Extension : .Impératrice - Virus
Résolu/Fermé
amduscias
Messages postés
10
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
19 novembre 2020
-
Modifié le 24 juin 2019 à 01:45
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 juin 2019 à 23:53
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 juin 2019 à 23:53
A voir également:
- Mxmetamux
- Extension dat - Guide
- Extension .bin - Guide
- Extension 7z - Guide
- Changer extension fichier - Guide
- Extension pdf word 2007 - Télécharger - Bureautique
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
24 juin 2019 à 09:21
24 juin 2019 à 09:21
Salut,
Tu regardais sur quel site ?
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu regardais sur quel site ?
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
ChariduP
Messages postés
5202
Date d'inscription
vendredi 2 novembre 2018
Statut
Contributeur
Dernière intervention
19 juin 2020
2 683
24 juin 2019 à 01:31
24 juin 2019 à 01:31
Bonsoir amduscias,
Bienvenue sur le forum de CCM.
Tu as été infecté par un virus.
Je déplace ton sujet vers la cellule dédiée.
PS : Il est très tard, ils te répondront demain dans la journée.
Cordialement,
Bienvenue sur le forum de CCM.
Tu as été infecté par un virus.
Je déplace ton sujet vers la cellule dédiée.
PS : Il est très tard, ils te répondront demain dans la journée.
Cordialement,
amduscias
Messages postés
10
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
19 novembre 2020
24 juin 2019 à 22:51
24 juin 2019 à 22:51
Bonjour, merci pour votre réponse
Quand ChariduP a déplacé mon message et m'a dit que c'était un virus je suis allé voir un peu les autres post du forum et j'ai vu que sans être courant ce type de problème revenait quelques fois et que c'était causé par un ransomware.
Voici les trois liens des rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20190624_l15x12l1412t9 FRST
https://pjjoint.malekal.com/files.php?id=20190624_k8l8q6x15q13 Addition
https://pjjoint.malekal.com/files.php?id=20190624_n15l8l13v11s6 Shortcut
Quand ChariduP a déplacé mon message et m'a dit que c'était un virus je suis allé voir un peu les autres post du forum et j'ai vu que sans être courant ce type de problème revenait quelques fois et que c'était causé par un ransomware.
Voici les trois liens des rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20190624_l15x12l1412t9 FRST
https://pjjoint.malekal.com/files.php?id=20190624_k8l8q6x15q13 Addition
https://pjjoint.malekal.com/files.php?id=20190624_n15l8l13v11s6 Shortcut
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
24 juin 2019 à 23:33
24 juin 2019 à 23:33
Tu regardais quel site quand cela est arrivé ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
~~
2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
~~
Comme indiqué dans le premier message, il n'est pas simple de récupérer les fichiers.
Si tu as une sauvegarde des documents, remets tout en place et supprime les fichiers du ransomware.
Sinon il faudra attendre qu'un outil pour décrypter les fichiers voit le jour, si cela arrive.
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework.4.7.exe] => C:\Users\lucas\AppData\Local\Temp\Framework.4.7.exe <==== ATTENTION
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework 4.5.exe] => C:\Users\lucas\AppData\Roaming\Framework 4.5.exe
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\RunOnce: [Application Restart #1] => C:\Users\lucas\Videos\Jeux\H\Fran\game.exe --js-flags=--expose-gc --user-data-dir="C:\Users\lucas\AppData\Local\KADOKAWA/RPGMV\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwap (l'élément de données a 60 caractères en plus).
Task: {8CEC482D-47E5-428F-ABCC-040A9DEB0744} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Users\lucas\AppData\Roaming\Local\Comms\Unistore\data\2\b\SMSvcHost.exe [79360 2019-04-29] () [Fichier non signé]
2019-06-19 18:45 - 2019-06-19 18:45 - 000000000 __SHD C:\Users\lucas\AppData\Roaming\Mxmetamux
Task: {29ADECEE-A159-4662-938F-6CDC186E1003} - System32\Tasks\TASKDIRFORTASKCREATE\TASKFORTASKCREATE => C:\Users\lucas\AppData\Roaming\Mxmetamux\libmfxsw32.exe [0 0000-00-00] ()
RemoveProxy:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
~~
2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
~~
Comme indiqué dans le premier message, il n'est pas simple de récupérer les fichiers.
Si tu as une sauvegarde des documents, remets tout en place et supprime les fichiers du ransomware.
