Votre question
Résolu

virus fichier jpeg et text modifié en mp3 ...

Tags :
  • Sécurité
  • ransomware
Dernière réponse : dans Sécurité et virus
11 Mars 2016 20:14:05

Bonjours

Voila j ai l intégralité de mes photo et certains document qui ont été modifié .
Qu elle solution y a t il comment verifier si l infection est encore présente .voici le raport frst http://up.security-x.fr/file.php?h=R819200de2a529dc5a3f...
et l add http://up.security-x.fr/file.php?h=R19f8e287c19b4eb6b57...
Merci d avance de votre réponse
Djo

Autres pages sur : virus fichier jpeg text modifie mp3

a c 614 8 Sécurité
12 Mars 2016 08:59:21

Bonjour,

Vous avez malheureusement été victime d'un rançonlogiciel, une infection qui prend en otage les fichiers du système.
Ceci car les utilisateur de ce PC ne sont pas assez vigilant, ouvrent des pièces jointes de mails douteux, ou navigues sur des sites dangereux ... (streaming/téléchargement illégaux)

Exemple pour vous :
Citation :
2016-03-11 15:28 - 2016-03-11 18:00 - 1326811099 _____ C:\Users\Amandine\Downloads\Black.Sails.S03E02.FRENCH.1080i.HDTV.H264-LiBERTY.zone-telechargement.com.mkv


Il n'y a à l'heure actuel aucun moyen de récupérer les fichiers ayant était pris en otage
La seule solution est d'avoir une sauvegarde régulière de ses fichiers sur un support externe (solution peu couteuse et au combien salutaire face à ce type d'infection ...)

Au mieux on peut vérifier que l'infection n'est plus active et nettoyer les restes :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

