FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par phil55
#168016
Bonjour,
je me suis fait infecté par un virus qui m'as crypter énormément de fichiers en rsa2048.
pourriez vous m'en dire plus a ce sujet, et s'il est possible de récupérer mes fichiers.

merci
Avatar du membre
par phil55
#168729
Bonsoir,
Excusez ma lenteur a répondre, il a fallu que je refasse un dd pour garder celui crypter avec mes documents.
Je poste donc le rapport avant le travail de désinfection de MBAM :

Date de l'analyse: 16/09/2015
Heure de l'analyse: 21:30
Fichier journal: rapport1.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.09.16.05
Base de données de rootkits: v2015.08.16.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC-11

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 376078
Temps écoulé: 19 min, 40 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 11
PUP.Optional.MultiPlug, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Bidaily Synchronize Task[pr], , [0293bc74c9c2ee489fbc5255e91b6b95],
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE, , [118436fab4d79d99e17d55216a9a4fb1],
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE, , [7c19230d7e0dbc7aea74ef8713f18977],
Backdoor.Bot, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, , [2273c96791fa989e8e3d6755df24c33d],
Backdoor.Bot, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, , [2273c96791fa989e8e3d6755df24c33d],
Malware.Trace, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\DC3_FEXEC, , [078e44ec17743bfb3e2c2db917ec5fa1],
PUP.Optional.InstallCore, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\ICSW1.14, , [a5f0f9376a210b2ba8c4a6f71be9e020],
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, , [eea7a68a56352b0b4846c6c4ad576799],
PUP.Optional.ProductSetup, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\PRODUCTSETUP, , [2e67b977018a7fb77204e8c6fe06956b],
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER, , [692cfd334d3e85b140d47446af5532ce],
Malware.Trace, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\VB AND VBA PROGRAM SETTINGS\SrvID, , [3d58f937cac1be7855245b64c142e21e],

Valeurs du registre: 12
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, , [118436fab4d79d99e17d55216a9a4fb1]
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, , [7c19230d7e0dbc7aea74ef8713f18977]
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, http://www.bing.com/search?pc=COSP&ptag ... earchTerms}, , [eea7a68a56352b0b4846c6c4ad576799]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Super Optimizer, C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe, , [ff96aa86d5b6bb7b38da3882f80c936d]
PUP.Optional.ProductSetup, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\PRODUCTSETUP|tb, 0P1C2R1R1D0W0O0R1I1M, , [2e67b977018a7fb77204e8c6fe06956b]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER|SetupName, C:\Users\PC-11\AppData\Local\Temp\in0E8B6B3D\241E3513_stp\SuperOptimizer.exe, , [692cfd334d3e85b140d47446af5532ce]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER|AdsBuyNowURL, http://supc4.superpctools.revenuewire.n ... 9FA28664A1, , [3065a58b9fecda5cb55eddddbc484db3]

Données du registre: 1
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.bing.com/?pc=COSP&ptag=D0902 ... =CT3332031, Bon : (www.google.com), Mauvais : (http://www.bing.com/?pc=COSP&ptag=D0902 ... =CT3332031),,[435277b9513a4beb89a9e38b20e5b54b]

Dossiers: 1
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs, , [534246ead1ba92a4efb6c74c1fe5bc44],

Fichiers: 23
PUP.Optional.OptimizerPro, C:\Program Files (x86)\Super Optimizer\SuperOptimizer.exe, , [fb9a82ae78131a1c12fb5f32966b32ce],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\2013-03-06-4.dc, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_aqovo.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_aqovo.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_daygn.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_daygn.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_knewv.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_knewv.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_nlnsg.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_nlnsg.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Trojan.FileCryptor.Trace, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\restore_files_aqovo.html, , [296c240c5e2d5adc114c3744758f55ab],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_aqovo.html, , [d0c579b724678aac38256c0f10f447b9],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_daygn.html, , [1382a48c9cef8ea8005dc2b99f655ca4],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_knewv.html, , [f2a37cb46c1f0d29530aec8f7e86d22e],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_nlnsg.html, , [e4b140f0197293a380dd205be321f10f],
Trojan.FileCryptor.Trace, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\restore_files_aqovo.txt, , [bed7949c0d7e8da9144a52297094d32d],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_aqovo.txt, , [81147eb27912ea4cf668a5d6fe066e92],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_daygn.txt, , [f5a02f01b6d581b563fb1665a0645aa6],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_knewv.txt, , [dfb688a8c1ca5cda0559007bb35105fb],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_nlnsg.txt, , [74217db3becdff37aeb08fec59abd22e],
PUP.Optional.MultiPlug, C:\Windows\System32\Tasks\Bidaily Synchronize Task[pr], , [e4b128085c2f47ef54f6bee947bd0af6],
PUP.Optional.MultiPlug, C:\Windows\Tasks\Bidaily Synchronize Task[pr].job, , [d8bd2808692276c01f336146a064a35d],
Backdoor.Bot, C:\Windows\SysWOW64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)
Avatar du membre
par phil55
#168730
voila le 2eme après désinfection :

Date de l'analyse: 16/09/2015
Heure de l'analyse: 22:30
Fichier journal: rapport2.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.09.16.05
Base de données de rootkits: v2015.08.16.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC-11

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 377046
Temps écoulé: 19 min, 18 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 0
(Aucun élément malveillant détecté)

Valeurs du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

Merci
Avatar du membre
par 2011N2
#169035
Bonjour,

Est-ce que tu comprends l'anglais ? Il faudrait que tu tentes ceci : http://www.bleepingcomputer.com/virus-r ... -encrypted
Si tu ne comprends pas l'anglais je t'expliquerai rapidement la procédure. ;)

Rapidement déjà : tu dois démarrer ton PC en mode sans échec, télécharger Emsisoft Harasom Decrypter ( http://tmp.emsisoft.com/fw/decrypt_harasom.exe ), l'exécuter; cliquer sur Decrypt et attendre le résultat.

