Virus win32/Filecoder.GandCrab
Résolu/Fermé
A voir également:
- Virus win32/Filecoder.GandCrab
- Svchost.exe virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Win32:bogent - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
14 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
21 févr. 2019 à 18:16
21 févr. 2019 à 18:16
Salut,
Donne le rapport de scan puis :
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Donne le rapport de scan puis :
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
21 févr. 2019 à 18:00
21 févr. 2019 à 18:00
Bonjour,
Peux tu d'écrire un peux plus tous les symptômes s'il te plaît ?
Peux tu d'écrire un peux plus tous les symptômes s'il te plaît ?
Merci pour la réponse voici les liens demandé et une partie du rapport Eset online car trop long a exécuter surement beaucoup de fichiers infectés.
https://pjjoint.malekal.com/files.php?id=FRST_20190222_u11z14m15y13d13
https://pjjoint.malekal.com/files.php?id=20190222_c1014f11p10q8
https://pjjoint.malekal.com/files.php?id=20190222_c15v13y12u10e9
(rapport eset online)
https://pjjoint.malekal.com/files.php?id=20190222_f915e9w13r5
Cordialement,
https://pjjoint.malekal.com/files.php?id=FRST_20190222_u11z14m15y13d13
https://pjjoint.malekal.com/files.php?id=20190222_c1014f11p10q8
https://pjjoint.malekal.com/files.php?id=20190222_c15v13y12u10e9
(rapport eset online)
https://pjjoint.malekal.com/files.php?id=20190222_f915e9w13r5
Cordialement,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
22 févr. 2019 à 14:20
22 févr. 2019 à 14:20
mouais bha tu as choppé un ransomware.
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\sarah_000\XUQOXMRBFT-DECRYPT.txt
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\sarah_000\AppData\Local\XUQOXMRBFT-DECRYPT.txt
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\Public\Documents\XUQOXMRBFT-DECRYPT.txt
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CCleaner
CyberLink
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
~~
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\sarah_000\XUQOXMRBFT-DECRYPT.txt
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\sarah_000\AppData\Local\XUQOXMRBFT-DECRYPT.txt
2019-02-20 15:32 - 2019-02-20 15:32 - 000008682 _____ C:\Users\Public\Documents\XUQOXMRBFT-DECRYPT.txt
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CCleaner
CyberLink
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
~~
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start
CloseProcesses:
CreateRestorePoint:
Task: {D8595E43-66DE-47C8-AA51-3010C24D427A} - System32\Tasks\{0471DE66-9026-4BA5-9E71-2CD76032FB61} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt
Task: {F50F8A99-2334-4351-AFE0-794A4C210E44} - System32\Tasks\{19027382-0762-4DAF-8361-AF6691C7566B} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=tti
2014-12-29 21:05 - 2014-04-16 23:08 - 000658000 _____ (WildTangent, Inc.) C:\ProgramData\uninstall313501.exe
2015-08-25 20:29 - 2015-08-25 20:29 - 000000124 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2019-02-20 14:49 - 2019-02-20 15:01 - 007895580 _____ () C:\Program Files (x86)\GUTF230.tmp.xuqoxmrbft
2019-02-20 14:57 - 2019-02-20 14:57 - 006860752 _____ () C:\Users\michel\AppData\Roaming\cbargat.exe.E
2018-01-17 18:06 - 2018-11-10 12:01 - 000019463 _____ () C:\Users\michel\AppData\Roaming\downloads.json
2016-08-05 23:31 - 2016-08-05 23:31 - 000138240 _____ () C:\Users\michel\AppData\Roaming\Installer.dat
2019-02-20 14:57 - 2019-02-20 14:57 - 001610240 _____ () C:\Users\michel\AppData\Roaming\lakric.exe.E
2018-06-11 12:11 - 2018-06-11 12:11 - 000001217 _____ () C:\Users\michel\AppData\Roaming\uni.txt
2016-08-05 23:47 - 2016-08-06 00:02 - 000732869 _____ () C:\Users\michel\AppData\Roaming\xdo.zip
2019-02-20 15:06 - 2019-02-20 15:06 - 000008682 _____ () C:\Users\michel\AppData\Roaming\XUQOXMRBFT-DECRYPT.txt
2018-05-24 09:22 - 2019-02-20 15:04 - 000128776 _____ () C:\Users\michel\AppData\Local\ars.cache.xuqoxmrbft
2018-05-24 09:22 - 2019-02-20 15:04 - 000346943 _____ () C:\Users\michel\AppData\Local\census.cache.xuqoxmrbft
2015-01-16 13:21 - 2015-08-13 19:18 - 000003584 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2015-01-16 13:21 - 2019-02-20 15:04 - 000004124 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.xuqoxmrbft