    start
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-541555598-2329351681-3087841601-1002\...\Winlogon: [Shell] C:\Users\Amandine\AppData\Local\Temp\0FA7A4623769BD2A.exe <==== ATTENTION
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html [2016-02-12] ()
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.png [2016-02-12] ()
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt [2016-02-12] ()
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html [2016-02-12] ()
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.png [2016-02-12] ()
    Startup: C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt [2016-02-12] ()
    Toolbar: HKU\S-1-5-21-541555598-2329351681-3087841601-1002 -> Pas de nom - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - Pas de fichier
    FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => non trouvé(e)
    2016-02-12 19:06 - 2016-02-12 19:06 - 00000253 _____ C:\Users\Amandine\Documents\recover_file_doueenmqo.txt
    2016-02-12 18:43 - 2016-02-12 18:43 - 00008350 _____ C:\WINDOWS\Tasks\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 18:43 - 2016-02-12 18:43 - 00002125 _____ C:\WINDOWS\Tasks\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 18:41 - 2016-02-12 18:41 - 00008350 _____ C:\Users\Public\Downloads\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 18:41 - 2016-02-12 18:41 - 00008350 _____ C:\Users\Public\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 18:41 - 2016-02-12 18:41 - 00008350 _____ C:\Users\Amandine\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 18:41 - 2016-02-12 18:41 - 00002125 _____ C:\Users\Public\Downloads\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 18:41 - 2016-02-12 18:41 - 00002125 _____ C:\Users\Public\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 18:41 - 2016-02-12 18:41 - 00002125 _____ C:\Users\Amandine\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:58 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:58 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\LocalLow\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\LocalLow\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:34 - 2016-02-12 19:03 - 00008350 _____ C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:34 - 2016-02-12 19:03 - 00002125 _____ C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:34 - 2016-02-12 18:52 - 00008350 _____ C:\Users\Amandine\AppData\Local\Apps\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:34 - 2016-02-12 18:52 - 00002125 _____ C:\Users\Amandine\AppData\Local\Apps\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:29 - 2016-02-12 18:41 - 00008350 _____ C:\Users\Public\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:29 - 2016-02-12 18:41 - 00002125 _____ C:\Users\Public\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:29 - 2016-02-12 17:34 - 00008350 _____ C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:29 - 2016-02-12 17:34 - 00002125 _____ C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:11 - 2016-02-12 17:11 - 00000253 _____ C:\Users\Amandine\Documents\recover_file_sjktlquex.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\LocalLow\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\Microsoft\Windows\Start Menu\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\LocalLow\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 16:29 - 2016-02-12 17:00 - 00008350 _____ C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:29 - 2016-02-12 17:00 - 00002125 _____ C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 16:29 - 2016-02-12 16:29 - 00008350 _____ C:\Users\Amandine\AppData\Local\Apps\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:29 - 2016-02-12 16:29 - 00002125 _____ C:\Users\Amandine\AppData\Local\Apps\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 16:28 - 2016-02-12 16:29 - 00008350 _____ C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:28 - 2016-02-12 16:29 - 00002125 _____ C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 16:28 - 2016-02-12 16:28 - 00008350 _____ C:\Users\Public\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:28 - 2016-02-12 16:28 - 00002125 _____ C:\Users\Public\Documents\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 16:27 - 2016-02-12 16:27 - 00000253 _____ C:\Users\Amandine\Documents\recover_file_ghijpkkth.txt
    2016-02-12 16:23 - 2016-02-12 16:23 - 00008350 _____ C:\Users\_H_e_l_p_RECOVER_INSTRUCTIONS+wbl.html
    2016-02-12 16:23 - 2016-02-12 16:23 - 00002125 _____ C:\Users\_H_e_l_p_RECOVER_INSTRUCTIONS+wbl.txt
    2016-02-12 16:20 - 2016-02-12 16:20 - 00000253 _____ C:\Users\Amandine\Documents\recover_file_jmgwnbvns.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 0008350 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 0068288 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.png
    2016-02-12 17:41 - 2016-02-12 19:03 - 0002125 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 0008350 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 0068288 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.png
    2016-02-12 17:00 - 2016-02-12 17:00 - 0002125 _____ () C:\Users\Amandine\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:41 - 2016-02-12 19:03 - 0008350 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:41 - 2016-02-12 19:03 - 0068288 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.png
    2016-02-12 17:41 - 2016-02-12 19:03 - 0002125 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 17:00 - 2016-02-12 17:00 - 0008350 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 17:00 - 2016-02-12 17:00 - 0068288 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.png
    2016-02-12 17:00 - 2016-02-12 17:00 - 0002125 _____ () C:\Users\Amandine\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:34 - 2016-02-12 19:03 - 0008350 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:34 - 2016-02-12 19:03 - 0068288 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.png
    2016-02-12 17:34 - 2016-02-12 19:03 - 0002125 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 16:29 - 2016-02-12 17:00 - 0008350 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:29 - 2016-02-12 17:00 - 0068288 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.png
    2016-02-12 16:29 - 2016-02-12 17:00 - 0002125 _____ () C:\Users\Amandine\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    2016-02-12 17:29 - 2016-02-12 17:34 - 0008350 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.html
    2016-02-12 17:29 - 2016-02-12 17:34 - 0068288 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.png
    2016-02-12 17:29 - 2016-02-12 17:34 - 0002125 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+btr.txt
    2016-02-12 16:28 - 2016-02-12 16:29 - 0008350 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.html
    2016-02-12 16:28 - 2016-02-12 16:29 - 0068288 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.png
    2016-02-12 16:28 - 2016-02-12 16:29 - 0002125 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+yej.txt
    EmptyTemp:
    end


  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l

    Meilleure solution

    a c 614 8 Sécurité
    12 Mars 2016 10:14:49

    Re,

    Ok pour le rapport.

    C'est tout ce que nous pouvons faire à l'heure actuelle.

    Mettez de côté les documents importants crypté, au cas ou un jour une solution soit trouvée, mais il ne faut pas avoir trop d'espoir ...

    Et pensez maintenant à sauvegarder régulièrement sur un support externe, et éviter les comportement à risque sur le PC

    :jap: 
    partage
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS