FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
#117590
Bonjour,

Je suis nouveau sur ce forum ayant quelques connaissance en informatique j'ai essayé de régler ce problème en cherchant un peu sur le web mais je n'ai malheureusement pas trouvé grand chose .

Je vous explique la situation j'ai récupérer le PC d'un amis qui à du chopper un virus

Actuellement environ 8000 fichiers .JPG / .Word et .EXCEL ressemblent à cela ( xxxxx.JPG.enc.rtf ) ( xxxxx.xls.enc.rft )

1) J'ai démonter le disque contenant l'OS (vista) pour le mettre sur un dock et le scanner avec Kaspersky internet security 2014 ( 1 virus supprimé malheureusement je ne me rappel plus de son nom )

2) J'ai déplacé certains fichiers word jpg et xls sur mon pc (Win 7) pour voir si j'arrivais à lire ces fichiers en essayant simplement de renommer leurs extensions ( suppr ".enc.rtf" ) , ils restent illisibles.

3) Sur le PC d'origine le seul moyen de voir les photos par exemple est de changer l'affichage dans les dossiers ( mettre en grand icône ).

4) D'après le peu d'information que j'ai pu réunir, les fichiers on l'air d'être crypté, ils sont tous en lecture seule,


Quelqu'un aurait-il une solution pour remettre la bonne extension et l'appliquer au 8000 fichier en évitant de le faire fichier par fichier :p

Merci d'avance !!!
#117600
Moi non plus je n'ai jamais vu ça...

( par contre je n'ai récupéré que la tour et non tous ces supports amovibles )

Voici le rapport :

############################## | UsbFix V 7.169 | [Recherche]

Utilisateur: sergio (Administrateur) # WILLIS
Mis à jour le 31/03/2014 par El Desaparecido - Team SosVirus
Lancé à 16:41:36 | 03/04/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Gigabyte Technology Co., Ltd. (P35-DS3L)
CPU: Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz
RAM - [Total : 3582 Mo| Free : 2279 Mo]
Bios: Award Software International, Inc.
Boot: Normal boot

OS: Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) Service Pack 2
WB: Windows Internet Explorer : 8.0.6001.19507
WB: Mozilla Firefox : 28.0

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: Avira Desktop [(!) Disabled | Updated]
AS: Avira Desktop [(!) Disabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
FW: Windows FireWall [(!) Disabled]
AS: Malwarebytes' Anti-Malware : 1.75.0001