2018-05-24 08:56 - 2019-02-20 15:06 - 000000576 _____ () C:\Users\michel\AppData\Local\housecall.guid.cache.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 15:06 - 000012108 _____ () C:\Users\michel\AppData\Local\InstallationConfiguration.xml.xuqoxmrbft
2019-02-20 15:41 - 2019-02-20 15:41 - 000140800 _____ () C:\Users\michel\AppData\Local\installer.dat
2019-02-20 14:48 - 2019-02-20 15:06 - 000141340 _____ () C:\Users\michel\AppData\Local\installer.dat.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 16:49 - 000722944 _____ () C:\Users\michel\AppData\Local\sha.db
2019-02-20 15:04 - 2019-02-20 15:04 - 000008682 _____ () C:\Users\michel\AppData\Local\XUQOXMRBFT-DECRYPT.txt
2019-02-20 16:26 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\tfc543es4bw
2019-02-20 15:41 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\eveoptxjlzm
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le fichier
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20.02.2019 02
Exécuté par michel (22-02-2019 15:04:27) Run:1
Exécuté depuis C:\Users\michel\Desktop
Profils chargés: michel (Profils disponibles: michel & sarah_000 & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Start
CloseProcesses:
CreateRestorePoint:
Task: {D8595E43-66DE-47C8-AA51-3010C24D427A} - System32\Tasks\{0471DE66-9026-4BA5-9E71-2CD76032FB61} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt
Task: {F50F8A99-2334-4351-AFE0-794A4C210E44} - System32\Tasks\{19027382-0762-4DAF-8361-AF6691C7566B} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=tti
2014-12-29 21:05 - 2014-04-16 23:08 - 000658000 _____ (WildTangent, Inc.) C:\ProgramData\uninstall313501.exe
2015-08-25 20:29 - 2015-08-25 20:29 - 000000124 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2019-02-20 14:49 - 2019-02-20 15:01 - 007895580 _____ () C:\Program Files (x86)\GUTF230.tmp.xuqoxmrbft
2019-02-20 14:57 - 2019-02-20 14:57 - 006860752 _____ () C:\Users\michel\AppData\Roaming\cbargat.exe.E
2018-01-17 18:06 - 2018-11-10 12:01 - 000019463 _____ () C:\Users\michel\AppData\Roaming\downloads.json
2016-08-05 23:31 - 2016-08-05 23:31 - 000138240 _____ () C:\Users\michel\AppData\Roaming\Installer.dat
2019-02-20 14:57 - 2019-02-20 14:57 - 001610240 _____ () C:\Users\michel\AppData\Roaming\lakric.exe.E
2018-06-11 12:11 - 2018-06-11 12:11 - 000001217 _____ () C:\Users\michel\AppData\Roaming\uni.txt
2016-08-05 23:47 - 2016-08-06 00:02 - 000732869 _____ () C:\Users\michel\AppData\Roaming\xdo.zip
2019-02-20 15:06 - 2019-02-20 15:06 - 000008682 _____ () C:\Users\michel\AppData\Roaming\XUQOXMRBFT-DECRYPT.txt
2018-05-24 09:22 - 2019-02-20 15:04 - 000128776 _____ () C:\Users\michel\AppData\Local\ars.cache.xuqoxmrbft
2018-05-24 09:22 - 2019-02-20 15:04 - 000346943 _____ () C:\Users\michel\AppData\Local\census.cache.xuqoxmrbft
2015-01-16 13:21 - 2015-08-13 19:18 - 000003584 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2015-01-16 13:21 - 2019-02-20 15:04 - 000004124 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.xuqoxmrbft
2018-05-24 08:56 - 2019-02-20 15:06 - 000000576 _____ () C:\Users\michel\AppData\Local\housecall.guid.cache.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 15:06 - 000012108 _____ () C:\Users\michel\AppData\Local\InstallationConfiguration.xml.xuqoxmrbft
2019-02-20 15:41 - 2019-02-20 15:41 - 000140800 _____ () C:\Users\michel\AppData\Local\installer.dat
2019-02-20 14:48 - 2019-02-20 15:06 - 000141340 _____ () C:\Users\michel\AppData\Local\installer.dat.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 16:49 - 000722944 _____ () C:\Users\michel\AppData\Local\sha.db
2019-02-20 15:04 - 2019-02-20 15:04 - 000008682 _____ () C:\Users\michel\AppData\Local\XUQOXMRBFT-DECRYPT.txt
2019-02-20 16:26 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\tfc543es4bw
2019-02-20 15:41 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\eveoptxjlzm
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D8595E43-66DE-47C8-AA51-3010C24D427A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8595E43-66DE-47C8-AA51-3010C24D427A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{0471DE66-9026-4BA5-9E71-2CD76032FB61} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0471DE66-9026-4BA5-9E71-2CD76032FB61}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F50F8A99-2334-4351-AFE0-794A4C210E44}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F50F8A99-2334-4351-AFE0-794A4C210E44}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{19027382-0762-4DAF-8361-AF6691C7566B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{19027382-0762-4DAF-8361-AF6691C7566B}" => supprimé(es) avec succès
