Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
#228292
Bonjour,

Mercredi dernier en ouvrant mon ordinateur portable je me suis aperçu que tous mes fichiers avaient reçu une nouvelle extension .3xh98. De plus dans chacun de mes dossiers m'attendait un fichier texte 3xh98-readme , véritable demande de rançon. Même si j'avais l'assurance de récupérer mes photos et fichiers professionnels je suis contre ce principe et je préfère encore payer un dépanneur. J'ai essayé de prendre rendez-vous sur votre site mais je n'y arrive pas.
Est-il possible de récupérer des fichiers cryptés ou dois-je tout reformater et leur dire adieu?
Merci de votre réponse et joyeuses fêtes!

Hélène Goron
Avatar du membre
par El Magnifico
#228293
Bonsoir

La machine a été infectée par un ransomware ( rançongiciel crypteur de fichiers) Ils s'attrapent par l' ouverture d'une page internet piégée ou par l'ouverture d'une pièce jointe malicieuse dans un e-mail .
Info=https://www.malekal.com/ransomwares/

Actuellement, il n'y a pas vraiment de solution pour récupérer les fichiers cryptés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il est possible de tenter de récuperer les version précédentes avec Shadow Explorer ( à essayer)
Info=https://forum.malekal.com/viewtopic.php?t=46739&start=

Liste des DecryptTools pour les ransomwares :
Info= url=https://forum.malekal.com/viewtopic.php?f=98&t=57145]https://forum.malekal.com/viewtopic.php?f=98&t=57145[/url]
Info= https://www.emsisoft.com/ransomware-decryption-tools/free-download

• A faire : Gardez les fichiers touchés par le ransomware.
• Utilisez le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
• Envoyez un fichier de notice et un fichier chiffré par le ransomware , changez les mots de passe WEB par sécurité, ils peuvent avoir été volés.

A lire :
Info=https://www.malekal.com/ransomware-solutions-recuperer-fichiers/

:)
Avatar du membre
par hgoron
#228296
merci de m'avoir répondu aussi vite. Malheureusement soit je ne suis vraiment pas doué, soit c'est tout nouveau mais je n'arrive pas à identifier le ransomware avec id-ransomware. Le site mouline dans le vide et finit par me dire que "please upload a ransom note and/or sample encrypted file for identification" ce que j'ai , me semble-t-il fait.

cordialement

Hélène Goron
#228297
Bonjour

Il y a 2 fichiers à exporter en cliquant sur parcourir dans chaque fenetre
- le fichier readme.txt du ransomware, dans la premiere
- un fichier crypté , dans la seconde

*******************

Pour faire un diagnostic de la machine

Commencez par désactiver l' antivirus le temps du téléchargement et de l' exécution, certains d' entre eux prennent les outils que nous employons pour des trojans, il n' en est rien , bien évidemment !!

[H2]ZHPDiag (de Nicolas Coolman )[/H2]
Image Téléchargez ZHPDiag et enregistrez le sur votre BUREAU : Cliquez ICI sur ce lien officiel ( Enregistrer sous => Bureau )

Sur la page ouverte cliquez sur le bouton "Telecharger "

Double Cliquez ensuite sur le fichier téléchargé pour exécuter le logiciel.

Cliquez sur J’accepte

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre :

  • Cliquez en bas à droite sur le bouton « Options »

    Image
  • Dans le menu "Options" cliquez sur "Tout cocher"puis "Valider" puis "Fermer".
  • Enfin, exécutez l' analyse , cliquez sur le bouton "Scanner"
A l'issue de l'analyse , fermez la fenetre et l'outil ZHPDiag

Le rapport se trouve sur le bureau, sous le nom de ZHPDiag.txt

A defaut, tapez: Touches Windows + R Copier/Coller dans la fenetre %AppData% /ZHP puis OK.