Sinon il faudra attendre qu'un outil pour décrypter les fichiers voit le jour, si cela arrive.
- Garde les fichiers touchés par le ransomware.
- Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
- Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
amduscias
Messages postés
10
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
19 novembre 2020
Modifié le 25 juin 2019 à 01:20
Modifié le 25 juin 2019 à 01:20
Quand c'est arrivé je n'étais pas sur un site en particulier, je regardais un épisode des Soprano sur le lecteur MPV, c'est pour ça que je suis assez confus, je fais toujours attention à ce que je fais. J'avais bien une fenêtre Firefox ouverte mais c'était les sites habituels, sur lesquels je suis un peu tout le temps (Twitter, Mangadex et 8chan en l'occurence). Sinon récemment j'ai téléchargé quelques films sur yggtorrent et des jeux sur Fitgirl repacks mais ce sont des sites très utilisés et je n'ai vu aucun commentaire ou témoignage se plaindre de ces sites. Je n'ai ouvert aucun mail bizarre non plus.
J'ai eu de la chance que seul les fichiers en lien avec le bureau et dans la partie "téléchargement" soient touchés, tous mes fichiers dans les raccourcis "documents" "images" "vidéos" "musiques" sont intacts ainsi que ceux qui sont sur ma dropbox ainsi je ne m'inquiète pas trop de devoir récupérer des choses, la pire conséquence est que j'ai perdu deux trois sauvegardes de jeu.
Le lien pour upload le dossier quarantine me mène vers une erreur 404
Le fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-06-2019
Exécuté par lucas (25-06-2019 01:06:48) Run:1
Exécuté depuis C:\Users\lucas\Desktop
Profils chargés: lucas (Profils disponibles: lucas)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework.4.7.exe] => C:\Users\lucas\AppData\Local\Temp\Framework.4.7.exe <==== ATTENTION
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework 4.5.exe] => C:\Users\lucas\AppData\Roaming\Framework 4.5.exe
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\RunOnce: [Application Restart #1] => C:\Users\lucas\Videos\Jeux\H\Fran\game.exe --js-flags=--expose-gc --user-data-dir="C:\Users\lucas\AppData\Local\KADOKAWA/RPGMV\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwap (l'élément de données a 60 caractères en plus).
Task: {8CEC482D-47E5-428F-ABCC-040A9DEB0744} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDatedTask => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zuxre\data\2\b\SMSvcHost.exe [79360 2019-04-29] () [Fichier non signé]
2019-06-19 18:45 - 2019-06-19 18:45 - 000000000 __SHD C:\Users\lucas\AppData\Roaming\Mxmetamux
Task: {29ADECEE-A159-4662-938F-6CDC186E1003} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDFORTASKCREATE => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zux32.exe [0 0000-00-00] ()
RemoveProxy:
Reboot:
End:
Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework.4.7.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework 4.5.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
C:\Users\lucas\AppData\Roaming\Mxmetamux => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
End: => Erreur: Pas de correction automatique trouvée pour cet élément.
Le système a dû redémarrer.
J'ai eu de la chance que seul les fichiers en lien avec le bureau et dans la partie "téléchargement" soient touchés, tous mes fichiers dans les raccourcis "documents" "images" "vidéos" "musiques" sont intacts ainsi que ceux qui sont sur ma dropbox ainsi je ne m'inquiète pas trop de devoir récupérer des choses, la pire conséquence est que j'ai perdu deux trois sauvegardes de jeu.
Le lien pour upload le dossier quarantine me mène vers une erreur 404
Le fixlog.txt :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-06-2019
Exécuté par lucas (25-06-2019 01:06:48) Run:1
Exécuté depuis C:\Users\lucas\Desktop
Profils chargés: lucas (Profils disponibles: lucas)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework.4.7.exe] => C:\Users\lucas\AppData\Local\Temp\Framework.4.7.exe <==== ATTENTION
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\Run: [Framework 4.5.exe] => C:\Users\lucas\AppData\Roaming\Framework 4.5.exe
HKU\S-1-5-21-54209935-3470020771-3488605954-1002\...\RunOnce: [Application Restart #1] => C:\Users\lucas\Videos\Jeux\H\Fran\game.exe --js-flags=--expose-gc --user-data-dir="C:\Users\lucas\AppData\Local\KADOKAWA/RPGMV\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwap (l'élément de données a 60 caractères en plus).