C:\ProgramData\uninstall313501.exe => déplacé(es) avec succès
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat => déplacé(es) avec succès
C:\Program Files (x86)\GUTF230.tmp.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\cbargat.exe.E => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\downloads.json => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\Installer.dat => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\lakric.exe.E => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\uni.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\xdo.zip => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\XUQOXMRBFT-DECRYPT.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Local\ars.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\census.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini => déplacé(es) avec succès
C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\housecall.guid.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\InstallationConfiguration.xml.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\installer.dat => déplacé(es) avec succès
C:\Users\michel\AppData\Local\installer.dat.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\sha.db => déplacé(es) avec succès
C:\Users\michel\AppData\Local\XUQOXMRBFT-DECRYPT.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\tfc543es4bw => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\eveoptxjlzm => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-6618522-4147408389-2537695005-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-6618522-4147408389-2537695005-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 23193595 B
Java, Flash, Steam htmlcache => 1283 B
Windows/system/drivers => 4377601 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 324608 B
Temp, IE cache, history, cookies, recent:
Default => 43410 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 725 B
LocalService => 0 B
NetworkService => 1662976 B
michel => 181037765 B
sarah_000 => 4815840 B
Administrator => 14924 B
RecycleBin => 440257 B
EmptyTemp: => 213.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20.02.2019 02
Exécuté par michel (22-02-2019 15:04:27) Run:1
Exécuté depuis C:\Users\michel\Desktop
Profils chargés: michel (Profils disponibles: michel & sarah_000 & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Start
CloseProcesses:
CreateRestorePoint:
Task: {D8595E43-66DE-47C8-AA51-3010C24D427A} - System32\Tasks\{0471DE66-9026-4BA5-9E71-2CD76032FB61} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt
Task: {F50F8A99-2334-4351-AFE0-794A4C210E44} - System32\Tasks\{19027382-0762-4DAF-8361-AF6691C7566B} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\michel\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=tti
2014-12-29 21:05 - 2014-04-16 23:08 - 000658000 _____ (WildTangent, Inc.) C:\ProgramData\uninstall313501.exe
2015-08-25 20:29 - 2015-08-25 20:29 - 000000124 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2019-02-20 14:49 - 2019-02-20 15:01 - 007895580 _____ () C:\Program Files (x86)\GUTF230.tmp.xuqoxmrbft
2019-02-20 14:57 - 2019-02-20 14:57 - 006860752 _____ () C:\Users\michel\AppData\Roaming\cbargat.exe.E
2018-01-17 18:06 - 2018-11-10 12:01 - 000019463 _____ () C:\Users\michel\AppData\Roaming\downloads.json
2016-08-05 23:31 - 2016-08-05 23:31 - 000138240 _____ () C:\Users\michel\AppData\Roaming\Installer.dat
2019-02-20 14:57 - 2019-02-20 14:57 - 001610240 _____ () C:\Users\michel\AppData\Roaming\lakric.exe.E
2018-06-11 12:11 - 2018-06-11 12:11 - 000001217 _____ () C:\Users\michel\AppData\Roaming\uni.txt
2016-08-05 23:47 - 2016-08-06 00:02 - 000732869 _____ () C:\Users\michel\AppData\Roaming\xdo.zip
2019-02-20 15:06 - 2019-02-20 15:06 - 000008682 _____ () C:\Users\michel\AppData\Roaming\XUQOXMRBFT-DECRYPT.txt
2018-05-24 09:22 - 2019-02-20 15:04 - 000128776 _____ () C:\Users\michel\AppData\Local\ars.cache.xuqoxmrbft
2018-05-24 09:22 - 2019-02-20 15:04 - 000346943 _____ () C:\Users\michel\AppData\Local\census.cache.xuqoxmrbft
2015-01-16 13:21 - 2015-08-13 19:18 - 000003584 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2015-01-16 13:21 - 2019-02-20 15:04 - 000004124 _____ () C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.xuqoxmrbft
