Reprise du message précédent :
Le malware n'est plus présent mais il reste beaucoup de ses messages. Il y a aussi quelques infections de type logiciels indésirables.
 
 
Dans un premier temps, désinstaller les toolbars suivantes via le panneau de configuration :
 
hAqX0ne Toolbar
et
Setuprog Toolbar
 
 
 
Puis, appliquer ce qui suit...
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

       http://nsa38.casimages.com/img/201 [...] 374213.png
 
 

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
Cmd: del C:\*{RecOveR}-dtafr__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-euwkx__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-llajm__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-cajko__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-owaeg__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-npcde__*.* /f/q/s  
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-csmoyk] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-itncxe] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-kiffvt] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-rkejww] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-qmuyyy] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-tcuqvr] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-bssyni] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\SOFTWARE\Policies\Microsoft\Internet Explorer
URLSearchHook: [S-1-5-21-329068152-2146920427-1801674531-1004] ATTENTION => URLSearchHook par défaut est absent
URLSearchHook: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 - (Pas de nom) - {68911ec5-507f-4fa3-a19d-de2251898a3a} -  Pas de fichier
URLSearchHook: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 - (Pas de nom) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -  Pas de fichier
SearchScopes: HKU\.DEFAULT -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\.DEFAULT -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
BHO: Pas de nom -> {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -> Pas de fichier
Toolbar: HKLM - Pas de nom - {68911ec5-507f-4fa3-a19d-de2251898a3a} -  Pas de fichier
Toolbar: HKLM - Pas de nom - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -  Pas de fichier
C:\Documents and Settings\Lorédana\Local Settings\Application Data\hAqX0ne
C:\Program Files\hAqX0ne
C:\Documents and Settings\Lorédana\Local Settings\Application Data\Setuprog
C:\Program Files\Setuprog
C:\Documents and Settings\Lorédana\Local Settings\Application Data\Conduit
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job =>  
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job =>  
 
 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
    http://nsa37.casimages.com/img/201 [...] 411616.png
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Bonjour à tous,
 
Un PC du boulot vient de chopper cette peste de RSA 4096. Je viens de passer Antimalware et j'ai tout supprimer les fichiers potentiellement à risque.
 
Je viens comme conseiller sur ce topic de scanner le PC avec FRST.
 
Ci-joint les fichiers générés  
 
http://www.cjoint.com/c/FDmk1qEuLUA
 
 http://www.cjoint.com/c/FDmk3UF5d6A
 
Pouvez-vous m'aidez en me disant si le virus est bien supprimé et comment finir le nettoyage ?
 
En vous remerciant d'avance pour le coup de main.

Bonjour katzentoter,
 
 
Analyse en cours des rapports...

http://www.cjoint.com/c/FDmlLNiPXch

Le malware est toujours là, on le supprime avec ce qui suit...
 
 
Désinstaller SpyBot, ce programme est obsolète et donc inutile.
 
Et réinstaller Google Chrome, les malwares ont installé la version developpement donc instable.  
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
Cmd: del C:\*de_crypt_readme*.* /f/q/s  
() C:\Users\mjouanne\AppData\Roaming\alFSVWJB\twunk_32.exe
HKU\S-1-5-21-2508194078-19443018-188218746-1143\...\Run: [twunk_32.exe] => C:\Users\mjouanne\AppData\Roaming\alFSVWJB\twunk_32.exe [386048 2016-04-12] ()
C:\Users\mjouanne\AppData\Roaming\alFSVWJB\twunk_32.exe
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\Users\mjouanne\AppData\Local\Temp\823142.exe
Task: C:\Windows\Tasks\alFSVWJB.job => C:\Users\mjouanne\AppData\Roaming\alFSVWJB\twunk_32.exe
File: C:\Windows\system\nxrdx
Folder: C:\Windows\system\nxrdx

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

OK meloblink, on fait le point : comment se comporte le PC ?

Re,
 
J'ai suivi le tutorial.  
 
