Decrypt_Instruction

[joliebrune]

Salut, je bosse dans un bureau et j'ai chope un virus qui crypte tous mes fichiers jpg, doc, mp3...etc..
Et dans chaque dossier, il y a apparition d'un ou deux fichiers nommes decrypt_instruction...alors j'ai surfe sur google et j'ai fait ce qu'on me conseillait, cad, ccleaner, roguekiller, malwarebytes et antivirus nod32..

Je pense avoir supprime le virus, mais mes fichiers sont toujours cryptes...je cherche un moyen, s'il y en a un, pour recuperer tous mes fichiers...j'en ai des milliers....j'ai essaye Anticryptorbit...il supprime mes fichiers cryptes...j'ai encore essaye Shadowexplorer...il me propose de restaurer mes fichiers a une version precedente, mais il ne me propose que des versions datees d'aujourd'hui...et comme j'ai le virus depuis 3 jours..ben ca ne change rien..j'ai aussi essaye de les restaurer a une version anterieure via le click droit puis proprietes...mais il ne trouve pas de version anterieure...

Donc voila, je m'en remets a vous..en esperant que l'un de vous aura la solution....

Un tout grand merci par avance.....

[guugues]

Hello !

Il s'agit à priori du Ransomware Cryptowall, dont une description est faite par malekal à cette adresse.

Et malheureusement, vu que les manipulations que tu as faites n'ont pas été concluantes, je crains fort que tes fichiers soient définitivement perdus ...

Tout ce que je peux te proposer à l'heure actuelle, c'est de contrôler le PC pour supprimer les restes de l'infection et également vérifier s'il n'y a pas d'autres malwares :


OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
sptd.sys
tcpip.sys
tdx.sys
volsnap.sys
cmd.exe
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[joliebrune]

J'avais prevu le coup..avant de quitter le bureau j'ai sauvegarde les deux fichiers..que voila....
Merci de m'aider en tous cas....

[joliebrune]

coucou y'a qqun??

[joliebrune]

up

[guugues]

Bonjour,

Je te rappelle que nous sommes tous des bénévoles ici, avec une vie hors écran, une vie de famille, une vie professionnelle ... Alors merci d'attendre un peu, je ne suis pas constamment collé devant mon écran à analyser des rapports ...

Aussi, multiplier les demandes d'aide (notamment ici, ou encore là ...), c'est le truc à ne pas faire : suivre plusieurs procédures de désinfection en même temps et sur différents forums, il y a un risque de planter le PC et accessoirement, c'est un peu irrespectueux envers les personnes qui te prennent en charge sur tel ou tel forum ...

Alors soit tu continues ici, et tu arrêtes sur les deux autres, soit tu continues sur l'un des deux autres et tu arrêtes ici, à toi de me dire.

++

[joliebrune]

Desole de vous avoir pressé......

[guugues]

Bonjour,

Donc tu continues sur quel forum ?