2018-05-24 08:56 - 2019-02-20 15:06 - 000000576 _____ () C:\Users\michel\AppData\Local\housecall.guid.cache.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 15:06 - 000012108 _____ () C:\Users\michel\AppData\Local\InstallationConfiguration.xml.xuqoxmrbft
2019-02-20 15:41 - 2019-02-20 15:41 - 000140800 _____ () C:\Users\michel\AppData\Local\installer.dat
2019-02-20 14:48 - 2019-02-20 15:06 - 000141340 _____ () C:\Users\michel\AppData\Local\installer.dat.xuqoxmrbft
2019-02-20 14:48 - 2019-02-20 16:49 - 000722944 _____ () C:\Users\michel\AppData\Local\sha.db
2019-02-20 15:04 - 2019-02-20 15:04 - 000008682 _____ () C:\Users\michel\AppData\Local\XUQOXMRBFT-DECRYPT.txt
2019-02-20 16:26 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\tfc543es4bw
2019-02-20 15:41 - 2019-02-20 17:14 - 000000000 ____D C:\Users\michel\AppData\Roaming\eveoptxjlzm
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D8595E43-66DE-47C8-AA51-3010C24D427A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8595E43-66DE-47C8-AA51-3010C24D427A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{0471DE66-9026-4BA5-9E71-2CD76032FB61} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0471DE66-9026-4BA5-9E71-2CD76032FB61}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F50F8A99-2334-4351-AFE0-794A4C210E44}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F50F8A99-2334-4351-AFE0-794A4C210E44}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{19027382-0762-4DAF-8361-AF6691C7566B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{19027382-0762-4DAF-8361-AF6691C7566B}" => supprimé(es) avec succès
C:\ProgramData\uninstall313501.exe => déplacé(es) avec succès
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat => déplacé(es) avec succès
C:\Program Files (x86)\GUTF230.tmp.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\cbargat.exe.E => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\downloads.json => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\Installer.dat => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\lakric.exe.E => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\uni.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\xdo.zip => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\XUQOXMRBFT-DECRYPT.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Local\ars.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\census.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini => déplacé(es) avec succès
C:\Users\michel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\housecall.guid.cache.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\InstallationConfiguration.xml.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\installer.dat => déplacé(es) avec succès
C:\Users\michel\AppData\Local\installer.dat.xuqoxmrbft => déplacé(es) avec succès
C:\Users\michel\AppData\Local\sha.db => déplacé(es) avec succès
C:\Users\michel\AppData\Local\XUQOXMRBFT-DECRYPT.txt => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\tfc543es4bw => déplacé(es) avec succès
C:\Users\michel\AppData\Roaming\eveoptxjlzm => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-6618522-4147408389-2537695005-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-6618522-4147408389-2537695005-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 23193595 B
Java, Flash, Steam htmlcache => 1283 B
Windows/system/drivers => 4377601 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 324608 B
Temp, IE cache, history, cookies, recent:
Default => 43410 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 725 B
LocalService => 0 B
NetworkService => 1662976 B
michel => 181037765 B
sarah_000 => 4815840 B
Administrator => 14924 B
RecycleBin => 440257 B
EmptyTemp: => 213.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 15:05:27
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
22 févr. 2019 à 15:37
22 févr. 2019 à 15:37
ok la récupération de tes données est compromise.
Tu dois avoir le nom du ransomaware dans les fichiers TXT d'instruction
peut-être grandcrab ransomware ?
Tu dois avoir le nom du ransomaware dans les fichiers TXT d'instruction
peut-être grandcrab ransomware ?
J'ai vue sa sur un rapport antivirus (win32/Filecoder.GandCrab cheval de troie
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié le 22 févr. 2019 à 19:14
Modifié le 22 févr. 2019 à 19:14
Ouaip c'est bien ça, faut mettre en quarantaine.
