Fichiers image, word excel illisibles, Rançon
Résolu/Fermé
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
-
5 août 2012 à 20:10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 août 2012 à 10:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 août 2012 à 10:48
A voir également:
- Fichiers image, word excel illisibles, Rançon
- Supprimer une page word - Guide
- Liste déroulante excel - Guide
- Word excel gratuit - Guide
- Espace insécable word - Guide
- Organigramme word - Guide
9 réponses
jacques.gache
Messages postés
33453
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 616
5 août 2012 à 21:52
5 août 2012 à 21:52
bonjour, as tu un fichier qui est touché qui serait saint et un contaminé !!
essais cela en ayant ton dd exerterne de connecté !!
Pour que cela fonctionne, vous devez avoir au moins un des fichiers original qui a été crypté et sa version cryptée.
Télécharge sur ton bureau ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
Lancer le fix et cliquez sur Continuer.
Le fix vous demande la version non cryptée du document, indiquez lui le chemin
puis le fix demande la version cryptée. pariel indiquer lui
Le fix rétablit ensuite les fichiers en les recopiant.
une fois fini regarde si c'est bon !!!!
essais cela en ayant ton dd exerterne de connecté !!
Pour que cela fonctionne, vous devez avoir au moins un des fichiers original qui a été crypté et sa version cryptée.
Télécharge sur ton bureau ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
Lancer le fix et cliquez sur Continuer.
Le fix vous demande la version non cryptée du document, indiquez lui le chemin
puis le fix demande la version cryptée. pariel indiquer lui
Le fix rétablit ensuite les fichiers en les recopiant.
une fois fini regarde si c'est bon !!!!
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
6 août 2012 à 15:24
6 août 2012 à 15:24
Bonjour
j'ai bien téléchargé le fix de Dr Web, matsnu1decrypt.exe
le crypté et le non crypté qui ont le même nom, même taille (essai avec un fichier word crypté et un fichier non crypté sur le bureau - le fichier crypté est illisible par word)
mais le fix matsnu1decrypt.exe ne reconnait pas les deux fichiers, comme étant le crypté et le sain
auriez vous une autre piste?
merci de votre aide
j'ai bien téléchargé le fix de Dr Web, matsnu1decrypt.exe
le crypté et le non crypté qui ont le même nom, même taille (essai avec un fichier word crypté et un fichier non crypté sur le bureau - le fichier crypté est illisible par word)
mais le fix matsnu1decrypt.exe ne reconnait pas les deux fichiers, comme étant le crypté et le sain
auriez vous une autre piste?
merci de votre aide
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 août 2012 à 15:41
6 août 2012 à 15:41
Le fix de Dr.WEb ne fonctionnera pas, car c'est une infection complètement différente.
Tu peux sortir le malware de la quarantaine de ton antivirus et l'envoyer sur http://upload.malekal.com
Tu peux sortir le malware de la quarantaine de ton antivirus et l'envoyer sur http://upload.malekal.com
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
6 août 2012 à 16:07
6 août 2012 à 16:07
En fait mon antivirus (Mcafee) n'a rien détecté je l'ai laissé touner tout l'APM
est ce qu'il est possible d'envoyer plutot le fichier crypté et le fichier sain?
est ce qu'il est possible d'envoyer plutot le fichier crypté et le fichier sain?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
6 août 2012 à 16:46
6 août 2012 à 16:46
Bonjour
je dois avouer que je suis relativement peu au fait de cette manipulation; comment peut on extraire quelque chose de la quarantaine de l'antivirus?
ou est situé ce répertoire?
en tout cas, Mc Afee n'a rien vu car j'ai toujours le pop up qui s'allume me demandant de payer la rançon de 50 euros
merci de votre aide
je dois avouer que je suis relativement peu au fait de cette manipulation; comment peut on extraire quelque chose de la quarantaine de l'antivirus?
ou est situé ce répertoire?
en tout cas, Mc Afee n'a rien vu car j'ai toujours le pop up qui s'allume me demandant de payer la rançon de 50 euros
merci de votre aide
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 août 2012 à 16:51
6 août 2012 à 16:51
Tu ouvres ton antivirus, tu vas dans la partie quarantaine.
Tu sélectionnes le malware en question et doit y avoir un bouton du style restaurer.