Task: {8CEC482D-47E5-428F-ABCC-040A9DEB0744} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDatedTask => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zuxre\data\2\b\SMSvcHost.exe [79360 2019-04-29] () [Fichier non signé]
2019-06-19 18:45 - 2019-06-19 18:45 - 000000000 __SHD C:\Users\lucas\AppData\Roaming\Mxmetamux
Task: {29ADECEE-A159-4662-938F-6CDC186E1003} - SaxoCDCFsfiaQndpL4a4dNmB218pd8G8nWm9w5kDFORTASKCREATE => C:\Users\lucas\btg1qtwvue6up73dv5kftks7t96edgqyna8aczt5zux32.exe [0 0000-00-00] ()
RemoveProxy:
Reboot:
End:
Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework.4.7.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Framework 4.5.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CEC482D-47E5-428F-ABCC-040A9DEB0744}" => supprimé(es) avec succès
C:\Users\lucas\AppData\Roaming\Mxmetamux => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{29ADECEE-A159-4662-938F-6CDC186E1003}" => supprimé(es) avec succès
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-54209935-3470020771-3488605954-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
End: => Erreur: Pas de correction automatique trouvée pour cet élément.
Le système a dû redémarrer.
Fin de Fixlog 01:08:05
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié le 25 juin 2019 à 10:10
Modifié le 25 juin 2019 à 10:10
ok merci pour les précisions.
le site d'upload doit un peu fonctionner.
Si tu n'y arrives pas, laisse tomber.
Fais le reste.
le site d'upload doit un peu fonctionner.
Si tu n'y arrives pas, laisse tomber.
Fais le reste.
amduscias
Messages postés
10
Date d'inscription
dimanche 23 juin 2019
Statut
Membre
Dernière intervention
19 novembre 2020
25 juin 2019 à 22:48
25 juin 2019 à 22:48
J'ai finalement pu upload le fichier de quarantaine, voici le lien du rapport du scan : https://pjjoint.malekal.com/files.php?id=20190625_h15r11n14w8v11 et le log de FRST est dans le message au-dessus.
Est-ce que tu as une idée de ce qui a permis au virus d'infecter mon ordi ? J'avais pensé à sauvegarder les fichiers que je veux garder sur un DD et réinitialiser windows, est-ce que ça vaut le coup ?
Aussi je suis tombé sur un dossier qui s'appelle Imperatrix_Virgo dans (C:)/utilisateurs/lucas/AppData/Roaming avec dedans les raccourcis que j'ai remis sur la barre des tâches, est-ce que ça a un lien avec le virus ?
Merci pour l'aide précieuse que tu m'as apporté en tout cas.
Est-ce que tu as une idée de ce qui a permis au virus d'infecter mon ordi ? J'avais pensé à sauvegarder les fichiers que je veux garder sur un DD et réinitialiser windows, est-ce que ça vaut le coup ?
Aussi je suis tombé sur un dossier qui s'appelle Imperatrix_Virgo dans (C:)/utilisateurs/lucas/AppData/Roaming avec dedans les raccourcis que j'ai remis sur la barre des tâches, est-ce que ça a un lien avec le virus ?
Merci pour l'aide précieuse que tu m'as apporté en tout cas.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
25 juin 2019 à 23:53
25 juin 2019 à 23:53
non pas exactement mais ça c'est pas un ransomware, à priori :
C:\Users\lucas\AppData\Roaming\Local\Comms\Unistore\data\2\b\SMSvcHost.exe une variante de MSIL/GenKryptik.BNQM cheval de troie nettoyé par suppression (après le prochain redémarrage)
De même pour d'autres éléments supprimés dans FRST.
Apparemment tu as choppé un trojan le 19/06
Le botmaster a certainement fait télécharger et exécuter le ransomware pour monétiser.
Change tes mots de passe ils ont été volés.
Refais un scan NOD32 dans la semaine.
C:\Users\lucas\AppData\Roaming\Local\Comms\Unistore\data\2\b\SMSvcHost.exe une variante de MSIL/GenKryptik.BNQM cheval de troie nettoyé par suppression (après le prochain redémarrage)
De même pour d'autres éléments supprimés dans FRST.
Apparemment tu as choppé un trojan le 19/06
Le botmaster a certainement fait télécharger et exécuter le ransomware pour monétiser.
Change tes mots de passe ils ont été volés.
Refais un scan NOD32 dans la semaine.