C:\ (%systemdrive%) - Disque fixe # 233 Go (33 Go libre(s) - 14%) [] # NTFS
D:\ - CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 520 |ParentID: 508)
C:\Windows\system32\csrss.exe (ID: 576 |ParentID: 568)
C:\Windows\system32\wininit.exe (ID: 584 |ParentID: 508)
C:\Windows\system32\services.exe (ID: 628 |ParentID: 584)
C:\Windows\system32\lsass.exe (ID: 644 |ParentID: 584)
C:\Windows\system32\lsm.exe (ID: 652 |ParentID: 584)
C:\Windows\system32\winlogon.exe (ID: 704 |ParentID: 568)
C:\Windows\system32\svchost.exe (ID: 860 |ParentID: 628)
C:\Windows\system32\nvvsvc.exe (ID: 916 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 952 |ParentID: 628)
C:\Windows\System32\svchost.exe (ID: 1084 |ParentID: 628)
C:\Windows\System32\svchost.exe (ID: 1140 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 1164 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 1296 |ParentID: 628)
C:\Windows\system32\SLsvc.exe (ID: 1324 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 1376 |ParentID: 628)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (ID: 1460 |ParentID: 916)
C:\Windows\system32\nvvsvc.exe (ID: 1468 |ParentID: 916)
C:\Windows\system32\svchost.exe (ID: 1784 |ParentID: 628)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (ID: 1952 |ParentID: 628)
C:\Windows\system32\Dwm.exe (ID: 2032 |ParentID: 1140)
C:\Windows\system32\svchost.exe (ID: 124 |ParentID: 628)
C:\Windows\system32\taskeng.exe (ID: 192 |ParentID: 1164)
C:\Windows\Explorer.EXE (ID: 332 |ParentID: 2016)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (ID: 1888 |ParentID: 332)
C:\Program Files\ACD Systems\ACDSee Pro\6.0\ACDSeePro6InTouch2.exe (ID: 268 |ParentID: 332)
C:\Windows\ehome\ehtray.exe (ID: 288 |ParentID: 332)
C:\Windows\ehome\ehmsas.exe (ID: 2144 |ParentID: 860)
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (ID: 2184 |ParentID: 1460)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (ID: 2376 |ParentID: 628)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 2408 |ParentID: 628)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID: 2492 |ParentID: 628)
C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe (ID: 2600 |ParentID: 628)
C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe (ID: 2760 |ParentID: 628)
C:\Windows\System32\svchost.exe (ID: 2784 |ParentID: 628)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2808 |ParentID: 628)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 3028 |ParentID: 2808)
C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesApp32.exe (ID: 3188 |ParentID: 2760)
C:\Windows\System32\WUDFHost.exe (ID: 3236 |ParentID: 1140)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3272 |ParentID: 860)
C:\Program Files\TeamViewer\Version9\TeamViewer.exe (ID: 3404 |ParentID: 2600)
C:\Program Files\TeamViewer\Version9\tv_w32.exe (ID: 3472 |ParentID: 2600)
C:\Program Files\Mozilla Firefox\firefox.exe (ID: 3580 |ParentID: 332)
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (ID: 3804 |ParentID: 2376)
C:\Windows\system32\taskeng.exe (ID: 1876 |ParentID: 1164)
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe (ID: 2172 |ParentID: 628)
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE (ID: 1112 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 2360 |ParentID: 628)
C:\Program Files\Windows Media Player\wmpnscfg.exe (ID: 2748 |ParentID: 332)
C:\Windows\system32\wbem\unsecapp.exe (ID: 2076 |ParentID: 860)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 1256 |ParentID: 860)
C:\Windows\system32\DllHost.exe (ID: 3732 |ParentID: 860)
C:\Windows\system32\DllHost.exe (ID: 4084 |ParentID: 860)
C:\Windows\system32\consent.exe (ID: 2864 |ParentID: 1164)

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
F3 - HKCU\..\Winlogon : [Shell] explorer.exe,C:\Users\sergio\AppData\Roaming\dwm.exe
04 - HKCU\..\Run : [ehTray.exe] C:\Windows\ehome\ehTray.exe
04 - HKLM\..\Run : [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
04 - HKLM\..\Run : [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
04 - HKLM\..\Run : [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\..\Run : [Nikon Message Center 2] C:\Program Files\Nikon\Nikon Message Center 2\NkMC2.exe -s
04 - HKLM\..\Run : [ACPW06FR] "C:\Program Files\ACD Systems\ACDSee Pro\6.0\ACDSeePro6InTouch2.exe" /pid ACPW06FR
04 - HKLM\..\RunOnce : []
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
04 - HKU\S-1-5-19\..\Run : [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
04 - HKU\S-1-5-20\..\Run : [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKU\S-1-5-21-394060677-780351721-1646304014-1000\..\Run : [ehTray.exe] C:\Windows\ehome\ehTray.exe
04 - HKU\S-1-5-18\..\Run : [FVD3] C:\Program Files\Feneris Solutions Inc\Feneris Video Downloader\FVD3.exe

################## | Recherche générique |

Présent! C:\Users\sergio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SUIsFuBm.exe

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (explorer.exe,C:\Users\sergio\AppData\Roaming\dwm.exe)
Présent! HKLM\Software\Microsoft\Security Center|UacDisableNotify - 1
Présent! HKLM64\Software\Microsoft\Security Center|UacDisableNotify - 1
Présent! HKCU\Software\PowerPack
Présent! HKU\S-1-5-21-394060677-780351721-1646304014-1000\Software\PowerPack

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |
#117613
Quelques informations supplémentaires

Certaines images ont du être rajouté après infection, leurs extensions n'ont pas bougé et elles sont lisibles. (JPG/doc/avi/wmv...)

