Se connecter / S'enregistrer
Votre question
Résolu

tous mes fichiers sont locked de puis ouverture d un mail adamo

Tags :
  • Sécurité
  • ransomware
Dernière réponse : dans Sécurité et virus
8 Février 2016 12:07:17

j ai commencer a faire certaines chose mais je cale peut on m aider ?

Autres pages sur : fichiers locked ouverture mail adamo

a c 578 8 Sécurité
8 Février 2016 14:10:19

Bonjour aussi ...

Et pourtant combien de fois devrons-nous répéter de ne pas ouvrir les pièces jointes de mails douteux ...

Infection par ransomware crypteur : logiciel chiffrant les fichiers contre rançon.

Il n'y a malheureusement aucun moyen à l'heure actuel de récupérer les fichiers chiffré par l'infection

Au mieux on peut nettoyer l'infection si elle est encore présente, mais tu ne récupèreras pas pour autant les fichiers pris en otage.

:jap: 
m
0
l
8 Février 2016 19:36:42

Sur les dire de mon frère qui l as ouvert il n y avait pas de pieces jointes c'est en fermant le mais que tout a planté
Pouvez vous me donner la procédure à suivre pour nettoyer le disque dur sachant que j ai deja passer un coup de adwcleaner
J ai passer ccleaner
Et antimalware
Merci de votre reponse
Mickael
m
0
l
Contenus similaires
8 Février 2016 19:37:58

Et pardon bonjour à vous
m
0
l
a c 578 8 Sécurité
9 Février 2016 06:54:43

Re,

inutile de passer des outils sans savoir, adwcleaner ne sert à rien face à ce type de menace par exemple.

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  • Clique sur le bouton Analyser.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 578 8 Sécurité
    9 Février 2016 10:21:57

    Re,

    Pour info, RannohDecryptor ne servira à rien face à ces dernières variantes de ransomware.


    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~


    2)
    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      Task: {95FA46BA-736A-4A9A-9DF9-B4BFB46EF524} - System32\Tasks\{9A61623A-4986-4D73-BF72-AD07A4F907EA} => pcalua.exe -a C:\Users\user\Downloads\AquaTechnoBase_V1_31.exe -d C:\Users\user\Downloads
      Task: {BD925CDB-5EA7-401A-AF87-49FA5616E074} - \userForearmingDemarcatedV2 -> Pas de fichier <==== ATTENTION
      FirewallRules: [TCP Query User{27B9371E-0184-449A-8D1E-2251F42CE322}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe
      FirewallRules: [UDP Query User{1604D520-3A66-46D6-8567-12CD0137BAB4}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe
      FirewallRules: [TCP Query User{B297D3AE-736D-4587-BA89-C85157BFE4EF}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe
      FirewallRules: [UDP Query User{8928A1D1-9171-4638-ADF2-2D67D6FCC3CD}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe
      C:\users\user\appdata\roaming\aqovis
      2016-01-20 14:43 - 2016-02-05 10:00 - 00000000 ____D C:\Users\user\AppData\Roaming\Daso
      2016-01-20 14:43 - 2016-02-05 07:19 - 00000000 ____D C:\Users\user\AppData\Roaming\Muxidy
      2016-01-20 14:43 - 2016-02-05 07:16 - 00000000 ____D C:\Users\user\AppData\Roaming\Beoshu
      2016-02-08 11:00 - 2016-01-05 08:37 - 00000000 ____D C:\Users\user\AppData\Local\ForearmingDemarcated
      2016-02-08 11:00 - 2016-01-04 10:56 - 00000000 ___HD C:\Users\user\AppData\Roaming\ProgramFiles(32.1)Updated
      2016-02-08 11:00 - 2006-01-11 02:10 - 00000000 _RSHD C:\Program Files (x86)\hyju
      2016-02-05 10:01 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Orpueh
      2016-02-05 10:01 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Zecyag
      2016-02-05 10:01 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ivxof
      2016-02-05 10:01 - 2016-01-05 15:02 - 00000000 ____D C:\Users\user\AppData\Roaming\Yxog
      2016-02-05 07:19 - 2016-01-08 10:13 - 00000000 ____D C:\Users\user\AppData\Roaming\Qyxe
      2016-02-05 07:19 - 2016-01-08 10:13 - 00000000 ____D C:\Users\user\AppData\Roaming\Buolgu
      2016-02-05 07:19 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ziytag
      2016-02-05 07:19 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ygato
      2016-02-05 07:19 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Yntyu
      2016-02-05 07:19 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Wyoneb
      2016-02-05 07:19 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Vamu
      2016-02-05 07:19 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Uhviq
      2016-02-05 07:19 - 2016-01-05 15:02 - 00000000 ____D C:\Users\user\AppData\Roaming\Oxhe
      2016-02-05 07:02 - 2015-12-14 07:31 - 00000000 ___HD C:\Users\user\AppData\Local\43f3e5b703f65c98
      2016-02-05 07:02 - 2015-09-08 07:26 - 00000000 ___HD C:\Users\user\AppData\Local\42200f52651f189e
      2016-02-05 07:19 - 2016-02-05 07:19 - 0728192 _____ () C:\Users\user\AppData\Roaming\homdbb.exe.locked
      2016-02-05 07:19 - 2016-02-05 07:19 - 0539776 _____ () C:\Users\user\AppData\Roaming\Locker.exe.locked
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
    • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    9 Février 2016 13:43:41

