Virus (je pense) a changé toute les extension de pdf jpg [Sans suite, déplacé en résolu. Macgrath]

Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6006
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 223 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par palerider »

Il y a quelques infections, mais pour désinfecter il faut que chaque action soit menée rapidement pour éviter une surinfection.

Donc quand tu es dispo tu refais un zhpdiag et dans la foulée je fais un script pour enlever ce qu'il y a.

Ce qui a été détecté de toutes façons n'est pas responsable du cryptage.

:)
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Avatar du membre
Pascal
Membre VIP
Membre VIP
Messages : 889
Enregistré le : mer. 6 avr. 2011 22:25
A été remercié : 3 fois
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par Pascal »

palerider a écrit :
Ce qui a été détecté de toutes façons n'est pas responsable du cryptage.

:)

une piste ?
le soucis c'est que si je repare le pc avec un windows , je pourrais pas recuperer les photos et autres
si on arrive pas a decodér ce cryptage a la con , est ce vraiment utile de le désinfecter ? et pas plus rapide de formater complètement la machine ?
Ma Config : ASUSM4A88T-M/USB3 - AMD PhenomII X6 1090T (3.2Ghz) - 8Go de Ram DDR3 - Disque Dur : SSD 250Go + 2xDD 1Tb - W10 Generation2[/align]
Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6006
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 223 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par palerider »

Le problème c'est qu'on ne trouve rien sur ce cryptage, il faudrait peut-être envoyer un fichier crypter chez Kaspersky où autre pour avoir leur avis avant de tout formater
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Avatar du membre
sh@rp
Membre VIP
Membre VIP
Messages : 585
Enregistré le : mar. 1 févr. 2011 13:03
A remercié : 3 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par sh@rp »

Bonsoir,

Ce qu'il serait bon de savoir :

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !

....etc.....

A+
Le dev ne se réduit pas à du simple copier/coller de codes sources mais à une incommensurable phase d'apprentissage d'un domaine en perpétuelle évolution !
http://3dotdevcoder.blogspot.fr/
Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6006
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 223 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par palerider »

  • Télécharge FRST (choisis la version 32 ou 64 bits) (de Farbar) sur ton bureau !
  • Ferme toutes les applications en cours !
  • Lance FRST, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Coche la case Addition.txt
  • Clique sur Scan

    Image
  • Une fois le scan terminé rends toi sur le bureau, deux rapports FRST.txt et Addition.txt ont été créés.
  • Héberge les rapports FRST.txt et Addition.txt
  • Héberger un rapport, puis copie/colle le lien fourni dans ta prochaine réponse
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Avatar du membre
Pascal
Membre VIP
Membre VIP
Messages : 889
Enregistré le : mer. 6 avr. 2011 22:25
A été remercié : 3 fois
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par Pascal »

je test tous ca cette apres midi et je vous tiens au courant
Ma Config : ASUSM4A88T-M/USB3 - AMD PhenomII X6 1090T (3.2Ghz) - 8Go de Ram DDR3 - Disque Dur : SSD 250Go + 2xDD 1Tb - W10 Generation2[/align]
Avatar du membre
Pascal
Membre VIP
Membre VIP
Messages : 889
Enregistré le : mer. 6 avr. 2011 22:25
A été remercié : 3 fois
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par Pascal »

sh@rp a écrit :Bonsoir,

Ce qu'il serait bon de savoir :

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !

....etc.....

A+

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
Non il ne semble pas les jpg par ex font dans les 2,5 mo

--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !
peut etre , si j'enregistre une image dans le pc recuperé sur internet un jpg s'ouvre sans soucis , par contre une image de ce pc sur mon ordi a moi , s'ouvre pas non plus


@@@@
J'ai voulu reparer Windows avec ma clé usb mais malheureusement j'ai pas le bouton reparer :doh:
Ma Config : ASUSM4A88T-M/USB3 - AMD PhenomII X6 1090T (3.2Ghz) - 8Go de Ram DDR3 - Disque Dur : SSD 250Go + 2xDD 1Tb - W10 Generation2[/align]
Avatar du membre
Pascal
Membre VIP
Membre VIP
Messages : 889
Enregistré le : mer. 6 avr. 2011 22:25
A été remercié : 3 fois
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par Pascal »

@Palerider

voila les deux rapports
Addition.txt ==> https://up2sha.re/file?f=IkTood758eW2" onclick="window.open(this.href);return false;
FRST.txt ==> https://up2sha.re/file?f=dy2Z4DZXayue" onclick="window.open(this.href);return false;

plus le zhp
https://up2sha.re/file?f=kb4ShP3XWdn7" onclick="window.open(this.href);return false;
Ma Config : ASUSM4A88T-M/USB3 - AMD PhenomII X6 1090T (3.2Ghz) - 8Go de Ram DDR3 - Disque Dur : SSD 250Go + 2xDD 1Tb - W10 Generation2[/align]
Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6006
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 223 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par palerider »

