Virus (je pense) a changé toute les extension de pdf jpg [Sans suite, déplacé en résolu. Macgrath]

[palerider]

Il y a quelques infections, mais pour désinfecter il faut que chaque action soit menée rapidement pour éviter une surinfection.

Donc quand tu es dispo tu refais un zhpdiag et dans la foulée je fais un script pour enlever ce qu'il y a.

Ce qui a été détecté de toutes façons n'est pas responsable du cryptage.

[Pascal]

Ce qui a été détecté de toutes façons n'est pas responsable du cryptage.

une piste ?
le soucis c'est que si je repare le pc avec un windows , je pourrais pas recuperer les photos et autres
si on arrive pas a decodér ce cryptage a la con , est ce vraiment utile de le désinfecter ? et pas plus rapide de formater complètement la machine ?

[palerider]

Le problème c'est qu'on ne trouve rien sur ce cryptage, il faudrait peut-être envoyer un fichier crypter chez Kaspersky où autre pour avoir leur avis avant de tout formater

[sh@rp]

Bonsoir,

Ce qu'il serait bon de savoir :

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !

....etc.....

A+

[palerider]

• Télécharge FRST (choisis la version 32 ou 64 bits) (de Farbar) sur ton bureau !
• Ferme toutes les applications en cours !
• Lance FRST, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche la case Addition.txt
• Clique sur Scan
  
  
• Une fois le scan terminé rends toi sur le bureau, deux rapports FRST.txt et Addition.txt ont été créés.
• Héberge les rapports FRST.txt et Addition.txt
• Héberger un rapport, puis copie/colle le lien fourni dans ta prochaine réponse

[Pascal]

je test tous ca cette apres midi et je vous tiens au courant

[Pascal]

Bonsoir,

Ce qu'il serait bon de savoir :

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !

....etc.....

A+

--> Le cryptage est-il destructeur ? Un fichier d'origine a-t-il subit une diminution significative du poids ? (une photo pèse en moyenne 2 à 3 Mo)
Non il ne semble pas les jpg par ex font dans les 2,5 mo

--> N'est-ce tout simplement pas l'association des extensions de fichiers dans le registre qui a été modifiée (en + de l'agent infectieux) ?
--> L'infection est-elle active et dynamique ? Si tu ajoutes une image, va-t-elle subir le même sort que les autres ? Auquel cas l'agent infectieux est toujours actif et détectable !
peut etre , si j'enregistre une image dans le pc recuperé sur internet un jpg s'ouvre sans soucis , par contre une image de ce pc sur mon ordi a moi , s'ouvre pas non plus


@@@@
J'ai voulu reparer Windows avec ma clé usb mais malheureusement j'ai pas le bouton reparer

[Pascal]

@Palerider

voila les deux rapports
Addition.txt ==> https://up2sha.re/file?f=IkTood758eW2" onclick="window.open(this.href);return false;
FRST.txt ==> https://up2sha.re/file?f=dy2Z4DZXayue" onclick="window.open(this.href);return false;

plus le zhp
https://up2sha.re/file?f=kb4ShP3XWdn7" onclick="window.open(this.href);return false;

[palerider]

Je regarde les rapports,

Commence par créer un point de restauration

J'analyse les rapports dans la soirée, surtout pas d'installation de prog et pas de téléchargements !

[palerider]

• Si tu n'as pas ZhpFix, télécharges le ICI en cliquant sur ce bouton et pas un autre.
• Une fois fait installe le, tu auras un raccourcis sur ton bureau

Sélectionne et copie les lignes ci-dessous sans oublier la première ligne "Script ZHPFix"

Code : Tout sélectionner

Script ZHPFix
SysRestore
EmptyPrefetch
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRaz
ShortcutFix
[MD5.00000000000000000000000000000000] [APT] [Vosteran_helper] (...) -- C:\Users\Michele\AppData\Local\Vosteran\APPLIC~1\Vosteran\helper.exe (.not file.)   [0] (.Activate.)
O39 - APT: Vosteran_helper - (...) -- C:\Windows\Tasks\Vosteran_helper.job  [310]  (.Orphan.)
O39 - APT: Vosteran_helper - (...) -- C:\Windows\System32\Tasks\Vosteran_helper  [3258]  (.Orphan.)
P2 - EXT: (...) -- C:\Users\Michele\AppData\Roaming\Mozilla\Firefox\Profiles\t0f65tpw.default\extensions\crossriderapp5060@crossrider.com
O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Wow6432Node\InternetProgram
3 - CFD: 30/11/2013 - [] D -- C:\Program Files (x86)\Free Games (4357)
C:\Windows\Tasks\Vosteran_helper.job
C:\Windows\System32\Tasks\Vosteran_helper
C:\Users\Michele\AppData\Roaming\Mozilla\Firefox\Profiles\t0f65tpw.default\extensions\crossriderapp5060@crossrider.com
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
C:\Program Files (x86)\Free Games (4357)
O42 - Logiciel: FromDocToPDF Internet Explorer Homepage and New Tab - (.Mindspark Interactive Network.) [HKCU][64Bits] -- FromDocToPDFTooltab Uninstall Internet Explorer  =>.Superfluous.MindSpark
HKLM\SOFTWARE\Wow6432Node\SlimWare Utilities, Inc.  =>.Superfluous.SlimWareUtilities
HKCU\SOFTWARE\FromDocToPDF  =>.Superfluous.MindSpark
HKCU\SOFTWARE\TeleCharger  =>.Superfluous.Downloader
O43 - CFD: 13/07/2016 - [] D -- C:\Users\Michele\AppData\Local\FromDocToPDFTooltab  =>.Superfluous.MindSpark
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FromDocToPDFTooltab Uninstall Internet Explorer  =>.Superfluous.MindSpark
HKLM\SOFTWARE\Wow6432Node\SlimWare Utilities, Inc.  =>.Superfluous.SlimWareUtilities
HKCU\SOFTWARE\FromDocToPDF  =>.Superfluous.MindSpark
HKCU\SOFTWARE\TeleCharger  =>.Superfluous.Downloader
C:\Users\Michele\AppData\Local\FromDocToPDFTooltab  =>.Superfluous.MindSpark
M0 - MFSP: prefs.js [Michele - t0f65tpw.default] http://www.iadah.com/web-A-6
O3 - Toolbar: 0xB1C218236549D4119B18009027A5CD4F - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} . (...) --  (.not file.)
O43 - CFD: 28/04/2015 - [0] D -- C:\Users\Michele\AppData\Local\CRE
HKCU\SOFTWARE\ƒAƒvƒŠƒP[ƒVƒ‡ƒ“ ƒEƒBƒU[ƒh‚Ő¶¬‚³‚ꂽƒ[ƒJƒ‹ ƒAƒvƒŠƒP[ƒVƒ‡ƒ“

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista, Windows 7 ou Windows 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
• Clique sur le bouton Importer
  
• Les lignes précédemment copiées vont se coller d'elles-mêmes dans la fenêtre de ZHPFix (si ce n'est pas le cas, clic droit dans la fenêtre et Coller)
• Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
• Clique sur le bouton GO pour lancer le nettoyage
• Clique sur Oui à la demande de confirmation de nettoyage des données
• Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé
• Copie/colle la totalité du rapport qui s'ouvre dans le bloc-notes à la fin du nettoyage et colle-le dans ta prochaine réponse
• Le rapport se trouve aussi sous C:\ZHP\ZHPFix[RX].txt

Reboote le pc refais un zhpdiag. Donc tu postes le rapport zhpfix et tu héberges le rapport zhpdiag