    re
    voici le rapport fixlog

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
    Exécuté par user (2016-02-09 13:37:53) Run:1
    Exécuté depuis C:\Users\user\Downloads
    Profils chargés: user (Profils disponibles: user)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    *****************
    start

    CreateRestorePoint:

    CloseProcesses:

    Task: {95FA46BA-736A-4A9A-9DF9-B4BFB46EF524} - System32\Tasks\{9A61623A-4986-4D73-BF72-AD07A4F907EA} => pcalua.exe -a C:\Users\user\Downloads\AquaTechnoBase_V1_31.exe -d C:\Users\user\Downloads

    Task: {BD925CDB-5EA7-401A-AF87-49FA5616E074} - \userForearmingDemarcatedV2 -> Pas de fichier <==== ATTENTION

    FirewallRules: [TCP Query User{27B9371E-0184-449A-8D1E-2251F42CE322}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe

    FirewallRules: [UDP Query User{1604D520-3A66-46D6-8567-12CD0137BAB4}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe

    FirewallRules: [TCP Query User{B297D3AE-736D-4587-BA89-C85157BFE4EF}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe

    FirewallRules: [UDP Query User{8928A1D1-9171-4638-ADF2-2D67D6FCC3CD}C:\users\user\appdata\roaming\aqovis\maip.exe] => (Block) C:\users\user\appdata\roaming\aqovis\maip.exe

    C:\users\user\appdata\roaming\aqovis

    2016-01-20 14:43 - 2016-02-05 10:00 - 00000000 ____D C:\Users\user\AppData\Roaming\Daso

    2016-01-20 14:43 - 2016-02-05 07:19 - 00000000 ____D C:\Users\user\AppData\Roaming\Muxidy

    2016-01-20 14:43 - 2016-02-05 07:16 - 00000000 ____D C:\Users\user\AppData\Roaming\Beoshu

    2016-02-08 11:00 - 2016-01-05 08:37 - 00000000 ____D C:\Users\user\AppData\Local\ForearmingDemarcated

    2016-02-08 11:00 - 2016-01-04 10:56 - 00000000 ___HD C:\Users\user\AppData\Roaming\ProgramFiles(32.1)Updated

    2016-02-08 11:00 - 2006-01-11 02:10 - 00000000 _RSHD C:\Program Files (x86)\hyju

    2016-02-05 10:01 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Orpueh

    2016-02-05 10:01 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Zecyag

    2016-02-05 10:01 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ivxof

    2016-02-05 10:01 - 2016-01-05 15:02 - 00000000 ____D C:\Users\user\AppData\Roaming\Yxog

    2016-02-05 07:19 - 2016-01-08 10:13 - 00000000 ____D C:\Users\user\AppData\Roaming\Qyxe

    2016-02-05 07:19 - 2016-01-08 10:13 - 00000000 ____D C:\Users\user\AppData\Roaming\Buolgu

    2016-02-05 07:19 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ziytag

    2016-02-05 07:19 - 2016-01-08 09:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Ygato

    2016-02-05 07:19 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Yntyu

    2016-02-05 07:19 - 2016-01-07 11:25 - 00000000 ____D C:\Users\user\AppData\Roaming\Wyoneb

    2016-02-05 07:19 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Vamu

    2016-02-05 07:19 - 2016-01-05 15:45 - 00000000 ____D C:\Users\user\AppData\Roaming\Uhviq

