Sujet Précédent Sujet Suivant

Virus - Locky Ransomware RSA-2048 AES 128

Résolu/Fermé
Utilisateur anonyme - 19 févr. 2016 à 12:51
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 mai 2016 à 11:04
bonjour,

mon ordinateur a ete infecte par le virus ransomware AES 128, RSA-2048

Tous mes fichiers sont dorenavant encryptes et inutilisables. Ils sont accompagnes d'une note "Locky recover instructions" comme suit :


!!! IMPORTANT INFORMATION !!!!
<ital>
<ital>All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://6dtxgqam4crv6rr6.tor2web.org/39184DCE455EB0AD
2. http://6dtxgqam4crv6rr6.onion.to/39184DCE455EB0AD
3. http://6dtxgqam4crv6rr6.onion.cab/39184DCE455EB0AD

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/39184DCE455EB0AD
4. Follow the instructions on the site.

!!! Your personal identification ID: 39184DCE455EB0AD !!!

je n'ai pas de back up et ne compte pas suivre les instructions ci dessous.

Auriez-vous la gentillesse de m'aider afin de trouver une possible solution pour retrouver mes donnees?

Un grand merci

Christophe

25 réponses

  • 1
  • 2
Réponse 1 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 31/10/2016 à 19:54
Pour information, ce ransomware est nouveau du 16 Février où une campagne de mail malicieux "invoice" avec des pièces jointes Word a débuté.
Aussi, tu peux avoir des pièces jointes zip avec du JavaScript.

Tu trouveras des informations, pour la prévention, sur cette fiche : Fiche du Ransomware Locky (virus Crypter).

et :

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecté Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
1 mars 2016 à 20:56
Pour limiter la casse de ces mails malicieux, Il est fortement conseillé de désactiver Windows Scripting Host - voir Comment se protéger des scripts malicieux sur Windows.
0
JPB
10 mars 2016 à 20:31
Bonjour,
Je suis également touché par cette saleté...
J'ai fait les scans selon vos recommandations, vous trouverez ci dessous les liens.
http://pjjoint.malekal.com/files.php?id=20160310_w5g14n15v9x5
http://pjjoint.malekal.com/files.php?id=FRST_20160310_t9e6w14f13n8
http://pjjoint.malekal.com/files.php?id=20160310_d15u6z7c10b5
Merci d'avance de votre aide...
0
Réponse 2 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
19 févr. 2016 à 13:13
Salut

pour désinfecter :

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
1
emilie
26 févr. 2016 à 15:42
http://pjjoint.malekal.com/files.php?id=FRST_20160226_x5c15d11j5v9
http://pjjoint.malekal.com/files.php?id=20160226_o12t10q12h15t5
http://pjjoint.malekal.com/files.php?id=20160226_f11z11t7z14n13
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > emilie
26 févr. 2016 à 15:44
Salut emilie, le ransomware Locky n'est plus actif.
0
Réponse 3 / 25
Dyjal Messages postés 5 Date d'inscription mercredi 2 mars 2016 Statut Membre Dernière intervention 23 juin 2016
2 mars 2016 à 12:20
Voila ce que ça donne :

https://pjjoint.malekal.com/files.php?id=FRST_20160302_u12d15q5n14h5
https://pjjoint.malekal.com/files.php?id=20160302_x13f5w15g12y9
https://pjjoint.malekal.com/files.php?id=20160302_s13n13x11i13n11

Merci de m'aider
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
2 mars 2016 à 17:17
Salut,