Tu dois pouvoir choisir l'emplacement où restaurer.
A partir de là le fichier malicieux (ça craint rien tant que tu ne la lances pas) est sur ton disque.
tu l'envoies sur http://upload.malekal.com à partir du bouton parcourir.
Tu sélectionnes le malware en question et doit y avoir un bouton du style restaurer.
Tu dois pouvoir choisir l'emplacement où restaurer.
A partir de là le fichier malicieux (ça craint rien tant que tu ne la lances pas) est sur ton disque.
tu l'envoies sur http://upload.malekal.com à partir du bouton parcourir.
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
8 août 2012 à 09:36
8 août 2012 à 09:36
bonjour
j'ai laissé tourner mon antivirus deux fois, (15 heures à chaque fois...)
mais il n'a rien trouvé, le pop up m'indiquant que le ransomware est là apparait
toujours , je n'arrive pas à trouver quelque chose en quarantaine
est ce qu'il y'a une autre manip à faire?
merci de votre aide
j'ai laissé tourner mon antivirus deux fois, (15 heures à chaque fois...)
mais il n'a rien trouvé, le pop up m'indiquant que le ransomware est là apparait
toujours , je n'arrive pas à trouver quelque chose en quarantaine
est ce qu'il y'a une autre manip à faire?
merci de votre aide
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
8 août 2012 à 09:54
8 août 2012 à 09:54
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
milosevic5505
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
10 août 2012 à 10:12
10 août 2012 à 10:12
Bonjour
grace au forum malekal, j'ai réussi a décrypter mes fichiers p://forum.malekal.com/trojan-crypteur-t39642.html#p309393 - extsigchecker.exe (de tigzy)
de plus, comme mon antivirus ne trouvait rien,
j'ai cherché les fichiers crées modifiés le 04/08 vers 15h15, date à laquelle mes fichies doc, xls et image ont été touchés
et là, j'ai trouvé un fichier csrss avec un fichier dll associé (15h14 touis deux, 164 ko) qui s'est mis dans document & settings\all users\application data, ce qui fait que j'avais deux processus csrss qui tournaient, mais pas possible d'arrêter celui qui n'était pas natif, donc j'ai fait tourner runscanner (un utilitaire antispyware portable fourni avec liberkey) qui a réussi à arrêter le csrss après que j'ai supprimé le fichier dll associé (crée en même temps dans le répertoire temp) et là, le pop up a disparu, et au redémarrage, il n'est pas réaparru....
en espérant l'avoir supprimé de cette façon... çà à l'air tellement simple que je n'y crois pas vraiement...
bonne journée
grace au forum malekal, j'ai réussi a décrypter mes fichiers p://forum.malekal.com/trojan-crypteur-t39642.html#p309393 - extsigchecker.exe (de tigzy)
de plus, comme mon antivirus ne trouvait rien,
j'ai cherché les fichiers crées modifiés le 04/08 vers 15h15, date à laquelle mes fichies doc, xls et image ont été touchés
et là, j'ai trouvé un fichier csrss avec un fichier dll associé (15h14 touis deux, 164 ko) qui s'est mis dans document & settings\all users\application data, ce qui fait que j'avais deux processus csrss qui tournaient, mais pas possible d'arrêter celui qui n'était pas natif, donc j'ai fait tourner runscanner (un utilitaire antispyware portable fourni avec liberkey) qui a réussi à arrêter le csrss après que j'ai supprimé le fichier dll associé (crée en même temps dans le répertoire temp) et là, le pop up a disparu, et au redémarrage, il n'est pas réaparru....
en espérant l'avoir supprimé de cette façon... çà à l'air tellement simple que je n'y crois pas vraiement...
bonne journée
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
10 août 2012 à 10:48
10 août 2012 à 10:48
Faire OTL..
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 août 2012 à 16:12
6 août 2012 à 16:12
La routine de décryptage est connue mais faut un programme qui le fait : https://forum.malekal.com/viewtopic.php?t=39642&start=#p309393
Tu peux sortir le fichier de la quarantaine de McAfee et l'envoyer sur http://upload.malekal.com
Tu peux sortir le fichier de la quarantaine de McAfee et l'envoyer sur http://upload.malekal.com