Spybot désinstallé.
 
Je n'ai pas trouvé d'installation de Chrome : il y a bien un chrome en version portable sur le PC infecté mais elle n'est utilisée que par un logiciel spécifique qui n'a pas été utilisé depuis belle lurette. Je vais voir avec les collègues si on en a encore besoin.
 
Et le lien pour le rapport :  http://www.cjoint.com/c/FDmmGA2Dd3A
 
Merci en tout cas pour la réponse super rapide pour l'analyse des premières données.
 

figure toi que je pensais que le message précédent m'était destiné alors j'étais en train de rechercher spybot que je ne trouvais pas.    et je viens de réinstaller chrome  
 
Ben écoute, je n'ai plus les fenêtres qui s'ouvre mais en tapant "recover" dans rechercher je vois encore pleins de fichier recover.

je peux les effacer à la main?

@ meloblink. Oui, je vais préciser mes posts car le topic devient de plus en plus grand.    
 

Oui, c'est possible qu'il en reste, tu peux les effacer à la main.  
 
Je te prépare la suite.

Thanks d'avance monk521 ;-)

@meloblink
 
Si tu n'as plus de problème, je t'invite à suivre ce qui suit... en plus des conseils donnés sur le topic.
 
Et faites des sauvegardes.
 
 
 
 
==> Mises à jour de sécurité :  
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par des exploits qui installent automatiquement des malwares (infection dés la simple visite d'un site web, ouverture d'une pièce jointe, d'un lien, d'une publicité malicieuse...).
 
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (explications détaillées dans la rubrique Compléments d'informations).
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 
 

• Pour Windows XP: cliquer sur le bouton Démarrer (en bas à gauche de l'écran), puis Tous les programmes et Windows Update. Dans la page web qui s'ouvre, cliquer sur le bouton Rapide et installer les mises à jour.  

 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer et Microsoft Edge: les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : cliquer sur le menu Mozilla représenté par 3 barres (en haut à droite du programme). Cliquez sur "?", puis “ à propos de Mozilla“.
• Pour Google Chrome : cliquer sur le menu Chrome représenté par 3 barres (en haut à droite), puis “ à propos de Google Chrome ".

 
 
 
3- Adobe Reader DC: N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle version d'Adobe Reader => Site Adobe Reader

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 
     
 
     
 
4- Adobe Flash Player : OK.
 
 
 
5- Java : la version de java installée sur ton ordinateur n'est pas à jour:  
 

• Désinstaller l'ancienne ou les anciennes versions de Java via le panneau de configuration / Programmes / Désinstaller un programme.  
• Télécharger et installer la nouvelle version => site de java (cliquer sur téléchargement gratuit de java).

Pendant l'installation du programme, décocher la case proposant Yahoo.
 
 
     
 
 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
Bonne journée.  

@katzentoter
 
Si tu n'as plus de problème, je t'invite à suivre ce qui suit... en plus des conseils courants donnés sur le topic.
 
 
 
 
==> Mises à jour de sécurité :  
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par des exploits qui installent automatiquement des malwares (infection dés la simple visite d'un site web, ouverture d'une pièce jointe, d'un lien, d'une publicité malicieuse...).
 
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (explications détaillées dans la rubrique Compléments d'informations).
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 
   

• Pour Windows Vista, 7 et 8 : se rendre dans le Panneau de configuration\Système et sécurité\Windows Update\  et sélectionner Rechercher des mises à jour.

 
 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer et Microsoft Edge: les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : cliquer sur le menu Mozilla représenté par 3 barres (en haut à droite du programme). Cliquez sur "?", puis “ à propos de Mozilla“.

 
 
 
3- Adobe Reader DC: N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle version d'Adobe Reader => Site Adobe Reader

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 
     
 
     
 
4- Adobe Flash Player : OK.
 
 
 
5- Java : non présent sur le PC.
 
 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
Bonne journée.  
 

en ce qui concerne sftgc. il m'a sorti un fichier txt. est ce normal?