Vous pouvez l'envoyer , en l’hébergeant sur CJOINT

La procédure pour Cjoint est la suivante :

  • Rendez-vous sur ce site : CJoint.com
  • Cochez : Privée et 4 jours
  • Cliquez sur Parcourir et cherchez le fichier à héberger , il se trouve sur bureau (en principe dans favoris). Il se nomme ZHPDiag.txt
  • Cjoint donne un lien à copier et à poster dans votre prochaine réponse

Suite ******************************************


[H2]FRST de Farbar[/H2]
Chargez la version qui convient à votre PC. Dans le cas où votre antivirus le prend pour un malveillant, désactivez-le le temps du téléchargement et du scan.

Image 32 ou 64 bits => Comment savoir ?

Déposez Frst.exe sur votre Bureau et pas ailleurs !. (Enregistrer sous => bureau)

Maintenant que vous avez chargé la bonne version de l'outil, double-cliquez dessus, puis validez le Disclaimer par "Ok"

Cochez toutes les cases :

Cliquez sur "Analyser"

Image

Patienter le temps que l'outil analyse votre pc. Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Addition.txt & Shorcut.txt .

Poster les rapports avec l’aide de Cjoint . Svp

Les 3 rapports attendus sont : Frst.txt // Addition.txt // Shortcut.txt

A défaut vous les trouverez dans C:/ FRST / Logs


*******

Quel antivirus utilisez vous ?

A vous lire.
Avatar du membre
par hgoron
#228298
Re coucou

J'ai réussi. Il semblerait que le ransomware soit REvil / Sodinokibi. Pas de miracle de Noël, "A ce stade, les fichiers chiffrés par ce ransomware ne peuvent etre décryptés." (lien pour en savoir plus : https://www.bleepingcomputer.com/news/s ... c-servers/)

Ensuite j'ai fait tout ce que tu as demandé etvoici les résultats :
lien pour ZHPdiag https://www.cjoint.com/c/ILrj6iF7YAG
lien pour Frst https://www.cjoint.com/c/ILrkvEG1p5G
lien pour Addition https://www.cjoint.com/c/ILrkw7WlPGG
Lien pour Shortcut https://www.cjoint.com/c/ILrkxY5ClEG

Ma question est peut-être bête mais dois-je repasser par un formatage pour éliminer le virus et tout réinstaller car Avast ne le voit pas quand je lance une analyse.

A + et encore merci pour le temps passé.

Hélène Goron
L'antivirus utilisé est la version gratuite de AVAST
#228299
Re

Eh oui, c' était écrit ! hélas.

Avez vous sauvegardé vos données sur un autre support ? si oui , ne le brancher pas pour le moment.

Nous allons désinfecter la machine

• Pour les utilisateurs de W10, pas besoin d' un antivirus tiers , Windows défender est l' équivalent des AV gratuit. Je vous invite à désinstaller votre antivirus tiers qui ralentit la machine

Info => ICI


• Désinstallez Avast /Avira/AVG.....etc
Téléchargez Revo Uninstaller ICI en mode Avancé Choisir la version Free
Un très bon tuto ICI


Si vous n' utilisez pas One Drive => ICI



Image Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative !

• Avant d' utiliser tous les outils que l' on vous propose, enregistrez tous vos travaux en cours, à défaut vous perdrez tout votre travail en cours.


************************************

Image A réaliser de suite Image


Bloquez les mises à jour windows , tout au moins pendant la désinfection.

Pour ce faire :Téléchargez sur le bureau ce petit log que vous pourrez garder : Windows Update Blocker v1.2 => https://www.sordum.org/9470/windows-update-blocker-v1-2/
Cliquez sur "Download" (à la fin du tuto)

Puis clic Droit / Extraire tout. Cliquez sur le nouveau dossier puis sur l' Application

Puis Desactiver Service / Appliquer Maintenant

( Vous pouvez disposer d' un raccourci sur le bureau => clic droit sur l' Application/ Envoyer vers/ Bureau)

Démo pour le téléchargement => ICI

Démo animée => ICI


Desactivez votre antivirus si celui ci couine, le temps du telechargement des outils à venir et de la correction.


