Se connecter / S'enregistrer
Votre question

Virus codeur windows

Tags :
  • Windows
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Juillet 2012 00:36:33

Bonjour mon ordi est infecté par le virus codeur windows (une fenetre s'ouvre et me demande 100e) j'ai regardé sur les forums et tenté d'effectuer les manoeuvres décrites mais elles sont spécifiques a chaque cas. J'ai donc telecharger OTL, copié/collé le long texte qui finit par CREATERESTOREPOINT Jme retrouve mtn avec deux rapport, j'sais pas quoi en faire!
Quelqu'un pour m'aider svp?

Autres pages sur : virus codeur windows

a c 940 8 Sécurité
a b 9 Windows
19 Juillet 2012 09:23:13

Bonjour Mike_Lee,

Citation :
Jme retrouve mtn avec deux rapport, j'sais pas quoi en faire!


Tu héberges chaque rapport sur pjjoint et tu indiques le lien.
Voici une aide en images -> Héberger son rapport d'analyse

Tu dois donc fournir 2 liens, un pour le rapport OTL.txt et un pour le rapport Extras.txt.

@+
Contenus similaires
a c 940 8 Sécurité
a b 9 Windows
19 Juillet 2012 23:05:57

Bonsoir,

J'espère que tu as une sauvegarde de tes documents personnels qui sont cryptés, car il n'existe à l'heure actuelle aucune solution pour le décryptage.

Nous allons pouvoir par contre débloquer ton système.

Pour info, il faudra relativement vite faire de la place sur C, il ne reste plus que 3 Gb de libre, ton Windows 7 est en train d'étouffer.

Une raison particulière pour que le SP1 ne soit pas installé ?
Un système non à jour, pas de protection résidente (Norton Security Scan ne protège pas, il ne fait que scanner), pratique du P2P .... toutes les conditions sont réunies pour une infection !

Suis les instructions suivantes toujours en mode sans échec :

----------------------------------------------------------------------------------------------

OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {8A96AF9E-4074-43b7-BEA3-87217BDA7406}
    IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}: "URL" = http://www.searchqu.com/web?src=ieb&systemid=406&q={searchTerms}
    IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found
    IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=17284
    IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=NRO&o=&src=crm&q={searchTerms}&locale=
    IE - HKCU\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http://badoo.com/startpage/?source=bsb&q={searchTerms}
    IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}: "URL" = http://www.searchqu.com/web?src=ieb&systemid=406&q={searchTerms}
    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
    IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb123/?search={searchTerms}&loc=IB_DS&a=6OyuRRehV7&i=26
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.defaultthis.engineName: "DVDVideoSoftTB Customized Web Search"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.26
    FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=406&q="
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
    FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=406&q="
    [2012/04/23 16:07:32 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\Jamel\AppData\Roaming\mozilla\Firefox\Profiles\776xa3pv.default\extensions\cacaoweb@cacaoweb.org
    [2012/06/03 14:18:21 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Jamel\AppData\Roaming\mozilla\Firefox\Profiles\776xa3pv.default\extensions\ffxtlbr@babylon.com
    [2012/04/05 11:51:28 | 000,002,023 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\Mozilla\Firefox\Profiles\776xa3pv.default\searchplugins\badoo.xml
    [2011/11/22 18:04:06 | 000,000,931 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\Mozilla\Firefox\Profiles\776xa3pv.default\searchplugins\conduit.xml
    [2012/03/05 18:36:41 | 000,002,203 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\Mozilla\Firefox\Profiles\776xa3pv.default\searchplugins\MyStart Search.xml
    [2011/03/23 14:24:21 | 000,005,529 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\Mozilla\Firefox\Profiles\776xa3pv.default\searchplugins\SearchquWebSearch.xml
    [2012/03/03 14:54:17 | 000,003,934 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\Mozilla\Firefox\Profiles\776xa3pv.default\searchplugins\sweetim.xml
    [2011/06/14 00:58:19 | 000,000,000 | ---D | M] (QuestScan) -- C:\Program Files\mozilla firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}
    [2012/04/23 16:03:18 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    [2011/03/23 14:24:21 | 000,005,529 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchquWebSearch.xml
    CHR - default_search_provider: Search the web (Babylon) (Enabled)
    CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&tt=010412_crm&babsrc=SP_crm
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI3C8A~1\ToolBar\searchqudtx.dll ()
    O2 - BHO: (UrlHelper Class) - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - C:\PROGRA~1\WI3C8A~1\Datamngr\IEBHO.dll (Discordia, LTD)
    O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI3C8A~1\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~1\WI3C8A~1\Datamngr\DATAMN~1.EXE (Discordia, LTD)
    O4 - HKCU..\Run: [Badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe File not found
    O4 - HKCU..\Run: [cacaoweb] C:\Users\Jamel\AppData\Roaming\cacaoweb\cacaoweb.exe ()
    O4 - HKCU..\Run: [defut] C:\Users\Jamel\AppData\Roaming\defut.exe ()
    O4 - HKCU..\Run: [mreukbzt] C:\Users\Jamel\AppData\Roaming\Mcwlgpirhq\pyverlkbzt.exe ( " ")
    O4 - Startup: C:\Users\Jamel\AppData\Local\Temp\Shril\ndjtofkbzt.exe (Supermicro)
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI3C8A~1\Datamngr\datamngr.dll) - C:\PROGRA~1\WI3C8A~1\Datamngr\datamngr.dll (Discordia, LTD)
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI3C8A~1\Datamngr\IEBHO.dll) - C:\PROGRA~1\WI3C8A~1\Datamngr\IEBHO.dll (Discordia, LTD)
    [2012/07/09 18:18:36 | 000,000,000 | ---D | C] -- C:\Users\Jamel\AppData\Roaming\Mcwlgpirhq
    [12 C:\Users\Jamel\AppData\Local\Temp\*.tmp files -> C:\Users\Jamel\AppData\Local\Temp\*.tmp -> ]
    [2009/07/14 01:11:09 | 000,089,088 | ---- | C] () -- C:\Users\Jamel\AppData\Roaming\defut.exe
    [2010/11/10 13:49:36 | 001,289,624 | ---- | M] (Adobe Systems Incorporated) -- C:\AcroRd32.exe
    [2012/07/13 01:24:39 | 000,000,000 | ---D | M] -- C:\Users\Jamel\AppData\Roaming\cacaoweb
    [2011/04/21 08:33:55 | 000,000,000 | ---D | M] -- C:\Users\Jamel\AppData\Roaming\OfferBox
    [2009/07/14 03:14:16 | 000,089,088 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\defut.exe
    [2012/07/11 15:37:31 | 000,429,056 | ---- | M] () -- C:\Users\Jamel\AppData\Roaming\cacaoweb\cacaoweb.exe
    [2012/07/09 18:18:36 | 000,069,632 | -H-- | M] ( " ") -- C:\Users\Jamel\AppData\Roaming\Mcwlgpirhq\pyverlkbzt.exe

    :files
    ipconfig /flushdns /c
    C:\Users\Jamel\AppData\Local\Temp
    C:\Users\Jamel\AppData\Roaming\Mcwlgpirhq

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]

  • Colle l'intégralité du script dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Redémarre en mode normal.

    ---------------------------------------------------------------------------------------------

    Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

    • Badoo Desktop (adware)
    • Skype Toolbars (sauf si réelle utilité)
    • Windows iLivid Toolbar (adware)
    • Uniblue RegistryBooster (inutile et dangereux pour le système)


  • ---------------------------------------------------------------------------------------------

    AdwCleaner - Suppression :

    • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
      Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt


  • Tutoriel d'utilisation AdwCleaner en images

    ---------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
    • Clique sur Terminer
    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
    • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen
    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse


  • ----------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • AdwCleaner(S).txt
    • mbam-log[date-heure].txt


  • @+
    a c 940 8 Sécurité
    a b 9 Windows
    20 Juillet 2012 09:28:33

    Bonjour,

    Citation :
    pour mes fichiers cryptés je les ai perdu a jamais?


    Pour l'instant, il n'existe aucune solution pour les décrypter.
    Les éditeurs d'antivirus et autres outils y travaillent, mais n'ont pas pu encore sorti un outil ou une procédure pour décrypter les fichiers.
    Il faut patienter, en espérant qu'une solution soit trouvée.
    Tu n'as aucune sauvegarde de tes fichiers ?

    Pour Malwarebytes, attention, l'outil a mis en quarantaine C:\Users\Jamel\Desktop\JlOTnGAdotxjdotyga
    C'est justement un de tes fichiers cryptés.
    Le virus Codeur, après cryptage, renomme le fichier en une suite aléatoire et supprime l'extension.
    Dans Malwarebytes, onglet Quarantaine, tu sélectionnes cet élément C:\Users\Jamel\Desktop\JlOTnGAdotxjdotyga et tu cliques sur Restaurer.
    Mets à l'abri ce type de fichiers pour les conserver intacts au cas où un outil pour décrypter soit édité.

    Il faut éviter de télécharger des applications sur Softonic et O1.net qui repackent les logiciels et les redistribue avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
    http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-t...
    http://www.malekal.com/2012/04/02/softonic-repack-de-lo...
    /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.

    ---------------------------------------------------------------------------------------------

    Mets à jour Firefox :

    Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Rapport

    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • ---------------------------------------------------------------------------------------------

    Désinstalle Norton Security Scan via Programmes et fonctionnalités et installe un antivirus gratuit :


  • ---------------------------------------------------------------------------------------------

    Est attendu le rapport SX Check&Update

    @+
    20 Juillet 2012 11:22:09

    Bonjour, mes fichiers présents sur cet ordinateur ont pour la plupart très peu d'importance (films, musiques etc) je peux retrouver presque tout le reste sur d'autres ordinateurs. Si je venait a tout perdre ce ne serai pas si grave.

    Le rapport SX Check&Update :

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 32 bits
    Aucun Service Pack
    UserName : Jamel
    20/07/2012
    10:33:17
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer Plugin
    Version : 11.3.300.265
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 14.0.1 (x86 fr)
    Version : 14.0.1

    Nom : Mozilla Maintenance Service
    Version : 14.0.1

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    Pour le fichier mis en quarantaine par Malwarebytes, je me demandais pourquoi l'avoir restaurer?
    a c 940 8 Sécurité
    a b 9 Windows
    20 Juillet 2012 12:02:50

    Re,

    Citation :
    mes fichiers présents sur cet ordinateur ont pour la plupart très peu d'importance (films, musiques etc) je peux retrouver presque tout le reste sur d'autres ordinateurs. Si je venait a tout perdre ce ne serai pas si grave.


    On va quand même essayer quelque chose, sans garantie aucune du résultat.

    Tu as été infecté le 09/07, on va aller fouiner dans un point de restauration antérieur à cette date.

    ---------------------------------------------------------------------------------------------

    • Télécharge ShadowExplorer et enregistre-le sur le Bureau
    • Lance l'installation par clic-droit -> Exécuter en tant qu'administrateur et suit la procédure d'installation
    • Exécute ShadowExplorer par clic-droit -> Exécuter en tant qu'administrateur
    • Tu as donc accès aux copies enregistrées de tes fichiers lors de la création des différents points de restauration.
    • Tu sélectionnes une date récente, mais à un moment où l'infection n'était pas encore présente (avant le 09/07 dans ton cas)
    • Dans l'arborescence qui apparaît, recherche la copie d'un fichier que tu sais crypté maintenant
    • Clic-droit sur ce fichier -> Export et tu l'enregistres bien à part, dans un nouveau dossier que tu crées spécifiquement, sans renommer le fichier


  • Aide en image sur Shadow Explorer

    Tu me dis si tu as pu récupérer quelques fichiers.

    @+
    20 Juillet 2012 13:06:05

    Merci mais ça ne marche pas, les dates commencent a partir d'aujourd'hui 10h48 :( 
    a c 940 8 Sécurité
    a b 9 Windows
    20 Juillet 2012 15:17:57

    Re,

    Citation :
    les dates commencent a partir d'aujourd'hui 10h48


    Décidément tu joues de malchance !

    Ta protection système était désactivée et ce doit être OTL qui l'a réactivé quand on a demandé la création de point de restauration lors du script.

    Vérifie quand même de temps en temps que des points de restauration se créent bien avant des mises à jour Windows Update par exemple.

