attaque de criptor virus!

[afriedenskaia]

Bonsoir!
Depuis hier je subis ce virus : j'ai reçu les 3 documents qu'ils envoient pour décrypter dont la clé et il me reste 24h avant qu'ils ne vérouillent documents etc... car je refuse de payer pour un hypothétique décryptage!
Je n'ai aucun symptome particulier car le verrouillage n'a pas été effectué... mais demain si je paie pas avant 18h!...

J'ai fait du nettoyage basique mais pouvez-vous m'aider à supprimer ce Criptobit bien que selon les forums celà soit peu possible!

PS: les 2 fichiers RSIT joints

Merci pour votre aide
-----

[afriedenskaia]

S'il vous plait, Quelqu'un peut-il m'aider contre l'infection de ce "Cryptorbit Virus" ???

[chantal11]

Bonjour,

On va contrôler le système au niveau de l'infection, mais pour tes fichiers cryptés, il n'y a pas beaucoup d'espoir.
J'espère que tu as des sauvegardes de ces fichiers.

---------------------------------------------------------------------------------------------

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

@+

[afriedenskaia]

Merci de votre intervention!
Ci joint les 2 fichiers.

[A voir en vidéo sur Futura]

[chantal11]

Re,


Une raison particulière pour que le SP1 ne soit pas installé sur ton Windows 7 ?
Un système qui n'est pas à jour présente des failles de sécurité importantes et est une cible de choix pour les malwares ........ la preuve !

Il est légal ce Windows 7 ? Tu as une licence Microsoft ?

L'infection n'est plus active, juste quelques éléments à nettoyer.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

Spybot - Search and Destroy (inutile, tu as déjà AVG - risque de plus d'interférer dans la procédure)

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  2014-04-19 17:54 - 2014-04-19 18:36 - 00000000 ____D () C:\ProgramData\jmeqy
  C:\Users\Portable\AppData\Local\Temp\Quarantine.exe
  C:\Users\Portable\AppData\Local\Temp\Softonic_FR_1-5-9_FR-Production_10_CleanRelease.exe
  Hosts:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

Tu n'as pas répondu à "J'espère que tu as des sauvegardes de ces fichiers."

@+

[afriedenskaia]

Re,

1- ( "Tu n'as pas répondu à "J'espère que tu as des sauvegardes de ces fichiers." ) : j'ai des sauvegardes de fichiers , images etc... sur un disque externe mais ne sachant pas quels fichiers sont infectés, ni l'importance de l'infection j'attendais des précisions avant de répondre sur ce point

2- (Une raison particulière pour que le SP1 ne soit pas installé sur ton Windows 7 ? ) : je ne sais pas ce qu'est le SP1 !! comment l'installer?; je n'y connais rien en informatique ; j'ai acheté cet ordi portable clé en main ... et oui j'ai une licence Microsoft enregistrée ... et oui ce Windows 7 est légal ... d'après le marchand!;

3- spybot désinstallé

4- quels sont les fichiers infectés ?
Qu'en faire ? que faire de FRST64 et des autres fichiers ouverts ? comment se protéger spécifiquement de ce "virus"?
De nouvelles attaques sont elles possibles voire programmées?

[chantal11]

Bonjour,

Relis bien la procédure que je t'ai indiqué, tu as posté le fixlist.txt, et non le rapport Fixlog que tu dois obtenir en appliquant le correctif.

Il te faut donc recommencer cette partie.
Pour le fixlist.txt, supprime tous les espaces avant start

j'ai des sauvegardes de fichiers , images etc... sur un disque externe mais ne sachant pas quels fichiers sont infectés

Toi seul peut savoir quels sont les fichiers qui ont été cryptés.

je ne sais pas ce qu'est le SP1 !! comment l'installer?; je n'y connais rien en informatique ; j'ai acheté cet ordi portable clé en main ... et oui j'ai une licence Microsoft enregistrée ... et oui ce Windows 7 est légal ... d'après le marchand!;

Windows Update, tu connais ?
Les mises à jour doivent être installées au fur et à mesure.
Nous nous en occuperons par la suite.

comment se protéger spécifiquement de ce "virus"?
De nouvelles attaques sont elles possibles voire programmées?

Un système à jour, ce qui n'est pas le cas chez toi, d'autant plus que Java n'était pas à jour.
A ce sujet, désinstalle cette version obsolète Java 7 Update 21 (64-bit)

Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



En attente donc du rapport Fixlog

@+

[afriedenskaia]

Bonjour !

1- Désolée pour l'erreur du Fixlist.txt ; ci joint le Fixlog .
Je n'ai pas vu d'espace avant 'start'

2- Comment savoir si un fichier est crypté et qu'en faire ?

3- Quant au comportement à risques : aucun; (cracks/keygens, P2P, streaming illégal etc...) je n'ai aucune idée de ces choses !
Je suis très loin d'avoir 20 ans!!! mon combat est le même que le votre mais sous forme d'un blog (afrodeau1.com)

4- Java 7 Update 21 (64-bit) : désinstallé

5- Ce matin à l'ouverture de l'ordi: compte mail inaccessible; était-ce lié à ce problème?