@meloblink
 
Oui, il peut supprimer des fichiers temporaires infectieux.  

Merci beaucoup pour le coup de main.
 
Bonne journée  

Monk, je tiens à te remercier pour ton temps et tes explications. c'est réparé, je dois maintenant voir si je peux récupérer ses fichiers.

@meloblink
 
Il n'y pas pour l'instant de décrypteur de fichiers.  
 
Un petite chance avec le programme ShadowsExplorer de récupérer ses fichiers si le ransomware n'a pas supprimé les versions originales.
 
Tutoriel (pour tout Windows):
http://www.vista-xp.fr/forum/topic2425.html

disons que ces fichiers ont tous la même date et quasiment tous la même taille. ça pue quoi

Bonjour à tous,
 
Je viens de m'inscrire sur ce forum afin de solliciter votre aide. Voila l'ordinateur de ma femme, qu'elle utilise pour son compte personnel mais aussi et surtout pour son commerce a été infecté par le ransomware RSA-4096. Je n'ai que quelques petite connaissance en informatique, j'ai essayé de nettoyer le PC avec Hitman Pro et Malwarebytes mais j'ai des de_crypt-readme.txt dans tous les fichiers. Et bien sûr impossible de récupérer les fichiers tous cryptés apparemment.  
 
Je vous joint les rapport:
Adwcleaner: http://www.cjoint.com/c/FDwoaZYBRfl  
FRST: http://www.cjoint.com/c/FDwob2kVogl  
Addition: http://www.cjoint.com/c/FDwocDXuFhl  
 
Je vous remercie d'avance pour votre aide précieuse, ma femme a en effet toutes ses données (photos de famille, comptabilité...) sur le PC et aucunes sauvegarde...  
 
Bonne journée

Bonjour,  
 
Analyse en cours des rapports...

@monk521 merci beaucoup.

On supprime les restes infectieux ainsi que les messages du ransomware.
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
Cmd: del C:\*de_crypt_readme*.* /f/q/s  
Task: {54307216-403A-4A12-829B-76CD76624220} - System32\Tasks\alFSVWJB => C:\Users\Caroline\AppData\Roaming\alFSVWJB\write.exe
C:\Users\Caroline\AppData\Roaming\alFSVWJB\write.exe
Task: {97D17036-FA11-46D5-B132-2977163A226F} - \MySearchDial  
HKU\S-1-5-21-2098233649-128635415-273286529-1002\...\Run: [write.exe] => C:\Users\Caroline\AppData\Roaming\alFSVWJB\write.exe
HKU\S-1-5-21-2098233649-128635415-273286529-1002\...\Run: [NVIDIA Corporation] => C:\Users\Caroline\AppData\Roaming\uvcdtvfi\gitbbbiu.exe
C:\Users\Caroline\AppData\Roaming\uvcdtvfi\gitbbbiu.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =  
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =  
HKU\S-1-5-21-2098233649-128635415-273286529-1002\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM -> DefaultScope {FEB7C4CA-C7AD-4416-B1E4-CABD96A26928} URL =  
Toolbar: HKU\S-1-5-21-2098233649-128635415-273286529-1002 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Pas de fichier
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => non trouvé(e)
S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X]
S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [X]
C:\ProgramData\{9CAD18B2-FF9B-4CCA-8EE0-A4CDA3AD5F51}
C:\ProgramData\87211DDE5971.dat

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

@monk521
 
Voici le rapport fixlog.txt : http://www.cjoint.com/c/FDwpuqWgZbl  
 
A première vu il n'y a plus de fichiers de_crypt_readme.

OK pour le rapport. Le PC n'est plus infecté.
 
Je t'invite à utiliser les 2 programmes qui suivent et à lire dans les conseils donnés dans ce post notamment au niveau des sauvegardes des données.  
 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
Bonne soirée.

@monk521
Merci infiniment pour ton aide rapide et efficace.  
 