Si tu as des données à récupérer tente cet outil : https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
Si tu as des données à récupérer tente cet outil : https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
Toujours les même problèmes et l'outil est tout en Anglais as tu d'autre solution merci
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
22 févr. 2019 à 21:02
22 févr. 2019 à 21:02
Il n'y a pas de solutions. Mais peut tu mettre un copier coller du fichier .txt C:\Users\sarah_000\XUQOXMRBFT-DECRYPT.txt
Juste pour que je vérifie quelque chose stp.
Juste pour que je vérifie quelque chose stp.
Je ne trouve pas C:\USERS\ même en affichant les dossier cachés et si je tape le fichier dans recherche il me mais un message :Windows ne peut pas ouvrir ce périphérique vous ne posséder peut être pas les autorisation ect
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
22 févr. 2019 à 21:54
22 févr. 2019 à 21:54
Le dossier n'est pas user mais ton nom d'utilisateur.
La solution formater est bonne ou même pas?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
22 févr. 2019 à 21:53
22 févr. 2019 à 21:53
Ca ne sert à rien de formater, l'ordinateur est désinfecté.
Par sécurité change tous tes mots de passe.
Si l'outil donné précédemment ne permet de récupérer les fichiers alors c'est mort.
A l'avenir, afin de ne pas perdre de données, je t'invite à effectuer des sauvegardes de tes documents.
Ces liens t'expliquent comment faire :
https://www.malekal.com/windows10-sauvegarder-ses-donnees-personnelles/
https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement
Par sécurité change tous tes mots de passe.
Si l'outil donné précédemment ne permet de récupérer les fichiers alors c'est mort.
A l'avenir, afin de ne pas perdre de données, je t'invite à effectuer des sauvegardes de tes documents.
Ces liens t'expliquent comment faire :
https://www.malekal.com/windows10-sauvegarder-ses-donnees-personnelles/
https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
22 févr. 2019 à 21:59
22 févr. 2019 à 21:59
Un ransomware va rechercher tes documents finissant par certaines extensions puis les crypter avec une clé aléatoire que tu pourras ensuite acheté pour décrypté tes fichiers. Une fois les fichiers cryptés, le ransomware supprime tous ses propres fichiers d'exécutions (pour qu'ils ne soient pas récupérer et utiliser pour faire une app de décodage).
Je ne comprend pas l'ordinateur est désinfecté et je trouve dans chaque dossiers de C:\ des centaines de fichiers XUQOXMRBFT-DECRYPT .txt ou le logo Explorer setup.exe.config.xuqoxmrbft ou Explorer setup.log.xuqoxmrbft ect..je pense qu'il y a un problème quand même.
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
22 févr. 2019 à 22:39
22 févr. 2019 à 22:39
Non, c'est normale. Le ransomware crée des fichier guidant à un lien pour payé la rançon, indiqué que tu as eu une attaque et dire de quel logiciel vient l'attaque (ici de GranCrab). Mais ce ne sont que des fichiers .txt inoffensif.
Donc aucun moyen d'enlever tout ses fichiers même en formatant.
Toute les adresses que j'ai dans les favoris ne fonctionne plus, quand je clique dessus j'ai la fenêtre des téléchargements. Bizarre.
Toute les adresses que j'ai dans les favoris ne fonctionne plus, quand je clique dessus j'ai la fenêtre des téléchargements. Bizarre.
Hr2944
Messages postés
720
Date d'inscription
mardi 8 janvier 2019
Statut
Membre
Dernière intervention
22 janvier 2020
85
22 févr. 2019 à 23:00
22 févr. 2019 à 23:00
Ces fichiers disparaîtront avec un formatage et tout redeviendra comme avant l'attaque
22 févr. 2019 à 13:06
22 févr. 2019 à 12:21
Merci
Merci pour la réponse voici les liens demandé et une partie du rapport Eset online car trop long a exécuter surement beaucoup de fichiers infectés.
https://pjjoint.malekal.com/files.php?id=FRST_20190222_f6t12v10v14b15
https://pjjoint.malekal.com/files.php?id=20190222_q14d7b12z12x14
https://pjjoint.malekal.com/files.php?id=20190222_w13b15m5s12z8
(rapport eset online)
https://pjjoint.malekal.com/files.php?id=20190222_o5u15t15x7r9
Cordialement,