******************************************************************************************************


Image => Je vous invite ensuite à désinstaller ces programmes inutiles cités dans le cadre ,

Pour obtenir directement l'accés à ces programmes :
Touches Windows Image + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK



=> Adobe AIR
=> Avast SecureLine
=> Dropbox 25 GB ( sauf si vous utilisez)
=> Le Cloud d'Orange ( sauf si vous utilisez)
=> Mozilla Maintenance Service
=> Orange Inside
=> QuickTime
=> WildTangent Games


Utilisez ces logiciels ? si non à désinstaller:

Logiciel: Bien dans sa tête, bien dans sa classe -
Logiciel: Réussir son entrée en grammaire - CE1


***************************************************************************************************
  • ZHPCleaner(de Nicolas Coolman)[/size]
Image




Image Téléchargez => Image(clic sur le bouton bleu ) et enregistrez sous / sur votre bureau. (Enregistrer sous => bureau) Téléchargement de secours : Blog US]

Cet outil puissant supprimera des malveillants présents dans la machine

Double cliquez sur ZHPCleaner pour l'exécuter.

Au premier lancement, cliquez sur "J'accepte" dans les conditions d'utilisation.

Suite à cette action un raccourci sera présent sur le bureau et l'interface du logiciel s'ouvre.

Image
  • Cliquez sur Image
  • Puis sur : Tout cocher / Fermer
Image
  • Pour exécuter une analyse , cliquez sur le bouton "Scanner".
La fonction Scanner ne supprime aucun élément de l'ordinateur.

La fonction Scanner ne fait que lister les éléments qui seront supprimés en cliquant sur Nettoyer.

L 'analyse s'effectue...patienter quelques minutes.

A l'issue de l'analyse qui sera indiquée par une nouvelle fenêtre, Supprimez ce rapport succinct par un clic sur la croix
Ou par un clic sur le bouton Fléché


Image

Le rapport se trouvera sur le bureau ZHPCleaner(S).txt

En cas de présence d'un proxy, un message apparaît avec la question suivante:
- Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy.
- Si vous n'avez pas installé de Proxy, cliquez sur "NON" pour accepter la réparation du proxy.
En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante:
- Avez-vous installé ce serveur ? suivi du nom du serveur.
- Si vous n'avez pas installé de serveur, cliquez sur "NON" pour accepter le nettoyage.



Si des détections malveillantes sont mises en évidence cliquez sur le bouton "Nettoyer".

Une fenetre "Reparation" s'ouvre avec l' affichage des rubriques et des détections.
Tout est précoché, pour tout supprimer cliquez sur " Valider " puis sur Nettoyer


Image

La réparation s'effectue...patienter quelques minutes.


• Le rapport ZHPCleaner(R).txt est présent sur le bureau, il se trouve aussi dans le dossier utilisateur=>
Touches Windows Image + R , tapez ou Copiez / Collez %AppData% /ZHP puis validez par un clic sur OK


• Postez le rapport avec l’aide de Cjoint



***************************************************************************************************
  • ADWCleaner
Image

Image Téléchargez la derniere version AdwCleaner sur votre Bureau => Image. (Enregistrer sous => bureau)

Attendre quelques secondes l' apparition de la fenetre de téléchargement.

Adwcleaner va rechercher les Adwares

Image

Cliquez sur le programme pour l'exécuter.

Cliquez sur "J'accepte"

Cliquez sur "Settings" puis sous Display Language , choisir "Français"

Cliquez sur "Tableau de bord" puis sur Analyser maintenant pour lancer l'analyse.

Si des détections malveillantes sont mises en évidence

Cliquer sur Nettoyer et réparer .

Image

L'utilitaire va fermer tous vos programmes pendant la suppression

Confirmez le Nettoyage et le redémarrage de l'ordinateur, faire de même , même s' il n' y a aucune menace de détectée.


Image
  • Tuto pour creer un lien avec Cjoint=> Image
Postez le rapport .

Note : Les rapports sont stockés dans sous C/Adwcleaner/Logs/ Adwcleaner [Cxx] .txt ( à la date d' aujourd'hui) et sont nommés selon le format suivant:
  • Analyse: AdwCleaner[Sxxx].txt
  • Nettoyage: AdwCleaner[Cxxx].txt
Avec Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l' antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (AdwCleaner.exe est sûr)

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

Redemarrez la machine.


***************************************************************************************************

Malwarebytes (MBAM)

Image • Téléchargez Malwarebytes ICI

Image

• Procèdez à l'installation de celui çi, quand vous voyez cette fenetre cliquez sur lacroix.

Image

• Désactiver l'essai Premium, cliquez sur l'onglet Paramètres, puis sur Informations sur le compte et ensuite cliquez sur Désactiver l'essai Premium

Image


• Une autre fenêtre s'ouvre en bas à droite, cochez devantJe n' ai pas besoin de la protection en temps réel et cliquez sur OK

Image


• Cliquez sur l'onglet Paramètres puis sur l'onglet Protection, il faut que les trois cases Rechercher les rookits , et , Analyser les archives ,et, Utiliser la detection......, soient activées
  • • Cliquez sur l'onglet Analyse
• Sélectionnez Analyse des menaces

• Cliquez sur Lancer l'analyse

• Une fois le scan terminé, si des menaces ont été trouvées, cliquez sur Quarantaine
  • Si un message demande de redémarrer le PC pour terminer la suppression, acceptez
• Le rapport est disponible dans l'onglet Comptes-rendus.

• Cochez la case en face de Compte rendu d'analyse

• Cliquez sur Afficher le compte rendu

• Une autre fenêtre s'ouvre cliquez sur Exporter puis sur Fichier texte
  • • Renommez- le en MBAM.txt
• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni

:)
#228304
Bonsoir

Du nettoyage de fait !

On poursuit, pouvez vous
Refaire un scan avec ZHPDiag, cochez toutes les options
Refaire un scan avec FRST , cochez toutes les cases

4 rapports sont attendus

:)
Avatar du membre
par hgoron
#228305
Bonsoir et bonne nuit

j'ai donc refait un scan avec ZHPDiag
https://www.cjoint.com/c/ILrwodYtLgG

par contre j'ai tenté par deux fois le scan avec FRST et par deux fois le logiciel a planté au bout d'un temps d'analyse
j'ai trouvé ces deux rapports :
https://www.cjoint.com/c/ILrwqtqJ6hG
https://www.cjoint.com/c/ILrwq533joG

merci et à demain si vous le voulez bien

HG
#228306
Bonjour
  • Voici un correctif avec FRST

Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur, si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls


ENREGISTREMENT du script FixList pour correction.

  • Desactivez votre antivirus le temps de la correction .
Ne passer qu'une fois le correctif !

Cliquez sur ce lien : https://www.cjoint.com/data3/ILsiPYm585r_Fixlist.txt

Sur la page qui s'ouvre clic droit et " Sélectionner tout ", refaire un clic droit et "Copier" ou utilisez les séquences de touches Ctrl A et Ctrl C

Pas besoin de faire un "Coller" il se fera automatiquement suivant la procédure.

Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"

Que les cases soient cochées ou non, cela n'a pas d'importance !

Cliquez sur Image puis validez le Disclaimer par "Ok"

Image

Laissez le travailler, cela peut durer un certain temps. Image

La machine doit redemarrer seule.

Postez le rapport Fixlog.txt quand celui ci est disponible.

Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====

Image

.........................
Arnaque message windows escroquerie

hello lancer, hebreger le rapport et donner le li[…]

Ralentissement internet

bonsoir pas de suite, on ferme ca évitera l[…]

Salut François tu as mis la charrue avant […]

Virus de clé USB???

Pas de soucis Salo, Bonne fin de soirée […]