    2016-02-05 07:19 - 2016-01-05 15:02 - 00000000 ____D C:\Users\user\AppData\Roaming\Oxhe

    2016-02-05 07:02 - 2015-12-14 07:31 - 00000000 ___HD C:\Users\user\AppData\Local\43f3e5b703f65c98

    2016-02-05 07:02 - 2015-09-08 07:26 - 00000000 ___HD C:\Users\user\AppData\Local\42200f52651f189e

    2016-02-05 07:19 - 2016-02-05 07:19 - 0728192 _____ () C:\Users\user\AppData\Roaming\homdbb.exe.locked

    2016-02-05 07:19 - 2016-02-05 07:19 - 0539776 _____ () C:\Users\user\AppData\Roaming\Locker.exe.locked

    EmptyTemp:

    end
    *****************

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{95FA46BA-736A-4A9A-9DF9-B4BFB46EF524}" => clé supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{95FA46BA-736A-4A9A-9DF9-B4BFB46EF524}" => clé supprimé(es) avec succès
    C:\Windows\System32\Tasks\{9A61623A-4986-4D73-BF72-AD07A4F907EA} => déplacé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{9A61623A-4986-4D73-BF72-AD07A4F907EA}" => clé supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BD925CDB-5EA7-401A-AF87-49FA5616E074}" => clé supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BD925CDB-5EA7-401A-AF87-49FA5616E074}" => clé supprimé(es) avec succès
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\userForearmingDemarcatedV2 => clé non trouvé(e).
    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{27B9371E-0184-449A-8D1E-2251F42CE322}C:\users\user\appdata\roaming\aqovis\maip.exe => valeur supprimé(es) avec succès
    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{1604D520-3A66-46D6-8567-12CD0137BAB4}C:\users\user\appdata\roaming\aqovis\maip.exe => valeur supprimé(es) avec succès
    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{B297D3AE-736D-4587-BA89-C85157BFE4EF}C:\users\user\appdata\roaming\aqovis\maip.exe => valeur supprimé(es) avec succès
    HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{8928A1D1-9171-4638-ADF2-2D67D6FCC3CD}C:\users\user\appdata\roaming\aqovis\maip.exe => valeur supprimé(es) avec succès
    C:\users\user\appdata\roaming\aqovis => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Daso => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Muxidy => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Beoshu => déplacé(es) avec succès
    C:\Users\user\AppData\Local\ForearmingDemarcated => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\ProgramFiles(32.1)Updated => déplacé(es) avec succès
    C:\Program Files (x86)\hyju => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Orpueh => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Zecyag => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Ivxof => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Yxog => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Qyxe => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Buolgu => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Ziytag => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Ygato => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Yntyu => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Wyoneb => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Vamu => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Uhviq => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Oxhe => déplacé(es) avec succès
    C:\Users\user\AppData\Local\43f3e5b703f65c98 => déplacé(es) avec succès
    C:\Users\user\AppData\Local\42200f52651f189e => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\homdbb.exe.locked => déplacé(es) avec succès
    C:\Users\user\AppData\Roaming\Locker.exe.locked => déplacé(es) avec succès
    EmptyTemp: => 492.7 MB données temporaires supprimées.


    Le système a dû redémarrer.

    ==== Fin de Fixlog 13:38:21 ====
    m
    0
    l
    a c 578 8 Sécurité
    9 Février 2016 20:16:21

    Re,

    Niveau infection, ce sera bon.

    Pour les fichiers cryptés, je te conseille de les mettre de côté dans l'attente d'une solution, mais si j'étais toi, je n'aurais pas trop d'espoir ...
    m
    0
    l
    10 Février 2016 10:23:54

    bonjour
    un grand merci pour votre aide
    existe t il un logiciel pour bloquer ce genre d'attaque ou pas ?

    m
    0
    l

    Meilleure solution

    a c 578 8 Sécurité
    10 Février 2016 10:35:51

    Re,

    Toi.

    Ce type d'infection passent presque exclusivement par du social engineering : pièce jointe de mail piégé, crack, etc ...

    La précaution principale reste aussi des sauvegardes régulières, sur un support externe qui ne reste pas branché en permanence, c'est peu onéreux, et cela règle de nombreux souci, infection, panne de disque dur, etc ...

    Certains éditeurs ont créé des logiciels contre les ransomwares, mais c'est encore du bêta :
    http://forum.security-x.fr/securite-generale/malwarebyt...
    partage
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS