INFECTION fichiers chiffrés (cryptés)

[raztech]

Bonjour a toutes et a tous

permetez moi de partager avec vous un souci serieux :

suite a un telechargement d 'une application , il me semble que j ai recu une attaque viral qui m a tout detruit (changement des icones des racourci s de bureau) j m expluique : si âr exemple j essaye d ouvrir un document word je l aurai crypté ,,, non seulement ca mai tous les autre racourci oront une icone office world...

Mecri de m aidez svp ( avoir des applications et dossier d archives consistant)..
Merci d 'avance

[Malekal_morte]

Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[raztech]

Merci
voila les rapports genere par le scan:
https://pjjoint.malekal.com/files.php?i ... d11d10k8o5
https://pjjoint.malekal.com/files.php?i ... 12e7t11o10

Tres reconaissant
cordialement et tres aimable

[Malekal_morte]

C'est bien un ransomware qui a modifié l'extension .rote
Tu n'as pas d'antivirus installé aussi...



Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

2019-11-25 15:52 - 2018-11-11 15:59 - 000014638 _____ C:\Users\Delta\Downloads\Modéle Engagement service aprés vente (1).docx.rote
2019-11-25 15:52 - 2018-11-10 20:53 - 000053964 _____ C:\Users\Delta\Downloads\AQ Defence - certificat de conformité.docx.rote
2019-11-25 15:52 - 2018-11-01 20:39 - 000599427 _____ C:\Users\Delta\Downloads\liste de prix 2018 new (2).xlsx.rote
2019-11-25 15:52 - 2018-11-01 11:39 - 000599427 _____ C:\Users\Delta\Downloads\liste de prix 2018 new (1).xlsx.rote
2019-11-25 15:52 - 2018-10-31 10:27 - 000014638 _____ C:\Users\Delta\Downloads\Modéle Engagement service aprés vente .docx.rote
2019-11-25 15:52 - 2018-10-30 19:43 - 000599427 _____ C:\Users\Delta\Downloads\liste de prix 2018 new.xlsx.rote
2019-11-25 15:52 - 2018-10-27 14:47 - 000030303 _____ C:\Users\Delta\Documents\Convention Delta Electronique 24-10-2018.xlsx.rote

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2019-11-25 16:32 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\ylp52q3hju1
2019-11-25 16:22 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\ykawu5oisnb
2019-11-25 16:12 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\eb5joz4sbbp
2019-11-25 16:02 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\v5bnms3103t
2019-11-25 15:52 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\5fksv424jjo
2019-11-25 15:31 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\rmgjdeoaj2z
2019-11-25 15:21 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\x21sb5pqzwb
2019-11-25 15:15 - 2019-11-26 17:12 - 000000004 _____ C:\ProgramData\rc.dat
2019-11-25 15:14 - 2019-11-26 16:24 - 000000024 _____ C:\ProgramData\irw.atsd
2019-11-25 15:14 - 2019-11-26 16:24 - 000000004 _____ C:\ProgramData\lock.dat
2019-11-25 15:14 - 2019-11-25 15:14 - 000000008 _____ C:\ProgramData\ts.dat
2019-11-25 15:11 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\fm3yqst3wui
2019-11-25 15:05 - 2019-11-25 15:09 - 000000000 ____D C:\ProgramData\BF2794QGB58DZALHGD5VV6W01
2019-11-25 15:04 - 2019-11-25 15:04 - 000000558 _____ C:\Users\Delta\AppData\Local\bowsakkdestx.txt
2019-11-25 15:04 - 2019-11-25 15:04 - 000000049 _____ C:\Users\Delta\AppData\Local\script.ps1
2019-11-25 15:04 - 2019-11-25 15:04 - 000000000 ____D C:\SystemID
2019-11-25 15:03 - 2019-11-26 16:29 - 000000000 ____D C:\Windows\SysWOW64\koevqgnz
2019-11-25 15:02 - 2019-11-25 16:48 - 000000000 ____D C:\Users\Delta\AppData\Roaming\ghemdtzigiq
2019-05-11 09:42 - 2019-05-04 03:02 - 000194104 _____ (Tonec Inc.) C:\Program Files (x86)\Uninstall.exe
2019-11-13 08:50 - 2019-11-05 22:19 - 000314570 ____N () C:\Users\Delta\AppData\Roaming\cfhcrcf
2019-11-13 08:50 - 2019-11-05 22:19 - 000000270 ____N () C:\Users\Delta\AppData\Roaming\dbwfstj
2019-04-20 21:06 - 2019-04-20 21:07 - 000000053 _____ () C:\Users\Delta\AppData\Roaming\LogFile.txt
2019-10-23 14:31 - 2019-10-23 17:47 - 000000566 _____ () C:\Users\Delta\AppData\Roaming\payerss.ini
2019-11-25 15:04 - 2019-11-25 15:04 - 000000558 _____ () C:\Users\Delta\AppData\Local\bowsakkdestx.txt
2019-11-25 15:04 - 2019-11-25 15:04 - 000000049 _____ () C:\Users\Delta\AppData\Local\script.ps1
Task: {D057C89F-E631-49A4-BD80-F02F4F1451D5} - System32\Tasks\Driver Booster SkipUAC (Delta) => C:\Program Files (x86)\IObit\Driver Booster\6.4.0\DriverBooster.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