Les .psd sont touché aussi (psd.enc.rtf)
     .AVI aussi
     .wmv aussi


Dois je contacter mon ami pour lui dire de ne pas branché tous ces supports amovibles sur d'autre pc et de mes les faire parvenir ?
Avatar du membre
par g3n-h@ckm@n
#117622
le top , ca serait :

deux fichiers infectés , et deux fichiers , les mêmes mais sains

là je pourrais PEUT-ETRE faire quelque chose malgré que ca représente un sacré boulot
y'a de la prog en persperctive derrière ^^

Edit ::

j'avais raison , après analyse , c'est un ransomware : http://cjoint.com/14av/DDdr6GJrNI5.htm

VetwNnaA.exe = si ce fichier existe sur le pc ca m'interesse

Edit2 ::

note ca dans un coin ca pourra servir : KkLmXPGh
Avatar du membre
par g3n-h@ckm@n
#117663
j'ai pas compris

tu m'envoies un fichier crypté , et deux fichiers sains , je ne sais pas à que fichier sain me fier

et j'aurais voulu deux fichiers cryptés avec leurs deux fichiers sains respectif
#117687
Je n'ai pas trouvé de fichier en double exemplaire ( sain et infecté )

Je ne peu que vous envoyez des fichiers infectés ou des fichier sain mais qui n'ont aucun rapport entre eux.

Souhaitez vous que je vous envoi qu'en même d'autre fichier infecté ?

J'ai recontacté mon ami qui m'a précisé que ces 2 disques dur externe sont eux aussi infecté soit 20000 photos supplémentaires .....

Après avoir dl un programme en .zip sont PC à été infecté ainsi que tout les supports amovibles branchés. il a tenté de nettoyer son pc donc potentiellement supprimé le programme en question.


SEAF n'a rien trouvé :

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 20:31:40 le 03/04/2014
4.
5. Valeur(s) recherchée(s):
6. VetwNnaA
7.
8. Légende: TC = Date de création, TM = Date de modification, DA = Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Affichage des dossiers
14. (!) --- Recherche registre
15.
16. ====== Fichier(s) ======
17.
18. Aucun fichier trouvé
19.
20.
21. ====== Entrée(s) du registre ======
22.
23. Aucun élément dans le registre trouvé
24.
25. =========================
26.
27. Fin à: 20:41:30 le 03/04/2014
28. 634064 Éléments analysés
29.
30. =========================
31. E.O.F
Avatar du membre
par g3n-h@ckm@n
#117690
Je ne peu que vous envoyez des fichiers infectés ou des fichier sain mais qui n'ont aucun rapport entre eux.

ce qui m'aurait justement interessé , c'est justement les differences...tant pis ....
#117692
désolé cela aurait été avec plaisir malheureusement je n'ai rien sous la main, je peux voir avec mon ami s'il en a de son coté mais cela impliquerais de branché ces disques dur infecté sur son pc portable qui lui est sain.

Une procédure à suivre en préventif ? après avoir branché le disque ?
ou il n'y a aucun risque du moment qu'il ne lance pas un .exe ?
#117813
bonjour,

Non malheureusement mon ami ne se rappel pas du nom ni de l'endroit exact ou il a attrapé le virus. Il se rappel juste qu'il à dl un programme concernant la photo et qu'une fois le prog dézippé il a été infecté.