Gabriel.
Avatar du membre
par Invité
#169062
Bonjour,
j'ai redémarré le disque en mode sans échec et exécuté le programme mais il n'a rien trouvé ...
Je ne sait pas si cela peut aider mais tout mes fichiers cryptés ont l'extension abc, ex ( 1.jpg.abc ) .
Merci encore
Philippe
Avatar du membre
par 2011N2
#169080
Bonjour,

D'accord, alors malheureusement effectivement ça va être compliqué de récupérer les fichiers cryptés...

Pour voir s'il ne reste tout de même pas de traces de l'infection, passe RogueKiller en Scan et poste le rapport stp : http://www.forum-entraide-informatique. ... -tutoriel/

Et tu t'es surement fait infecter à cause de ce genre d'outils : C:\Program Files\KMSnano\TriggerKMS.exe

Gabriel.
Avatar du membre
par phil55
#169180
Bonjour,
je vais essayer cela .
Pour l'infection, je ne sait pas trop, de mémoire la seule chose qui a été faite est une mise a jour de java un peu compliquée et longue.

Philippe
Avatar du membre
par 2011N2
#169185
Bonjour,

D'accord, pour RogueKiller tu peux cocher les éléments et passer en Suppression, puis poste le rapport obtenu.

Gabriel.
Avatar du membre
par 2011N2
#169196
Re,

Tu as vérifié que les éléments détectés étaient cochés avant de procéder à la suppression ?

Gabriel.
Avatar du membre
par 2011N2
#169203
Re,

Étrange... Bon fais un nouveau rapport ZHPDiag, on va supprimer quelques éléments pour être sûr que l'infection ne revienne pas, à défaut de pouvoir récupérer tes documents cryptés.

Gabriel.
Avatar du membre
par phil55
#169209
j'ai passé RogueKiller et il a trouvé 2 erreurs en rouge, j'ai posté le rapport et attendant ton message je l'ai refermé.
après ton message, je l'ai relancé et il n'a trouvé qu'une erreur rouge.
ensuite fait suppression et envoie rapport
Avatar du membre
par 2011N2
#169211
Re,

Et là RogueKiller détecte toujours quelque chose en scan ? Si oui, tu peux poster le rapport stp ?

Sinon le ZHPDiag est propre. En revanche pour Malwarebytes tu avais fait une simple analyse des menaces, ce serait préférable que tu refasses une analyse personnalisée avec la recherche de rootkits comme indiqué sur le tutoriel ici : http://www.forum-entraide-informatique. ... -tutoriel/
Poste le rapport obtenu ensuite, c'est normal que ça prenne plus de temps.

Gabriel.
Avatar du membre
par phil55
#169215
RogueKiller ne détecte plus rien maintenant.
je ferai la suite ce soir, je bosse de l'après-midi.
Merci pour ton aide
bonne journée

philippe
Avatar du membre
par phil55
#169314
Bonjour,
Mauvaise nouvelle, j'ai laissé tourner le logiciel cette nuit et après qu'il ai terminé le pc a redémarré donc via l'historique j'ai supprimé ce qui n'étais pas bon mais il ne m'a pas fait de rapport avec les noms.

Philippe
Avatar du membre
par 2011N2
#169319
Bonjour,

Il n'y a même pas de rapport dans l'onglet Historique du logiciel puis Journaux de l'application ?

Gabriel.
Avatar du membre
par phil55
#169400
Bonjour,
Non rien dans le journal, si ce n'est version, date .....
Philippe
Avatar du membre
par 2011N2
#169402
Bonjour,

Dans Journaux d'application et il n'y a pas de journal d'analyse à la date de l'examen que tu as fait ? Bizarre...

Sinon en tout cas le PC est propre là à priori, mais malheureusement on ne peut pas faire grand chose pour les fichiers qui ont été cryptés. Tu avais des sauvegardes ?

Gabriel.
Avatar du membre
par phil55
#169404
Je vérifierai encore, la je réponds via un autre disque refait depuis et garde l'ancien au cas ou une solution arrive, qui sait ...
Malheureusement, malgré qq sauvegardes j'ai perdu beaucoup de documents et photos.
Il y a qq années mon disque ou je stocke mes photos avait rendu l'âme et depuis par précaution j'ai mis 2 disques en raids et me pensant a l'abris de ce genre de pertes je ne faisait que peu de sauvegardes.
Du coup, je vient de mettre un disque de sauvegardes qui lui n'est mis en place que pour cela dans la tour et n'y reste pas.

Elevate your online presence with our expert wiki […]

Message d'erreur

Bonjour, Je viens de reconditionner un PC portable[…]

C'est formidable que l'édition gratuite de […]

La pharmacie en ligne Panda.Healthcare semble simp[…]