~~

Installe un antivirus.

[raztech]

je vous remercie bcp .je ferai les demarches arendre resultat....entre autre je suis entrain de cheercher sur vos tutoriel le sujet comment proteger mon reseau et proteger mon pc...
Meci encore

[Malekal_morte]

Tu télécharges bcp de trucs.
Tu as téléchargé des trucs Epson et Partition Manager avant...
si tu as pris cela sur le premier site venu, c'est pas bon signe, surtout le zip Espon.

[raztech]

c est vrai ...j avais l habitude de telecharger des software reset printers epson ..cette fois ci j etais pris au piege le 25/11/2019 sur un site russe j ai telecharger un fichier zip pour epson printer .. c est ou j ai que tout a changer...

j espere avoir vos conseil pour securiser mon pc...le grand probleme dans tous cela c est que mon logiciel de gestion commerciale est competement endommage ...j espere pouvoie restorer mes fichiers sein...

meci de vos conseil frectueux...la je suiv toujours vos tube et vos tutoriel que je trouve tres benifique..merci encore

[Malekal_morte]

aie Tu peux donner le site ?

[raztech]

hxtps://alutocyl.tk/?07=IZOJv&10b=tURbknCk3BZ49d30f629253dc6d391e7101a35c13adk8dkzgHtA9V&

c est le lien que j ai utilsé pour telecharger

Merci a vous

[raztech]

entifiez-vous

sample_extension: .rote
sample_bytes: [0x1ECBB0 - 0x1ECBCA] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357D

c est le rapport ransome

[Malekal_morte]

Merci pour le lien.
Pas de nom de ransomware ?

[raztech]

https://www.emsisoft.com/ransomware-dec ... /stop-djvu

j ai itulisé ca ..mais je arrive pas a decrypté ..

[Malekal_morte]

Pas le même ransomware ou si c'est le même une nouvelle variante non gérée par l'outil.
En clair, les auteurs du ransomware l'ont mis à jour pour que l'outil ne fonctionne plus.

[raztech]

bonjour
je vous remercie infiniment de vos efforts et vosconseils...
en fin de parcour j ai terminé par formater mon disque dur parceque meme le devellopeur de mon logiciel de gestion n 'as pas pu recupéré des dossiers en sauvegarde....probleme tres serieux pour moi...
une seconde surprise c'est apres avoir formater mon hdd ( HP Z240 PROCESSEUR I7) j ai la souris et le clavier se desactive apres un booting sur dvd et je n arrive pas a suivre mon installation win7 ...
j ai confiance en vos conseils et vos competences..

Merci d'avance

[Malekal_morte]

Tu devrais passer à Windows 10.
Windows 7 n'est plus supporté en Janvier.
Vérifie avant que ton logiciel de gestion fonctionne bien sur Windows 10.

=> comment mettre à jour Windows 7 ou 8 vers Windows 10.