Avez vous une solution viable pour récupérer au moins quelques photos très importante pour son travail ?
Avez vous réussi à décrypter les fichiers que je vous est joints ?
Que dois-je faire

MERCI d'avance !!!
#117829
Bonsoir,

Malheureusement, pour les fichiers cryptés, nous ne pouvons rien faire (aucune solution n'a été trouvée jusqu'à présent)...
Désolé pour toi et ton ami.

Peut-être s'il y avait les fichiers sains pour comparer, on pourrait peut-être en tirer quelque chose, et encore, j'en doute.

Il n'y avait aucune sauvegarde ?

Gabriel.
#117847
Si malheureusement il avait ces 2 disques externe branchés en même temps au moment de l'infection ... un concourt de circonstance

Je l'ai contacté il va regarder sur le peu de donnée qu'il lui reste, pour voir s'il à un fichier sain, et infecté

Merci encore pour votre aide

Je vous recontacte dès que j'en saurai plus.
#117902
Bonjour je répond tardivement mais j'ai travaillé jusqu’à point d'heure...

Je comprend tout à fait, et je m'imaginais bien que vous ne pourriez pas faire des miracles ^^, vous avez déjà passé pas mal de temps dessus et je vous en remercie encore !

Dès lors que mon ami me recontacte pour me donner des news, je viendrai poster un message pour vous tenir au courant.

Bonne journée à vous
Avatar du membre
par g3n-h@ckm@n
#117944
ok envoie déjà deux fichiers cryptés au hasard que je voie comment c'est fait, deux fichiers qui étaient des jpeg à la base

par contre en l'ouvrant avec word j'ai trouvé ca dedans :

3. Décompressez l'archive C:\Users\sergio\AppData\Local\gvbfCWhn\rMgtWMOJ.zip (archiver avec le même nom sur votre bureau). Mot de passe KkLmXPGh


une fois l'erchive decompressée , il doit y avoir ce fichier dedans : VetwNnaA.exe

j'aimerais bien avoir ce fichier si ca se trouve le code pour les debloquer est dedans ( ca m'est deja arrivé avec un ransomware )
Avatar du membre
par g3n-h@ckm@n
#118216
dans l'exe je vois des appels à différents fichiers infectieux

faudrait voir si ces fichiers existent :

C:\Windows\Firefox.exe
C:\zona\Downloads\1\mov.avi
c:\Program Files\Online Services\zpzXMlkX.exe

pour les 4 photos ca erait bien quand même oui.

celui qui a fait ce programme c'est pas un guignol

Edit::::::::::::

hop !!!!!! je crois que j'ai réussi à en décrypter une des deux et en plus on dirait que j'ai pas perdu un pixel

demande à ton ami si cette photo lui dit quelque chose ,

http://cjoint.com/14av/DDhn7lt9sCg.htm
Avatar du membre
par g3n-h@ckm@n
#118232
non il m'a fallu environ 2 s pour la décrypter mais sans connaissances dans les offsets et données hexadecimales des fichiers c'est impossible , la recherche a été longue mais le décryptage en soi c'est rien , par contre je pense qu'il va falloir que je te fasse un programme qui automatisera tout et qui te mettra dans un dossier les fichiers qu il aurra réussi à decrypter , et dans un autre ceux que non. car comme je t'ai dit je n'ai réussi à en faire qu'une sur deux , il faudra peut être que je prenne plus de temps pour retravailler l'autre.

je vais m'absenter , je fais ca demain après midi ou soir car je suis très pris aussi question developpement.
#118240
Il n'y a pas de problème tu m'as déjà énormément aidé et je t'en remercie !!!

Si tu arrives à récupérer même quelques photos ce sera déjà une très bonne chose !

J'attends de vos nouvelles et je vous joint dès que possible les autres fichiers
Avatar du membre
par g3n-h@ckm@n
#118377
bon les fichiers cryptés, à la main, je décrypte les 4, par compte, pour le faire niveau prog je suis dessus mais c'est bouillant , au pire si j'y arrive vraiment pas je te montrerai la manip.

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]