Du coup, j'imagine qu'il n'y a pas moyen de récupérer les fichiers encrypter?  
 
Quelle plaie ce virus, tous les fichiers nécessaire à la boutique de ma femme son inaccessible et il en va de même des photos de nos enfants.  
 
Je ne souhaite que le pire au personnes qui mènent ce genre actions.
 

Effectivement, pour l'instant, il n'y a aucun moyen de décrypter les fichiers mais les garder sous le coude, il y aura peut-être un jour un outil pour les récupérer, des chercheurs travaillent dans ce sens.  
 
Actuellement, ces malwares se rependent de plus en plus...  
 
 
Bonne journée.  
 
 

D'où l'importance d'avoir des sauvegarde régulière, sur des disques qui ne sont branchés que pour cet usage, pour les mettre à l'abris de ces ramsomnware.  
 
Garde quand même les fichiers chiffré, car peut-être qu'un jour une solution sera trouvée pour les déchiffrer.

J'ajoute de l'eau au moulin:
 
On m'a confié un pc portable "qui rame et qu'on arrive plus a voir les photos qui sont dessus"
 
En effet win update fout le dawa et sature la ram d'une part, et les fichiers image/musique/texte ont été transformés en .crypt par un rsa4096 d'autre part.
 
Après un nettoyage mbam/hitman/eset/glary + suppression des fichiers bmp/txt "de_crypt_readme" générés par le virus + update vers win10 + paramétrage propre (session user et ablation des merdouilles pré installées), je me suis rendu compte grâce au viewer de win10 que quelques photos en .jpg étaient passées entre les mailles du filet.
 
il y a d'autres .jpg (maintenant .crypt ) dans le même répertoire, je ne vois aucune raison pour que ceux ci en particulier n'aient pas été cryptés.
 
Peut on tirer des informations utiles?

A l'attention de monk521
 
Bonjour monk521,
 
Mon ordi a été infecté par le RSA 4096. J’ai passé un antimalware et je pense avoir supprimé certains fichiers à risque, néanmoins j’ai encore des fichiers Excel RSA 4096 qui s’ouvrent lorsque je lance Excel, et l’ordinateur semble fonctionner plus lentement (internet, lecture de vidéo..)
 
Comme conseillé, voici les rapports générés avec FRST
 
http://www.cjoint.com/c/FEbkd5Jx42X
http://www.cjoint.com/c/FEbkgbQGviX
 
Pouvez-vous m'aidez en me disant comment finir le nettoyage ?  
En vous remerciant sincèrement d'avance pour votre aide.

@monah,
 
Analyse en cours des rapports...

Le ransomware n'est plus présent, on enlève cependant ses messages.  
 
Quelques traces infectieuses mais pas méchantes.
 
Concernant les ralentissements, en fait tu as 2 antivirus qui sont en conflit soit ZoneAlarm et Norton. Un seul suffit.
 