Ce n'est pas le Ransomware Locky que tu as mais TeslaCrypt et il est encore actif.
Il semblerait qu'il n'y ait pas d'antivirus sur le serveur..... ça n'aide pas.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [orxgehjltpcm] => C:\WINDOWS\system32\cmd.exe /c start "" "\\aadc1\Profils_itinerants\j_dossou-yovo\Documents\eqfrdpaobaff.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [ngygephugsif] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [yedvfpeshdds] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [prphobeswytd] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\ndehkuygrhid.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [fdxypbyqyclf] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [kxvfvbvaqskn] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [bsgidjqeyloo] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\ndehkuygrhid.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [vtxtjorsndvf] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\fvbvaqsknnbs.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [owfiusuyihhl] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [fuuihxuhcuho] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [siveascsifys] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [nwiesrtyamrj] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\ndehkuygrhid.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [htroyudrlffr] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\wdbbleflxocu.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [yudrlffrbmsv] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\ndehkuygrhid.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [vhdgmpjoehxt] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\fvbvaqsknnbs.exe"
HKU\S-1-5-21-261581389-3565451755-3158616889-1483\...\Run: [vyciglfyhksq] => C:\WINDOWS\system32\cmd.exe /c start "" "C:\WINDOWS\qbbrtjlribhw.exe"
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\administrateur.AFRICAINE-ASSUR\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\Administrateur.AFRICAINE-ASSUR.000\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Assistant d'Acrobat.lnk [2012-11-22]
ShortcutTarget: Assistant d'Acrobat.lnk -> C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\c_azonsi\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+lbhtu.html [2016-03-01] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+lbhtu.png [2016-03-01] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+lbhtu.txt [2016-03-01] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+ormkc.html [2016-03-01] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+ormkc.png [2016-03-01] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+ormkc.txt [2016-03-01] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\f_koukpo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\g_djegbeton\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\j_dossou-yovo\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\n_fanou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\s_informatique2\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\s_nachirou\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\t_compta\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.html [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.png [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+caxhq.txt [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.html [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.png [2016-03-02] ()
Startup: C:\Documents and Settings\User\Menu Démarrer\Programmes\Démarrage\_RECoVERY_+oihkp.txt [2016-03-02] ()

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
0
Dyjal Messages postés 5 Date d'inscription mercredi 2 mars 2016 Statut Membre Dernière intervention 23 juin 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
2 mars 2016 à 19:01
Je crois avoir mal fait quelque chose. Je recommence le scan et vous le renvoie.
Toutes mes excuses.
Merci
0
Dyjal Messages postés 5 Date d'inscription mercredi 2 mars 2016 Statut Membre Dernière intervention 23 juin 2016
2 mars 2016 à 19:05
Voila les résultats du nouveau scan

https://pjjoint.malekal.com/files.php?id=20160302_z9r9j8o14e11

https://pjjoint.malekal.com/files.php?id=FRST_20160302_m14n14l6v14p8

https://pjjoint.malekal.com/files.php?id=20160302_j15q14o10e11q12

Toutes mes excuses pour le dérangement. Merci d'avance
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Dyjal Messages postés 5 Date d'inscription mercredi 2 mars 2016 Statut Membre Dernière intervention 23 juin 2016
2 mars 2016 à 19:10
Faire la correction.
0
Dyjal Messages postés 5 Date d'inscription mercredi 2 mars 2016 Statut Membre Dernière intervention 23 juin 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
2 mars 2016 à 19:21
Ok... Ca donne ceci: https://pjjoint.malekal.com/files.php?id=20160302_s7e10n7v7s12
0
Réponse 4 / 25
Utilisateur anonyme
19 févr. 2016 à 17:19
Bonjour,

merci pour ta reponse -)

voila les 3 liens suite au scan FRST

https://pjjoint.malekal.com/files.php?id=20160219_b13h1312s13o7
https://pjjoint.malekal.com/files.php?id=FRST_20160219_r5e10r6w15c6
https://pjjoint.malekal.com/files.php?id=20160219_u8n9j10e14j12

a bientot

Christophe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
19 févr. 2016 à 17:33
Il n'est plus actif.
Je pense que tu peux supprimer ce fichier C:\Users\Think\AppData\Roaming\RDUYC.DLL

Tu peux aussi désinstaller SpyHunter et StopZilla qui ne vont te servir à rien.
Tu es tombé sur des "soit disant" sites de désinfections qui ne sont là que pour faire la promotion de ces programmes de désinfection et te les faire acheter.

0
Réponse 6 / 25
Utilisateur anonyme
19 févr. 2016 à 18:07
merci !

par contre, est-ce qu;il y a / aurait un moyen pour recuperer mes fichiers qui sont maintenant tous encryptes et donc inutilisables?

Christophe
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
19 févr. 2016 à 18:14
Pour le moment non.
0
Réponse 7 / 25
Utilisateur anonyme
21 févr. 2016 à 10:39
mauvaise nouvelle...mais merci tout de meme

donc je suppose le seul moyen est donc d'attendre qu;il y ait une solution eventuelle ou de payer?
0
SeigneurGhost
Modifié par SeigneurGhost le 1/03/2016 à 19:28
Si vous êtes sur Windows 7 Pro (parfois je l'ai fait aujourd'hui sur un ordi au boulot) il y a un moyen en cliquant sur le dossier touché à savoir le dossier C:/Users/UTILISATEUR

Clique droit => Restaurer la version précédente => Copier (sur un hdd externe)

EDIT : Ca demande pas mal de test mais en restaurant soit un point de sauvegarde, soit si le programme n'a pas fini d’exécuter ses macros et que vous n'avez pas le wallpaper qui a été modifié

Sinon de base cette merde vide les Shadow et les sauvegardes pour ne pas pouvoir débloquer la machine
0
Réponse 8 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
21 févr. 2016 à 10:40
voila.



Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0
lskbaby Messages postés 16 Date d'inscription jeudi 25 juin 2015 Statut Membre Dernière intervention 27 juin 2015
1 mars 2016 à 13:28
Hello Malekal,

Petite question ( bete peut etre mais je la pose quand meme)
Si on fait une restauration à un point antérieur, y a pas moyen de récupérer ses fichiers?
Pour les fichiers infectés, la seule solution serait d'attendre qu'un anti hacker arrive à trouver la clé de décryptage des fichiers locky?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > lskbaby Messages postés 16 Date d'inscription jeudi 25 juin 2015 Statut Membre Dernière intervention 27 juin 2015
1 mars 2016 à 14:23
La restauration du système ne touche pas les données.
Pour la clef, tu peux oublier. C'est pas aussi simple que cela.
0
lskbaby Messages postés 16 Date d'inscription jeudi 25 juin 2015 Statut Membre Dernière intervention 27 juin 2015
1 mars 2016 à 15:31
Ok
bon je me suis fait avoir
je vais essayer de l'ejecter
et je poste mes liens FRST
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > lskbaby Messages postés 16 Date d'inscription jeudi 25 juin 2015 Statut Membre Dernière intervention 27 juin 2015
1 mars 2016 à 15:33
ok normalement il ne reste pas actif.
Si tu as besoin d'aide, donne les rapports via pjjoint =)
0
Réponse 9 / 25
Utilisateur anonyme
1 mars 2016 à 15:49
Salut Malekal
Ok voila les liens:

https://pjjoint.malekal.com/files.php?id=FRST_20160301_i15v714x14h6
https://pjjoint.malekal.com/files.php?id=20160301_u13c7h6s7w9
https://pjjoint.malekal.com/files.php?id=20160301_p10l12m10n8u6

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
1 mars 2016 à 16:11
Pas infecté.
Désinstalle Reimage Repair, arnaque.
Désinstalle aussi Spyhunter, pas utile.
0
Utilisateur anonyme
1 mars 2016 à 16:24
Merci Malekal
Dit moi je doit supprimer tous les fichier loky? y'a t il un moyen pur les récupérer?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Utilisateur anonyme
1 mars 2016 à 16:26
Tu peux les garder quelques mois, si jamais une solution est donnée.
Sinon pour la récup non pas de solution.
0
Réponse 10 / 25
lskbaby Messages postés 16 Date d'inscription jeudi 25 juin 2015 Statut Membre Dernière intervention 27 juin 2015
1 mars 2016 à 17:22
Re Malekal,

Ci joint mes liens
J'ai utilisé Malware ensuite j'ai fait un Scan Eset

https://pjjoint.malekal.com/files.php?id=FRST_20160301_t5n9j9o9z12
https://pjjoint.malekal.com/files.php?id=20160301_h10y7e910y5
https://pjjoint.malekal.com/files.php?id=20160301_15f5s12k7y15

Merci de l'aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
1 mars 2016 à 19:28
Pas infecté =)
0
Réponse 11 / 25
silversloche Messages postés 39 Date d'inscription dimanche 28 juin 2015 Statut Membre Dernière intervention 20 mars 2016 2
1 mars 2016 à 17:26
je my connais dans ce genre d'encryption, elle a été créee pour quelle soit INDÉCHIFFRABLE, donc oui si tu payes tu vas ravoir tes dossiers. Ils ne veulent pas tes dossiers, juste de l argent !

--
0
Réponse 12 / 25
leujette Messages postés 1 Date d'inscription lundi 15 juillet 2013 Statut Membre Dernière intervention 15 juillet 2013
1 mars 2016 à 20:03
Bonsoir,
Voici mes liens, peux-tu les examiner ?
https://pjjoint.malekal.com/files.php?id=FRST_20160301_w15v7p13y5z7
https://pjjoint.malekal.com/files.php?id=20160301_g7n11p10y11g10
https://pjjoint.malekal.com/files.php?id=20160301_x5b7u12m138
J'avais un DD externe connecté mais apparemment les fichiers du DD n'ont pas été cryptés, peut-être parce que j'ai coupé tout de suite la connexion internet ? Comment vérifier que le virus ne se trouve pas dans le DD ?
Merci beaucoup,
Danielle
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
1 mars 2016 à 20:16
Pas de ransomware actif.
0
Aranud87 Messages postés 18031 Date d'inscription dimanche 29 octobre 2006 Statut Contributeur Dernière intervention 7 juin 2020 3 293
11 avril 2016 à 03:07
AV: avast! Antivirus (Disabled - Out of date)

Pas d'antivirus ?
0
Réponse 13 / 25
MES
2 mars 2016 à 16:09
Bonjour,

Voici mes 3 liens d'avance merci pour votre retour et votre travail.
http://pjjoint.malekal.com/files.php?id=20160302_o6l10y12u6j7
http://pjjoint.malekal.com/files.php?id=FRST_20160302_l15v6y9r7w13
http://pjjoint.malekal.com/files.php?id=20160302_j9m13d9z15q10

Merci par avance de votre retour,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
2 mars 2016 à 17:16
ça semble correct.
essaye de récupérer les fichiers avec les versions précédentes si tu n'as pas de sauvegarde.
0
MES
3 mars 2016 à 08:56
Merci de ton aide,
Je vais faire des restaurations de mes sauvegardes.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > MES
3 mars 2016 à 09:09
Bon courage =)
0
Réponse 14 / 25
metalbands Messages postés 1 Date d'inscription lundi 7 mars 2016 Statut Membre Dernière intervention 7 mars 2016
7 mars 2016 à 18:23
bonjour, voici les 3 liens qui m'ont été fournis, merci d'avance :)

https://pjjoint.malekal.com/files.php?id=20160307_t10q5w10v7m12
https://pjjoint.malekal.com/files.php?id=FRST_20160307_i5g15k10y9i10
https://pjjoint.malekal.com/files.php?id=20160307_y5q13d15s5f11
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 7/03/2016 à 18:38
Salut,

Rapports corrects.

Locky Ransomware n'est pas résident, donc une fois qu'il a fait le boulot, pas de désinfection nécessaire.
Faut remettre les sauvegardes.

Locky Ransomware allant par des emails malicieux en Word ou JavaScript :

Désactive Windows Script Host (ou si c'est un PC d'entreprise, utilise AppLocker pour bloquer les scripts malicieux) : voir Comment se protéger des scripts malicieux sur Windows.

Si tu as des questions, n'hésite pas.
0
metalbands Messages postés 1 Date d'inscription lundi 7 mars 2016 Statut Membre Dernière intervention 7 mars 2016
Modifié par metalbands le 8/03/2016 à 19:32
salut malekal merci pour ton aide, je suis soulagé j'avais bien peur de devoir réinstaller mon système, un grand oufff... et dois-je donc juste supprimer les locky recover instructions et companies,et l'affaire sera réglée, vu que les fichiers qu'il a pris en "otage" n'étaient pas si importants que ça?
0
Réponse 15 / 25
JonyAds
7 mars 2016 à 23:57
Bonjour,

Voici mes 3 liens merci d'avance pour votre retour et votre travail.

http://pjjoint.malekal.com/files.php?id=FRST_20160307_m10c8x8s15y7
http://pjjoint.malekal.com/files.php?id=20160307_n6b14f7c5u11
http://pjjoint.malekal.com/files.php?id=20160307_e7k12h6p14t7

Merci de m'aider
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
8 mars 2016 à 08:54
Hello,

Rapports corrects, voir message précédent : https://forums.commentcamarche.net/forum/affich-33185934-virus-locky-ransomware-rsa-2048-aes-128#41

Aussi sur cette page, se trouve des exemples d'emails malicieux pour sensibiliser les utilisateurs :
https://forum.malekal.com/viewtopic.php?t=54467&start=
0
Réponse 16 / 25
JBou6
8 mars 2016 à 12:19
Bonjour,

Le PC de mon assistant a été infecté par Locky. De manière rapide, grâce aux instructions trouvées sur CCM, j'ai installé Malaware sur son PC. A priori, il a trouvé Dridex et une cinquantaine de virus et autres (sic). Il a tout supprimé sur son poste via Malwarebytes. Puis via Adwcleaner. Ceci étant j'ai pu lire que les ressources réseau étaient également touchées.

Du coup, je me demande si mon propre poste est infecté. De même pour mes serveurs. (1 PC et 1 MAC. Nos postes utilisateurs sont des MAC en boot PC sous SEVEN)

En premier lieu, j'ai fait un rapport ZHPDiag et un rapport AdwCleaner sur mon poste. Puis les 3 rapports FRST.

ADWCleaner :
http://pjjoint.malekal.com/files.php?id=20160308_o10y13n11g12e13

ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20160308_w10h11q10k14g7

FRST :
http://pjjoint.malekal.com/files.php?id=FRST_20160308_t11p6p11l6j9
http://pjjoint.malekal.com/files.php?id=20160308_p8v5w8r7x6
http://pjjoint.malekal.com/files.php?id=20160308_u10c15y14p5c9

Voilà. Je vous ai tous mis.
Merci.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
8 mars 2016 à 12:35
Salut,

Rapports corrects.
Voir mes deux dernières interventions :
https://forums.commentcamarche.net/forum/affich-33185934-virus-locky-ransomware-rsa-2048-aes-128#41
https://forums.commentcamarche.net/forum/affich-33185934-virus-locky-ransomware-rsa-2048-aes-128#43

Désactiver Windows Script Host serait pas mal.
0
JBou6
8 mars 2016 à 13:42
Ok. Je vais voir ça pour le Script Host.
Merci beaucoup.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > JBou6
8 mars 2016 à 14:21
bon courage!
0
Réponse 17 / 25
caced Messages postés 129 Date d'inscription samedi 27 mars 2010 Statut Membre Dernière intervention 27 novembre 2020 6
8 mars 2016 à 17:14
Bonjour,

J'ai également le même problème,
J'ai lancé l'antivirus et nettoyé ainsi que malwarebytes.

Pourriez-vous me donner un coup de main ?

J'ai lancé votre programme, voici les liens :

https://pjjoint.malekal.com/files.php?id=FRST_20160308_h5c12i915r14
https://pjjoint.malekal.com/files.php?id=20160308_o12e7e9z13s6
https://pjjoint.malekal.com/files.php?id=20160308_c14q5y5n10q14

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 8/03/2016 à 17:33
Salut,

M'étonnerait que ce soit le PC source, y a pas de .Locky
A moins que tu aies tout supprimé.
Sinon rapport correct, voir message précédent pour sécuriser/sensibiliser.
0
caced Messages postés 129 Date d'inscription samedi 27 mars 2010 Statut Membre Dernière intervention 27 novembre 2020 6 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
8 mars 2016 à 17:55
J'ai supprimé les virus effectivement et j'avais lancé la correction, il il me disait qu'il ne trouvait pas de ficher (tout est sur le bureau).
J'ai lancé anlogX, mais j'ai toujours mes fichiers en _Locky_recover_instructions
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > caced Messages postés 129 Date d'inscription samedi 27 mars 2010 Statut Membre Dernière intervention 27 novembre 2020
8 mars 2016 à 18:07
Normal pour les fichiers instructions, faut les supprimer.
0
caced Messages postés 129 Date d'inscription samedi 27 mars 2010 Statut Membre Dernière intervention 27 novembre 2020 6
8 mars 2016 à 18:34
Par contre ça m'a supprimé des fichiers excel. C'est un peu comme si mon fichier excel s'était transformé en _Locky_recover_instructions. Du coup, j'ose pas trop le supprimer.
Ai-je un moyen de les récupérer ?
0
Réponse 18 / 25
olokin
Modifié par olokin le 8/03/2016 à 20:21
Bonjour, je me permet également de joindre mes trois liens, en vous remerciant par avance. 

http://pjjoint.malekal.com/files.php?id=FRST_20160308_d14u5l5m12l5

http://pjjoint.malekal.com/files.php?id=20160308_e105w11f11i10

http://pjjoint.malekal.com/files.php?id=20160308_o11q11m9p8k13
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
8 mars 2016 à 21:14
Salut,

Même chose - rapports corrects - voir : https://forums.commentcamarche.net/forum/affich-33185934-virus-locky-ransomware-rsa-2048-aes-128#45
0
Réponse 19 / 25
Théo D
8 mars 2016 à 21:05
Bonsoir Malekal,

Je me permet de joindre les 3 liens, car même si Locky ne semble pas se propager plus, j'aimerais être sûr qu'il ne revienne pas à l'ouverture d'un fichier.

http://pjjoint.malekal.com/files.php?id=FRST_20160308_g5f5y15b6i5
http://pjjoint.malekal.com/files.php?id=20160308_b7o11q8z9l9
http://pjjoint.malekal.com/files.php?id=20160308_v11z5l10d9o6

Et petite question, si par erreur on double clique sur une fichier.locky ou locky_recover_instruction.txt, le ransomware se réactive t'il ? Càd, y a t'il un risque de les garder ou pas ?

Merci beaucoup ! :)
Bonne soirée
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
8 mars 2016 à 21:14
Salut,

Rapport correct voir : https://forums.commentcamarche.net/forum/affich-33185934-virus-locky-ransomware-rsa-2048-aes-128#45
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Utilisateur anonyme
10 mars 2016 à 12:06
Salut thomasneo,

C'est simplement le Addition.txt, il faut aussi le FRST.txt
0
thomasneo > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
11 mars 2016 à 14:14
http://pjjoint.malekal.com/files.php?id=FRST_20160311_b5g7g6m6r15

Voici le fichier FRST, désolé de cet oubli.

Y a t'il une solution désormais pour décryter les fichier locky?

Je vous remercie par avance.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > thomasneo
Modifié par Malekal_morte- le 2/04/2016 à 18:07
Désinstalle DriverUpdate, sert à rien ces programmes à part te soutirer de l'argent.

Sinon t'as juste ClamWin.. c'est vraiment léger, après bon c'est Windows XP
doit plus y avoir d'antivirus qui le supporte.

Pour limiter la portée des scripts malicieux :
Comment se protéger des scripts malicieux sur Windows

Et pour la solution pour décrypter les fichiers .locky - ne compte pas trop dessus.
Il y en aura probablement pas.
0
Réponse 20 / 25
Utilisateur anonyme
8 avril 2016 à 02:46
Bonjour, je me permet également de joindre mes trois liens, en vous remerciant par avance.

https://pjjoint.malekal.com/files.php?id=20160408_d13w7b12w10r7
https://pjjoint.malekal.com/files.php?id=FRST_20160408_x12j9f13q13f11
https://pjjoint.malekal.com/files.php?id=20160408_g7f12v11u9t5
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 8/04/2016 à 08:42
Salut,

Locky Ransomware n'est pas résident, donc plus actif.
C'est mort pour récupérer tes documents.

Désinstalle CouponXplorer Internet Explorer Toolbar
Ca met Ask.com


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
 R2 CouponXplorer_5zService; C:\Program Files (x86)\CouponXplorer_5z\bar\1.bin\5zbarsvc.exe [89424 2015-10-27] (Mindspark)  
HKLM-x32\...\Run: [CouponXplorer EPM Support] => C:\Program Files (x86)\CouponXplorer_5z\bar\1.bin\5zmedint.exe [11600 2015-10-27] (Mindspark)
2016-03-08 20:21 - 2015-05-31 23:18 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
2015-05-31 18:40 - 2015-05-31 20:44 - 0000112 _____ () C:\ProgramData\tqAa7ODQ.dat
C:\Program Files (x86)\CouponXplorer_5z
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Fais attention aux emails que tu ouvres : Campagne Emails malicieux Ransomware Locky

==> Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
0
Utilisateur anonyme
8 avril 2016 à 21:10
je ne pourrai jamais récupéré mes fichiers et si je fais ce qu il me dise y a til un danger car je veux les récupérer
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Utilisateur anonyme
8 avril 2016 à 21:19
il n'y aucun moyen de récupérer tes fichiers.
0
Utilisateur anonyme
9 avril 2016 à 00:59
Pour l'instant
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Utilisateur anonyme
9 avril 2016 à 10:21
et il n'y en aura probablement pas.
Pour qu'il y en ait, il faut que les programmeurs se soient vautrés dans la partie du code qui gère l'algorithme de chiffrement.
Or si c'était le cas, il y aurait eu un fix depuis longtemps et les auteurs du malware auraient déjà corrigés leurs bugs.
0

Discussions similaires

Quelle est la différence entre les GO et GB ?
badour -
MarceloFilippo -

37 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Différence entre 1GB et 1Go ?
Lolita-005 -
adam -

9 réponses
quel est la difference entre 4,7Go et 4,7 GB
teddy -
Utilisateur anonyme -

29 réponses
Memoire video dedié 128 MB
Guervyl -
Guervyl -

4 réponses