@+

[chantal11]

Re,

OK pour le rapport Fixlog.

Comment savoir si un fichier est crypté et qu'en faire ?

Quand un fichier a été crypté par l'infection, tu ne peux l'ouvrir.

Il te faut donc faire le tour de tes fichiers enregistrés dans ton dossier personnel et vérifier s'il y a un souci ou pas.

Ce matin à l'ouverture de l'ordi: compte mail inaccessible; était-ce lié à ce problème?

Normalement non, il te faut retenter l'ouverture de ton compte de messagerie, au besoin le re-paramétrer.

@+

[afriedenskaia]

Re,

1- Ok pour les fichiers... mais ça va prendre du temps... 15 ans de doc : les formats PDF, Word et Bloc-note ne semble pas cryptés après un mini test aléatoire.

2- Compte mail re-paramétré et rétabli

3- y a t-il un risque que les mots de passe, N° de compte bancaire etc... aient pu être piratés comme l'indiquent certaines infos sur les forums ?

4- Pour ce problème j'ai dù ouvrir hier un nouveau compte sur ce forum Futura car j'ai perdu les idenfiants de celui que j'avais: est-ce possible de les retrouver et donc de fermer ce compte nouveau ?

5- Que faire des 3 fichiers envoyés par le virus ?

@+

[chantal11]

Re,

Je te laisse vérifier donc les fichiers qui auraient été cryptés.

j'ai dù ouvrir hier un nouveau compte sur ce forum Futura car j'ai perdu les idenfiants de celui que j'avais: est-ce possible de les retrouver et donc de fermer ce compte nouveau ?

Tu contactes un administrateur du site pour cela.



Nous allons finaliser cette partie de la procédure.


---------------------------------------------------------------------------------------------

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

---------------------------------------------------------------------------------------------

DelFix :

• Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  /!\ Par précaution, change tous tes mots de passe (Administrations, banques, messageries, réseaux sociaux, FAI .......)
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF


Il faudra ensuite mettre à jour Windows en installant le SP1.

---------------------------------------------------------------------------------------------

Mise à jour Windows 7 SP1 :

Installe manuellement le SP1 depuis ce lien :
http://www.microsoft.com/fr-fr/downl...s.aspx?id=5842
en téléchargeant le fichier windows6.1-KB976932-X64.exe

Puis tu exécutes windows6.1-KB976932-X64.exe par clic-droit -> Exécuter en tant qu'administrateur.

Quand le SP1 est installé, tu lances ensuite Windows Update et installe toutes les mises à jour proposées, y compris les mises à jour Internet Explorer, jusqu'à la dernière version IE11.


@+

[afriedenskaia]

Re,

1- Merci pour ces infos et le contact administrateur; j'étais allée sur un forum Malekal pour connaitre le virus avant de vous contacter.

2- TFC - Nettoyage des fichiers temporaires + DelFix : OK

3- Est-ce à dire que le processus de nettoyage et de remise en 'forme' est OK?

4- La mise à jour sera faite plus tard

5- Que faire des 3 fichiers envoyés par le virus ?

- Je ne peux plus ouvrir les sites auxquels je suis abonné par le fil RSS: une solution? ou dois je les remettre manuellement ? y 'a t-il un risque de "contagion" si je les reinsère , dois je attendre quelques jours ?

- Peut-on supprimer les éléments mis en quarantaine et combien de temps après la mise en quarantaine?

@+

[chantal11]

Re,

Est-ce à dire que le processus de nettoyage et de remise en 'forme' est OK?

Oui

Que faire des 3 fichiers envoyés par le virus ?

Tu parles des fichiers H0W-DECRYPT ?
Tu peux les supprimer.

Je ne peux plus ouvrir les sites auxquels je suis abonné par le fil RSS

Il faut les recréer.

Peut-on supprimer les éléments mis en quarantaine

De quelle quarantaine parles-tu ?
Quel outil ?

@+

[afriedenskaia]

Re,

OK pour réponses 1-2-3

4- de façon générale et particulièrement pour AVG, ou autres anti-virus

[chantal11]

Re,

Oui, tu peux vider la quarantaine, mais de toutes façons les éléments mis en quarantaine sont inactifs.

@+

[afriedenskaia]

Merci beaucoup !

Dois je considérer votre travail comme terminé ?

[chantal11]

Re,

Oui, puisque tu ne sais pas si des fichiers ont été cryptés.

@+

[afriedenskaia]

Re,

Effectivement je n'ai pas encore trouvé de pb ni avec les photos: dés que j'en trouve m'autorisez vous à utiliser votre "contact" pour vous le signaler ?

En attendant et au cas où(!) je ne trouve rien soyez remerciée pour cette aide aussi harmonieuse qu'efficace !

Très Belle Route !

[chantal11]

Re,

Si tu trouves des fichiers cryptés, tu reprends ce fil de discussion pour le signaler.

Bonne continuation à toi aussi.

@+

[afriedenskaia]

Re, OK Merci!