Je regarde les rapports,

Commence par créer un point de restauration

J'analyse les rapports dans la soirée, surtout pas d'installation de prog et pas de téléchargements !
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Avatar du membre
palerider
Administrateur du site
Administrateur du site
Messages : 6006
Enregistré le : lun. 21 mars 2011 09:18
Localisation : Vaucluse
A remercié : 38 fois
A été remercié : 223 fois
Contact :
    unknown unknown

Re: Virus (je pense) a changé toute les extension de pdf jpg

Message par palerider »

  • Si tu n'as pas ZhpFix, télécharges le ICI en cliquant sur ce bouton Image et pas un autre.
  • Une fois fait installe le, tu auras un raccourcis sur ton bureau Image
Sélectionne et copie les lignes ci-dessous sans oublier la première ligne "Script ZHPFix"

Code : Tout sélectionner

Script ZHPFix
SysRestore
EmptyPrefetch
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRaz
ShortcutFix
[MD5.00000000000000000000000000000000] [APT] [Vosteran_helper] (...) -- C:\Users\Michele\AppData\Local\Vosteran\APPLIC~1\Vosteran\helper.exe (.not file.)   [0] (.Activate.)
O39 - APT: Vosteran_helper - (...) -- C:\Windows\Tasks\Vosteran_helper.job  [310]  (.Orphan.)
O39 - APT: Vosteran_helper - (...) -- C:\Windows\System32\Tasks\Vosteran_helper  [3258]  (.Orphan.)
P2 - EXT: (...) -- C:\Users\Michele\AppData\Roaming\Mozilla\Firefox\Profiles\t0f65tpw.default\extensions\crossriderapp5060@crossrider.com
O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Wow6432Node\InternetProgram
3 - CFD: 30/11/2013 - [] D -- C:\Program Files (x86)\Free Games (4357)
C:\Windows\Tasks\Vosteran_helper.job
C:\Windows\System32\Tasks\Vosteran_helper
C:\Users\Michele\AppData\Roaming\Mozilla\Firefox\Profiles\t0f65tpw.default\extensions\crossriderapp5060@crossrider.com
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
C:\Program Files (x86)\Free Games (4357)
O42 - Logiciel: FromDocToPDF Internet Explorer Homepage and New Tab - (.Mindspark Interactive Network.) [HKCU][64Bits] -- FromDocToPDFTooltab Uninstall Internet Explorer  =>.Superfluous.MindSpark
HKLM\SOFTWARE\Wow6432Node\SlimWare Utilities, Inc.  =>.Superfluous.SlimWareUtilities
HKCU\SOFTWARE\FromDocToPDF  =>.Superfluous.MindSpark
HKCU\SOFTWARE\TeleCharger  =>.Superfluous.Downloader
O43 - CFD: 13/07/2016 - [] D -- C:\Users\Michele\AppData\Local\FromDocToPDFTooltab  =>.Superfluous.MindSpark
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FromDocToPDFTooltab Uninstall Internet Explorer  =>.Superfluous.MindSpark
HKLM\SOFTWARE\Wow6432Node\SlimWare Utilities, Inc.  =>.Superfluous.SlimWareUtilities
HKCU\SOFTWARE\FromDocToPDF  =>.Superfluous.MindSpark
HKCU\SOFTWARE\TeleCharger  =>.Superfluous.Downloader
C:\Users\Michele\AppData\Local\FromDocToPDFTooltab  =>.Superfluous.MindSpark
M0 - MFSP: prefs.js [Michele - t0f65tpw.default] http://www.iadah.com/web-A-6
O3 - Toolbar: 0xB1C218236549D4119B18009027A5CD4F - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} . (...) --  (.not file.)
O43 - CFD: 28/04/2015 - [0] D -- C:\Users\Michele\AppData\Local\CRE
HKCU\SOFTWARE\ƒAƒvƒŠƒP[ƒVƒ‡ƒ“ ƒEƒBƒU[ƒh‚Ő¶¬‚³‚ꂽƒ[ƒJƒ‹ ƒAƒvƒŠƒP[ƒVƒ‡ƒ“
  • Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista, Windows 7 ou Windows 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
  • Clique sur le bouton Importer
    Image
  • Les lignes précédemment copiées vont se coller d'elles-mêmes dans la fenêtre de ZHPFix (si ce n'est pas le cas, clic droit dans la fenêtre et Coller)
  • Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
  • Clique sur le bouton GO pour lancer le nettoyage
  • Clique sur Oui à la demande de confirmation de nettoyage des données
  • Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé
  • Copie/colle la totalité du rapport qui s'ouvre dans le bloc-notes à la fin du nettoyage et colle-le dans ta prochaine réponse
  • Le rapport se trouve aussi sous C:\ZHP\ZHPFix[RX].txt
Reboote le pc refais un zhpdiag. Donc tu postes le rapport zhpfix et tu héberges le rapport zhpdiag
J'aime les gens qui, pour briller, n'éteignent pas les autres.

Image
Verrouillé