Extension : .Impératrice - Virus [Résolu]

Messages postés
4
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
25 juin 2019
-
Bonjour,

Mon PC a planté, tout s'est gelé pendant que je regardais un épisode d'une série en utilisant MPV. Quand je l'ai rallumé j'ai constaté que tous les raccourcis sur le bureau n'affichait plus leur icône et ma barre des tâches n'avaient plus aucun logiciels attachés, même pas l'ouverture des fichiers.
En allant fouiller je me suis aperçu que dans tous les noms de tous les fichiers de tous les jeux qui requièrent une installation de mon ordinateur est apparu ".Imperatrix" à la fin. C'est aussi le cas des documents txt qui traînaient sur le bureau

Par exemple, ce qui était avant "BloodstainedRotN.exe" est devenu "BloodstainedRotN.exe.Imperatrix" et même les plus petits fichiers, ils ont tous le .Imperatrix à la fin ce qui rend le tout complètement inutilisable.

J'ai essayé de retirer manuellement l'extension .Imperatrix de chaque fichier, quand je lance ensuite le jeu un message disant "cette application ne peut pas s'exécuter sur votre PC" s'affiche.

Je suis sur windows 10. Pour une raison tout aussi étrange le clic droit sur l'îcone démarrer ne fonctionne plus.

Je ne comprends vraiment rien à ce qui pu arriver, dans j'ai perdu toutes les données de mes jeux ainsi que le contenu des documents.

Comme j'ai vu dans d'autres posts que ça pourrait être un ransomware je précise que je n'ai reçu aucune demande ou menace pour le moment.


Configuration: Windows / Firefox 67.0
Afficher la suite 

6 réponses

Meilleure réponse
Messages postés
169236
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16829
1
Merci
Salut,

Tu regardais sur quel site ?


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 58732 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
3690
Date d'inscription
vendredi 2 novembre 2018
Statut
Contributeur
Dernière intervention
20 août 2019
445
0
Merci
Bonsoir amduscias,

Bienvenue sur le forum de CCM.

Tu as été infecté par un virus.
Je déplace ton sujet vers la cellule dédiée.

PS : Il est très tard, ils te répondront demain dans la journée.

Cordialement,
Commenter la réponse de ChariduP
Messages postés
4
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
25 juin 2019
0
Merci
Bonjour, merci pour votre réponse

Quand ChariduP a déplacé mon message et m'a dit que c'était un virus je suis allé voir un peu les autres post du forum et j'ai vu que sans être courant ce type de problème revenait quelques fois et que c'était causé par un ransomware.

Voici les trois liens des rapports :

https://pjjoint.malekal.com/files.php?id=FRST_20190624_l15x12l1412t9 FRST

https://pjjoint.malekal.com/files.php?id=20190624_k8l8q6x15q13 Addition

https://pjjoint.malekal.com/files.php?id=20190624_n15l8l13v11s6 Shortcut
Commenter la réponse de amduscias
Messages postés
169236
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16829
0
Merci
Tu regardais quel site quand cela est arrivé ?

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework.4.7.exe] => C:\Users\lucas\AppData\Local\Temp\Framework.4.7.exe <==== ATTENTION
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework 4.5.exe] => C:\Users\lucas\AppData\Roaming\Framework 4.5.exe
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\RunOnce: [Application Restart #1] => C:\Users\lucas\Videos\Jeux\H\Fran\game.exe --js-flags=--expose-gc --user-data-dir="C:\Users\lucas\AppData\Local\KADOKAWA/RPGMV\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwap (l'élément de données a 60 caractères en plus).
Task: {8CEC482D-47E5-428F-ABCC-040A9DEB0744} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Users\lucas\AppData\Roaming\Local\Comms\Unistore\data\2\b\SMSvcHost.exe [79360 2019-04-29] () [Fichier non signé]
2019-06-19 18:45 - 2019-06-19 18:45 - 000000000 __SHD C:\Users\lucas\AppData\Roaming\Mxmetamux
Task: {29ADECEE-A159-4662-938F-6CDC186E1003} - System32\Tasks\TASKDIRFORTASKCREATE\TASKFORTASKCREATE => C:\Users\lucas\AppData\Roaming\Mxmetamux\libmfxsw32.exe [0 0000-00-00] ()
RemoveProxy:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

~~


2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.



~~

Comme indiqué dans le premier message, il n'est pas simple de récupérer les fichiers.
Si tu as une sauvegarde des documents, remets tout en place et supprime les fichiers du ransomware.

Sinon il faudra attendre qu'un outil pour décrypter les fichiers voit le jour, si cela arrive.
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers


Commenter la réponse de Malekal_morte-
Messages postés
4
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
25 juin 2019
0
Merci
Quand c'est arrivé je n'étais pas sur un site en particulier, je regardais un épisode des Soprano sur le lecteur MPV, c'est pour ça que je suis assez confus, je fais toujours attention à ce que je fais. J'avais bien une fenêtre Firefox ouverte mais c'était les sites habituels, sur lesquels je suis un peu tout le temps (Twitter, Mangadex et 8chan en l'occurence). Sinon récemment j'ai téléchargé quelques films sur yggtorrent et des jeux sur Fitgirl repacks mais ce sont des sites très utilisés et je n'ai vu aucun commentaire ou témoignage se plaindre de ces sites. Je n'ai ouvert aucun mail bizarre non plus.

J'ai eu de la chance que seul les fichiers en lien avec le bureau et dans la partie "téléchargement" soient touchés, tous mes fichiers dans les raccourcis "documents" "images" "vidéos" "musiques" sont intacts ainsi que ceux qui sont sur ma dropbox ainsi je ne m'inquiète pas trop de devoir récupérer des choses, la pire conséquence est que j'ai perdu deux trois sauvegardes de jeu.

Le lien pour upload le dossier quarantine me mène vers une erreur 404


Le fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-06-2019
Exécuté par lucas (25-06-2019 01:06:48) Run:1
Exécuté depuis C:\Users\lucas\Desktop
Profils chargés: lucas (Profils disponibles: lucas)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework.4.7.exe] => C:\Users\lucas\AppData\Local\Temp\Framework.4.7.exe <==== ATTENTION
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework 4.5.exe] => C:\Users\lucas\AppData\Roaming\Framework 4.5.exe
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\RunOnce: [Application Restart #1] => C:\Users\lucas\Videos\Jeux\H\Fran\game.exe --js-flags=--expose-gc --user-data-dir="C:\Users\lucas\AppData\Local\KADOKAWA/RPGMV\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwap (l'élément de données a 60 caractères en plus).
Task: {8CEC482D-47E5-428F-ABCC-040A9DEB0744} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDatedTask => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zuxre\data\2\b\SMSvcHost.exe [79360 2019-04-29] () [Fichier non signé]
2019-06-19 18:45 - 2019-06-19 18:45 - 000000000 __SHD C:\Users\lucas\AppData\Roaming\Mxmetamux
Task: {29ADECEE-A159-4662-938F-6CDC186E1003} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDFORTASKCREATE => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zux32.exe [0 0000-00-00] ()
RemoveProxy:
Reboot:
End:


Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework.4.7.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework 4.5.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
C:\Users\lucas\AppData\Roaming\Mxmetamux => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

End: => Erreur: Pas de correction automatique trouvée pour cet élément.


Le système a dû redémarrer.

Fin de Fixlog 01:08:05

Malekal_morte-
Messages postés
169236
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16829 -
ok merci pour les précisions.
le site d'upload doit un peu fonctionner.
Si tu n'y arrives pas, laisse tomber.

Fais le reste.
amduscias
Messages postés
4
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
25 juin 2019
-
J'ai finalement pu upload le fichier de quarantaine, voici le lien du rapport du scan : https://pjjoint.malekal.com/files.php?id=20190625_h15r11n14w8v11 et le log de FRST est dans le message au-dessus.

Est-ce que tu as une idée de ce qui a permis au virus d'infecter mon ordi ? J'avais pensé à sauvegarder les fichiers que je veux garder sur un DD et réinitialiser windows, est-ce que ça vaut le coup ?

Aussi je suis tombé sur un dossier qui s'appelle Imperatrix_Virgo dans (C:)/utilisateurs/lucas/AppData/Roaming avec dedans les raccourcis que j'ai remis sur la barre des tâches, est-ce que ça a un lien avec le virus ?

Merci pour l'aide précieuse que tu m'as apporté en tout cas.
Commenter la réponse de amduscias
Messages postés
169236
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 août 2019
16829
0
Merci
non pas exactement mais ça c'est pas un ransomware, à priori :
C:\Users\lucas\AppData\Roaming\Local\Comms\Unistore\data\2\b\SMSvcHost.exe une variante de MSIL/GenKryptik.BNQM cheval de troie nettoyé par suppression (après le prochain redémarrage)

De même pour d'autres éléments supprimés dans FRST.
Apparemment tu as choppé un trojan le 19/06
Le botmaster a certainement fait télécharger et exécuter le ransomware pour monétiser.

Change tes mots de passe ils ont été volés.

Refais un scan NOD32 dans la semaine.
Commenter la réponse de Malekal_morte-