FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[phil55]

Bonjour,
je me suis fait infecté par un virus qui m'as crypter énormément de fichiers en rsa2048.
pourriez vous m'en dire plus a ce sujet, et s'il est possible de récupérer mes fichiers.

merci

[2011N2]

Bonjour,

Malheureusement ça va être difficile de récupérer les fichiers cryptés... On essayera tout de même.

Commencer par passer MBAM puis poste le rapport : http://www.forum-entraide-informatique. ... -tutoriel/

Gabriel.

[phil55]

Bonsoir,
Excusez ma lenteur a répondre, il a fallu que je refasse un dd pour garder celui crypter avec mes documents.
Je poste donc le rapport avant le travail de désinfection de MBAM :

Date de l'analyse: 16/09/2015
Heure de l'analyse: 21:30
Fichier journal: rapport1.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.09.16.05
Base de données de rootkits: v2015.08.16.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC-11

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 376078
Temps écoulé: 19 min, 40 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 11
PUP.Optional.MultiPlug, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Bidaily Synchronize Task[pr], , [0293bc74c9c2ee489fbc5255e91b6b95],
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE, , [118436fab4d79d99e17d55216a9a4fb1],
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE, , [7c19230d7e0dbc7aea74ef8713f18977],
Backdoor.Bot, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, , [2273c96791fa989e8e3d6755df24c33d],
Backdoor.Bot, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\EXPLORER.EXE, , [2273c96791fa989e8e3d6755df24c33d],
Malware.Trace, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\DC3_FEXEC, , [078e44ec17743bfb3e2c2db917ec5fa1],
PUP.Optional.InstallCore, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\ICSW1.14, , [a5f0f9376a210b2ba8c4a6f71be9e020],
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, , [eea7a68a56352b0b4846c6c4ad576799],
PUP.Optional.ProductSetup, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\PRODUCTSETUP, , [2e67b977018a7fb77204e8c6fe06956b],
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER, , [692cfd334d3e85b140d47446af5532ce],
Malware.Trace, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\VB AND VBA PROGRAM SETTINGS\SrvID, , [3d58f937cac1be7855245b64c142e21e],

Valeurs du registre: 12
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, , [118436fab4d79d99e17d55216a9a4fb1]
PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\WOW6432NODE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, , [7c19230d7e0dbc7aea74ef8713f18977]
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\Windows\SysWow64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d]
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, http://www.bing.com/search?pc=COSP&ptag ... earchTerms}, , [eea7a68a56352b0b4846c6c4ad576799]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Super Optimizer, C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe, , [ff96aa86d5b6bb7b38da3882f80c936d]
PUP.Optional.ProductSetup, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\PRODUCTSETUP|tb, 0P1C2R1R1D0W0O0R1I1M, , [2e67b977018a7fb77204e8c6fe06956b]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER|SetupName, C:\Users\PC-11\AppData\Local\Temp\in0E8B6B3D\241E3513_stp\SuperOptimizer.exe, , [692cfd334d3e85b140d47446af5532ce]
PUP.Optional.SuperOptimizer, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\SUPER OPTIMIZER|AdsBuyNowURL, http://supc4.superpctools.revenuewire.n ... 9FA28664A1, , [3065a58b9fecda5cb55eddddbc484db3]

Données du registre: 1
PUP.Optional.Conduit, HKU\S-1-5-21-930870033-3533707517-1338876109-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.bing.com/?pc=COSP&ptag=D0902 ... =CT3332031, Bon : (www.google.com), Mauvais : (http://www.bing.com/?pc=COSP&ptag=D0902 ... =CT3332031),,[435277b9513a4beb89a9e38b20e5b54b]

Dossiers: 1
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs, , [534246ead1ba92a4efb6c74c1fe5bc44],