    Avant de mettre à jour ton système, nous allons commencer à finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    Purge points de restauration :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous

      :Commands
      [CLEARALLRESTOREPOINTS]
      [EMPTYTEMP]

    • Colle l'intégralité du code dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction
    • Si l'outil te demande de redémarrer le PC, tu acceptes


  • ---------------------------------------------------------------------------------------------

    Désinstallation des outils utilisés :

    Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
    Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Purge d'outils

    • Valide l'avertissement par OK et laisse le pc redémarrer


    • Relance AdwCleaner et clique sur Désinstaller
    • Supprime SXCU de ton Bureau
    • Supprime tous les rapports générés restants


  • ---------------------------------------------------------------------------------------------

    Ensuite, tu mets à jour ton système.

    Mets à jour ton système via Windows Update

    Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1

    Tu m'indiques quand toute cette partie là est faite.

    @+
    20 Juillet 2012 16:09:40

    C fait
    a c 940 8 Sécurité
    a b 9 Windows
    20 Juillet 2012 16:40:19

    Re,

    Citation :
    C fait


    Donc pour l'instant, on ne peut aller plus loin.
    Si un outil spécifique est édité, on postera la solution dans tous les sujets de ce Virus Codeur Windows.

    ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :




  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------
    20 Juillet 2012 19:45:37

    Tout est très clair, pas de question Merci beaucoup a+
    2 Août 2012 15:30:48

    Bonjour Mike_lee!

    tu peux laisser tomber tout les éventuels soft présent ou futur pour décrypter tes fichiers codé! Tes fichiers n'ont pas été codé, c'est un leurre utilisé par le virus! En fait ils ont tout simplement été déplacé dans la corbeille et remplacé par de faux fichiers. Dés lors il te suffit de restaurer tout le contenu de ta corbeille et tu va retrouver tous tes fichiers. Peut-être pas dans leurs bon dossier mais en tous cas dans la bonne racine!
    Bon rangement à toi!
    a c 940 8 Sécurité
    a b 9 Windows
    2 Août 2012 16:59:05

    Bonjour,

    @ Fangoboy : es-tu habilité à répondre dans ce forum Sécurité ?
    Surtout pour émettre des hypothèses ?
    As-tu des liens pour étayer ta théorie ?

    @+
    3 Août 2012 10:30:57

    Bonjour chantal11,

    Je ne suis habilité à rien du tout. Je pensais peut-être naïvement que ce forum servait à aider les gens en galère avec leur ordi et c'est ce que j'ai voulu faire. Maintenant si ma réponse ne convient pas, que les modérateurs du site la retire, ce n'est pas grave pour moi, j'ai récupéré mes fichiers! Seulement ce serait dommage pour Mike lee et les autres personnes dans le même cas!
    Pardon, ici je n'émet pas d'hypothèses. J'étais confronté exactement au même problème que Mike Lee et je l'ai résolu en scannant mon DD avec "Malwarebytes" qui à trouvé et retiré l'infection. Ensuite j'ai pu retrouver mes fichiers qui avaient été déplacé dans la corbeille.
    Maintenant, es libre de me croire qui veux! Et je ne garanti pas que ce qui à fonctionner pour moi, fonctionnera pour d'autres.
    Je reste à votre disposition pour d'éventuelles précisions.
    Bonne journée.
    a c 940 8 Sécurité
    a b 9 Windows
    3 Août 2012 11:42:27

    Bonjour,

    Il y a plusieurs variantes de ce ramsomware et tu ne devais pas voir le Virus Coder Windows de Mike_Lee.

    Il n'y a aucune solution à ce jour pour décrypter les fichiers pour le Virus Coder Windows.
    Pourtant les éditeurs s'y sont tous penchés Kaspersky, Dr.Web .... aucun outil n'est capable de décrypter la clé de cryptage.

    Citation :
    les fichiers soient cryptés avec une clé RC4 différente pour chaque fichier. La clé est générée et envoyée au serveur. Elle est ensuite supprimée. Il est donc très difficile de faire un programme de décryption utilisable.

    Dans les commentaires sur cette page :
    http://www.malekal.com/2012/07/10/trojan-trustezeb-rans...

    @+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS