-10-09 14:57 - 2019-06-24 09:02 - 000000000 ____D C:\AdwCleaner
2019-09-06 17:24 - 2019-09-06 17:24 - 000004683 _____ () C:\Users\loc\AppData\Local\recently-used.xbel
C:\Users\loc\AppData\Roaming\DiVbWTn.exe
FirewallRules: [{02792AEE-679F-4F5C-BC92-1B074A457182}] => (Allow) C:\Program Files (x86)\Somnolence\Inverts.exe No File
FirewallRules: [{20C377D4-2D63-48DB-A3BE-C566B9D54898}] => (Allow) C:\Program Files (x86)\Shay\Inverts.exe No File
FirewallRules: [{5378D90C-DE43-4D40-B2F5-DB14D0E7DC39}] => (Allow) C:\Program Files (x86)\sightseers\Chatty.exe No File
FirewallRules: [{A4802AEB-308B-4321-B260-DD0721CADD23}] => (Allow) C:\Program Files (x86)\Shay\Chatty.exe No File
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Atrophy" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Cabeza" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Calves" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Involving" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Malter" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "SecurityHealth" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Sprained" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Mutation" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "milly" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Lookouts" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "learnable" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Kime" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Galicia" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Crimean" /f
Reg: reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Cps" /f
Emptytemp:


*****************

Restore point was successfully created.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => removed successfully
HKU\S-1-5-21-2129982949-1099413137-277337156-1001\Software\Microsoft\Windows\CurrentVersion\Run\\*98081C0B4467992247664<*> => value could not remove. Error enumerating values: -1073741816
C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully
C:\WINDOWS\system32\GroupPolicy\User => moved successfully
HKLM\SOFTWARE\Policies\Mozilla => removed successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
"Firefox homepage" => removed successfully
C:\Users\loc\AppData\Local\b4d6fe7b-0c66-491c-9ab8-7d635883cc89 => moved successfully
C:\Users\loc\AppData\Local\08a182ae-4cad-4c56-a180-df4c4f1e66de => moved successfully
C:\ProgramData\YB8GT2S534VXQ79XVUU34R8R0 => moved successfully
C:\Users\loc\AppData\Roaming\dhtyrew0pho => moved successfully
C:\Program Files\BP9NW579UN => moved successfully
C:\Users\loc\AppData\Local\e2f82683-473a-4887-97c2-4992d32a01e9 => moved successfully
C:\ProgramData\9XXFDRWB231A5QFQ8FJLRI18J => moved successfully
C:\Users\loc\AppData\Roaming\h51ko5ktkz5 => moved successfully
C:\Users\loc\AppData\Local\b93966c8-293a-4f5a-8da6-46b297f17e7f => moved successfully
C:\Users\loc\AppData\Roaming\cza3xxuv5l4 => moved successfully
C:\Program Files\WD4I1A1N91 => moved successfully
C:\Users\loc\AppData\Roaming\2cvva1gsogt => moved successfully
C:\Users\loc\AppData\Roaming\InstallPack => moved successfully
C:\ProgramData\QAHGU9YDUEB28XAHDJFAALHFI => moved successfully
C:\Program Files (x86)\WW => moved successfully
C:\Program Files (x86)\bluejay => moved successfully
C:\Program Files (x86)\Somnolence => moved successfully
C:\Program Files (x86)\sightseers => moved successfully
C:\Program Files (x86)\Shay => moved successfully
C:\Program Files (x86)\Inklings => moved successfully
C:\Program Files (x86)\schuler => moved successfully
C:\Users\loc\AppData\Local\AdvinstAnalytics => moved successfully
C:\Users\loc\Downloads\Microsoft Office Professional Plus 2019.iso.axu3z => moved successfully
C:\Users\loc\AppData\Roaming\HYXDevPsnList => moved successfully
C:\Users\loc\AppData\Roaming\dr.extra.config => moved successfully
C:\AdwCleaner => moved successfully
C:\Users\loc\AppData\Local\recently-used.xbel => moved successfully
"C:\Users\loc\AppData\Roaming\DiVbWTn.exe" => not found
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{02792AEE-679F-4F5C-BC92-1B074A457182}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{20C377D4-2D63-48DB-A3BE-C566B9D54898}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5378D90C-DE43-4D40-B2F5-DB14D0E7DC39}" => removed successfully
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{A4802AEB-308B-4321-B260-DD0721CADD23}" => removed successfully

========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Atrophy" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Cabeza" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Calves" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Involving" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Malter" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "SecurityHealth" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Sprained" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Mutation" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "milly" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Lookouts" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "learnable" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Kime" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Galicia" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Crimean" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


========= reg delete HKU\S-1-5-21-2129982949-1099413137-277337156-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Cps" /f =========

L'op‚ration a r‚ussi.



========= End of Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 12083200 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 200093844 B
Java, Flash, Steam htmlcache => 1349 B
Windows/system/drivers => 9102923 B
Edge => 1536 B
Chrome => 88669165 B
Firefox => 17268414 B
Opera => 256113612 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 91536 B
NetworkService => 91536 B
loc => 122619734 B
MSSQL$EBP => 122619734 B

RecycleBin => 289138 B
EmptyTemp: => 790.6 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 20:32:50 ====

[Malekal_morte]

Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

[etodane]

Bonsoir

Merci pour votre aide

Le nettoyage malwarebytes n'a rien trouve donc je suppose que c'est parfait?

Merci

[Malekal_morte]

oui supprime le dossier C:\FRST

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

[etodane]

Bonsoir

Pour les readme pas moyen de les supprime? Les ancien fichier sont toujours dans leur extension axu3z mais ca je pense que c'est normal
j'essaie de supprime un raccourci ou quelque chose pareil pour le readme du virus ca me fais cette erreur https://ibb.co/V9m07QX

[angelique]

Peut être que FRST peut supprimer selon ta capture le dossier ZHP dans AppData\Roaming

Il faut juste lui indiquer les chemins dans le fixlist.txt


Double-clique sur FRST.exe
Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur

puis sur ton clavier appuyer sur la touche CTRL + Y.

Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

2019-10-09 15:32 - 2019-10-09 16:08 - 000000000 ____D C:\Users\loc\AppData\Roaming\ZHP
2019-10-09 15:32 - 2019-10-09 15:32 - 007636680 _____ (Malwarebytes) C:\Users\loc\Downloads\adwcleaner_7.4.1.exe
2019-10-09 15:32 - 2019-10-09 15:32 - 000000873 ____C C:\Users\loc\Desktop\ZHPCleaner.lnk
2019-10-09 15:32 - 2019-10-09 15:32 - 000000000 ____D C:\Users\loc\AppData\Local\ZHP
2019-10-09 15:31 - 2019-10-09 15:31 - 003335552 _____ (Nicolas Coolman) C:\Users\loc\Downloads\ZHPCleaner.exe
EmptyTemp:

[*] Ferme toutes les applications, y compris ton navigateur


[*] Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"