Fichiers: 23
PUP.Optional.OptimizerPro, C:\Program Files (x86)\Super Optimizer\SuperOptimizer.exe, , [fb9a82ae78131a1c12fb5f32966b32ce],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\2013-03-06-4.dc, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_aqovo.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_aqovo.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_daygn.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_daygn.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_knewv.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_knewv.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_nlnsg.html, , [534246ead1ba92a4efb6c74c1fe5bc44],
Stolen.Data, C:\Users\PC-11\AppData\Roaming\dclogs\restore_files_nlnsg.txt, , [534246ead1ba92a4efb6c74c1fe5bc44],
Trojan.FileCryptor.Trace, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\restore_files_aqovo.html, , [296c240c5e2d5adc114c3744758f55ab],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_aqovo.html, , [d0c579b724678aac38256c0f10f447b9],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_daygn.html, , [1382a48c9cef8ea8005dc2b99f655ca4],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_knewv.html, , [f2a37cb46c1f0d29530aec8f7e86d22e],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_nlnsg.html, , [e4b140f0197293a380dd205be321f10f],
Trojan.FileCryptor.Trace, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\restore_files_aqovo.txt, , [bed7949c0d7e8da9144a52297094d32d],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_aqovo.txt, , [81147eb27912ea4cf668a5d6fe066e92],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_daygn.txt, , [f5a02f01b6d581b563fb1665a0645aa6],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_knewv.txt, , [dfb688a8c1ca5cda0559007bb35105fb],
Trojan.FileCryptor.Trace, C:\Users\PC-11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\restore_files_nlnsg.txt, , [74217db3becdff37aeb08fec59abd22e],
PUP.Optional.MultiPlug, C:\Windows\System32\Tasks\Bidaily Synchronize Task[pr], , [e4b128085c2f47ef54f6bee947bd0af6],
PUP.Optional.MultiPlug, C:\Windows\Tasks\Bidaily Synchronize Task[pr].job, , [d8bd2808692276c01f336146a064a35d],
Backdoor.Bot, C:\Windows\SysWOW64\explorer.exe, , [2273c96791fa989e8e3d6755df24c33d],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

[phil55]

voila le 2eme après désinfection :

Date de l'analyse: 16/09/2015
Heure de l'analyse: 22:30
Fichier journal: rapport2.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.09.16.05
Base de données de rootkits: v2015.08.16.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC-11

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 377046
Temps écoulé: 19 min, 18 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 0
(Aucun élément malveillant détecté)

Valeurs du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

Merci

[2011N2]

Bonjour,

Désolé je viens de voir ta réponse seulement maintenant également.

Les fichiers sont toujours cryptés ? On va tenter quelque chose ensuite pour les rétablir, mais je ne garantis rien...

Mais commence par faire un diagnostic de ton PC avec ZHPDiag stp, et poste le rapport hébergé : http://www.forum-entraide-informatique. ... -tutoriel/

Gabriel.

[Invité]

Bonjour,
oui toujours cryptés et merci pour ton aide.

http://www.cjoint.com/c/EIuhdLKsaNU

philippe

[Invité]

après nettoyage de zhp cleaner

http://www.cjoint.com/c/EIuimTaBzbU

philippe

[2011N2]

Bonjour,

Est-ce que tu comprends l'anglais ? Il faudrait que tu tentes ceci : http://www.bleepingcomputer.com/virus-r ... -encrypted
Si tu ne comprends pas l'anglais je t'expliquerai rapidement la procédure.

Rapidement déjà : tu dois démarrer ton PC en mode sans échec, télécharger Emsisoft Harasom Decrypter ( http://tmp.emsisoft.com/fw/decrypt_harasom.exe ), l'exécuter; cliquer sur Decrypt et attendre le résultat.

Gabriel.

[Invité]

Bonjour,
j'ai redémarré le disque en mode sans échec et exécuté le programme mais il n'a rien trouvé ...
Je ne sait pas si cela peut aider mais tout mes fichiers cryptés ont l'extension abc, ex ( 1.jpg.abc ) .
Merci encore
Philippe

[2011N2]

Bonjour,

D'accord, alors malheureusement effectivement ça va être compliqué de récupérer les fichiers cryptés...