 
On procède au nettoyage du PC,
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
Cmd: del C:\*how_recover+ply*.* /f/q/s  
CHR HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction  
HKU\S-1-5-21-4161403021-1853020213-617980910-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction  
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = about:blank
HKU\S-1-5-21-4161403021-1853020213-617980910-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4161403021-1853020213-617980910-1001\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
HKU\S-1-5-21-4161403021-1853020213-617980910-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:Blank
CHR HomePage: Default -> hxxp://www.cassiopessa.com/?f=1&a=csp_otbrw1_15_43&cd=2XzuyEtN2Y1L1QzuyEzzyD0BtAzyyCtAtCtC0AyByByCyCtAtN0D0Tzu0StCtAzytCtN1L2XzutAtFtCtBtFyDtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyEyC0ByCyBzy0EzytGtCyE0C0DtGtA0AyB0FtGtBtC0CzztG0CyC0AtCyByEyCyByCzytBzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0FzyyC0CyD0AyDyBtG0ByEyC0DtGyEyCzytCtG0B0C0AyCtGtDyEzyyBtCzy0D0ByC0A0C0F2QtN0A0LzuyE&cr=1087731816&ir=
CHR StartupUrls: Default -> "hxxp://www.cassiopessa.com/?f=7&a=csp_otbrw1_15_43&cd=2XzuyEtN2Y1L1QzuyEzzyD0BtAzyyCtAtCtC0AyByByCyCtAtN0D0Tzu0StCtAzytCtN1L2XzutAtFtCtBtFyDtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyEyC0ByCyBzy0EzytGtCyE0C0DtGtA0AyB0FtGtBtC0CzztG0CyC0AtCyByEyCyByCzytBzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0FzyyC0CyD0AyDyBtG0ByEyC0DtGyEyCzytCtG0B0C0AyCtGtDyEzyyBtCzy0D0ByC0A0C0F2QtN0A0LzuyE&cr=1087731816&ir=","hxxp://www.dregol.com/?f=7&a=drg_mlvi_15_22&cd=2XzuyEtN2Y1L1QzuyEzzyD0BtAzyyCtAtCtC0AyByByCyCtAtN0D0Tzu0StCtByEyDtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1CzutCyEtBzytDyD1V1OtN1L1G1B1V1N2Y1L1Qzu2StCzyzytA0Dzy0D0EtGtD0EtDtBtGtB0E0FtAtGtB0DyEtDtGtAyEzytCtB0D0EzztD0C0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0FzyyC0CyD0AyDyBtG0ByEyC0DtGyEyCzytCtG0B0C0AyCtGtDyEzyyBtCzy0D0ByC0A0C0F2QtN0A0LzuyE&cr=1824778945&ir="
CHR DefaultSearchURL: Default -> hxxp://www.cassiopessa.com/results.php?f=4&q={searchTerms}&a=csp_otbrw1_15_43&cd=2XzuyEtN2Y1L1QzuyEzzyD0BtAzyyCtAtCtC0AyByByCyCtAtN0D0Tzu0StCtAzytCtN1L2XzutAtFtCtBtFyDtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyEyC0ByCyBzy0EzytGtCyE0C0DtGtA0AyB0FtGtBtC0CzztG0CyC0AtCyByEyCyByCzytBzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0FzyyC0CyD0AyDyBtG0ByEyC0DtGyEyCzytCtG0B0C0AyCtGtDyEzyyBtCzy0D0ByC0A0C0F2QtN0A0LzuyE&cr=1087731816&ir=
CHR DefaultSearchKeyword: Default -> Cassiopesa.com
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Merci pour votre retour.
Voici le rapport : http://www.cjoint.com/c/FEbq6bmgaQX
 
Il subsiste encore quelque chose, lorsque je lance Excel, j'ai 2 fichiers avec un texte "RSA 4096" demandant de l'argent qui s'ouvrent, voici la copie écran : http://www.cjoint.com/c/FEbraUFZk1X
 
Il y a quand-même une amélioration - avant j'avais 3 fichiers qui s'ouvraient
 
Que puis-je essayer ?
 

Dans la zone de recherche de l'explorateur de fichier, entrer how_recover+ply et supprimer manuellement ces fichiers.  
FRST en a enlevé des centaines... ou réutiliser FRST pour voir.

J'ai retrouvé les deux fichiers "how_recover+ply"  dans le dossier de lancement d'Excel (ce sont eux qui se lançaient) et les ai supprimés => ce problème s'est réglé.
Puis avec la zone de recherche de l'explorateur de fichier, j'ai retrouvé et supprimé en mode semi-manuel  plus de 1500 fichiers "how_recover+ply". Il en reste peut-être encore, mais le gros est supprimé - je pense. Quel bonheur ))
Merci beaucoup pour votre aide !

Entendu.
 
Dans ce cas, on peut finaliser la maintenance malware avec ce qu suit.
 
 
 
==> Quelques conseils de prudence et de vigilance :    
 
 

• Ne télécharger pas de programmes sur des sites douteux et sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme (le site officiel).  

• Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  

        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un
        clic droit de la souris + copier l'adresse du lien), ouvrez le navigateur et collez le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.
 
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, ceux-ci installent aussi des malwares.

• Au niveau des mails et des réseaux sociaux, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dans des messages suspects. Attention également au phishing!  

• Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi et d'Hadopi, ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus dangereuses.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est bien à jour afin de détecter les derniers malwares présents sur le net.  

• Vacciner ses supports amovibles externes (clés Usb, disques dur externes, cartes mémoire, Ipod, MP3…) à l'aide du programme UsbFix car beaucoup d'infections se propagent par ce biais.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).

 
 
 
==> Mises à jour de sécurité :  
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par les exploits qui installent automatiquement des malwares (infection dés la simple visite d'un site web, ouverture d'une pièce jointe, clic sur un lien ou une publicité malicieuse...).
 
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (pour plus d'explications, voir plus loin la rubrique Compléments d'informations).
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 
   

• Pour Windows Vista, 7 et 8 : se rendre dans le Panneau de configuration\Système et sécurité\Windows Update\  et sélectionner Rechercher des mises à jour.

 
 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer et Microsoft Edge: les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : cliquer sur le menu Mozilla représenté par 3 barres (en haut à droite du programme). Cliquez sur "?", puis “ à propos de Mozilla“.
• Pour Google Chrome : OK.

 
 
3- Adobe Reader DC: OK.
 
     
 
4- Adobe Flash Player : OK.
 
 
 
5- Java : la version de java installée sur ton ordinateur n'est pas à jour:  
 

• Désinstaller l'ancienne ou les anciennes versions de Java via le panneau de configuration / Programmes / Désinstaller un programme.  
• Télécharger et installer la nouvelle version => site de java (cliquer sur téléchargement gratuit de java).

Pendant l'installation du programme, décocher la case proposant Yahoo.
 
 
     
 
 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     Note: si des fichiers infectieux sont trouvés, ils seront supprimés automatiquement.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
==> Complément d'informations :  
 
 

• Stop les publicités intempestives adwares et programmes parasites de Malekal.
• Pourquoi mettre à jour son PC contre les failles de sécurité Comment ça marche.net.
• Les risques sécuritaires du P2P Libellules.ch
• Sécuriser son ordinateur et connaitre les menaces de Malekal.

 
 
 
Bonne journée.  

Merci beaucoup pour votre aide monk521    !

Bonjour à tous!
 
J'ai une excellente nouvelle pour ceux qui ont été infecté par le ransomware RSA4096 et qui ne peuvent plus accedé à leur fichiers crypté.  
Kaspersky a sorti il y 5 jours un outil permettant de recuperer les fichiers crypté! Je l'ai testé ce matin et j'ai pu recuperer quasiment 80% des fichiers (oui seul petit hic c'est qu'il faut au moins un fichier non crypté identique à celui crypté. Apres le logiciel decrypte le reste en prenant en compte que les fichier de taille egale ou plus petit que le fichier initial).  
 
Voici le lien: https://support.kaspersky.com/virus [...] 547#block3
 
Voila je souhaitais partager cela avec vous, monk521 m'a été d'une très grande aide pour la desinfection et je voulais à mon tour aider ceux qui souhaitaient recuperer leur fichiers.  
 
Bonne journée à tous!

Bonjour
Mon PC Windows 7 a aussi été infecté.
Est-ce que quelqu'un peut m'aider SVP?
 
Voici les rapports générés avec FRST:
http://www.cjoint.com/c/FEirekyXFBk
http://www.cjoint.com/c/FEire0zJqwk  
 
D'avance merci!

Bonjour,
 
Les rapports cjoint ne sont pas lisibles.

Je recommence donc:
http://www.cjoint.com/c/FEiruQN5Dpk  
http://www.cjoint.com/c/FEirurDYJPk
Est-ce que c'est ok?
Merci