Pour voir s'il ne reste tout de même pas de traces de l'infection, passe RogueKiller en Scan et poste le rapport stp : http://www.forum-entraide-informatique. ... -tutoriel/

Et tu t'es surement fait infecter à cause de ce genre d'outils : C:\Program Files\KMSnano\TriggerKMS.exe

Gabriel.

[phil55]

Bonjour,
je vais essayer cela .
Pour l'infection, je ne sait pas trop, de mémoire la seule chose qui a été faite est une mise a jour de java un peu compliquée et longue.

Philippe

[phil55]

Voila le résultat

http://www.cjoint.com/c/EIwhbkww5nU

Merci

[2011N2]

Bonjour,

D'accord, pour RogueKiller tu peux cocher les éléments et passer en Suppression, puis poste le rapport obtenu.

Gabriel.

[phil55]

http://www.cjoint.com/c/EIwibvfCbYU

[2011N2]

Re,

Tu as vérifié que les éléments détectés étaient cochés avant de procéder à la suppression ?

Gabriel.

[phil55]

Oui.

[2011N2]

Re,

Étrange... Bon fais un nouveau rapport ZHPDiag, on va supprimer quelques éléments pour être sûr que l'infection ne revienne pas, à défaut de pouvoir récupérer tes documents cryptés.

Gabriel.

[phil55]

http://www.cjoint.com/doc/15_09/EIwi7mC ... PDiag1.txt

[phil55]

j'ai passé RogueKiller et il a trouvé 2 erreurs en rouge, j'ai posté le rapport et attendant ton message je l'ai refermé.
après ton message, je l'ai relancé et il n'a trouvé qu'une erreur rouge.
ensuite fait suppression et envoie rapport

[2011N2]

Re,

Et là RogueKiller détecte toujours quelque chose en scan ? Si oui, tu peux poster le rapport stp ?

Sinon le ZHPDiag est propre. En revanche pour Malwarebytes tu avais fait une simple analyse des menaces, ce serait préférable que tu refasses une analyse personnalisée avec la recherche de rootkits comme indiqué sur le tutoriel ici : http://www.forum-entraide-informatique. ... -tutoriel/
Poste le rapport obtenu ensuite, c'est normal que ça prenne plus de temps.

Gabriel.

[phil55]

RogueKiller ne détecte plus rien maintenant.
je ferai la suite ce soir, je bosse de l'après-midi.
Merci pour ton aide
bonne journée

philippe

[2011N2]

Re,

Ça marche, bonne journée.

Gabriel.

[phil55]

Bonjour,
Mauvaise nouvelle, j'ai laissé tourner le logiciel cette nuit et après qu'il ai terminé le pc a redémarré donc via l'historique j'ai supprimé ce qui n'étais pas bon mais il ne m'a pas fait de rapport avec les noms.

Philippe

[2011N2]

Bonjour,

Il n'y a même pas de rapport dans l'onglet Historique du logiciel puis Journaux de l'application ?

Gabriel.

[phil55]

Bonjour,
Non rien dans le journal, si ce n'est version, date .....
Philippe

[2011N2]

Bonjour,

Dans Journaux d'application et il n'y a pas de journal d'analyse à la date de l'examen que tu as fait ? Bizarre...

Sinon en tout cas le PC est propre là à priori, mais malheureusement on ne peut pas faire grand chose pour les fichiers qui ont été cryptés. Tu avais des sauvegardes ?

Gabriel.

[phil55]

Je vérifierai encore, la je réponds via un autre disque refait depuis et garde l'ancien au cas ou une solution arrive, qui sait ...
Malheureusement, malgré qq sauvegardes j'ai perdu beaucoup de documents et photos.
Il y a qq années mon disque ou je stocke mes photos avait rendu l'âme et depuis par précaution j'ai mis 2 disques en raids et me pensant a l'abris de ce genre de pertes je ne faisait que peu de sauvegardes.
Du coup, je vient de mettre un disque de sauvegardes qui lui n'est mis en place que pour cela dans la tour et n'y reste pas.

[2011N2]

Bonjour,

D'accord... Tiens-moi au courant pour le rapport MBAM.

@+

Gabriel.