Discussion :

[Maluca]

Bonjour à tous,

Je me permets d'ouvrir une nouvelle discussion sur le sujet même s'il en existe déjà pas mal, mais je n'arrive pas a y trouver de solution.

Pour vous expliquer rapidement, j'ai attrapé un virus qui a transformé mes fichiers / dossiers qui étaient sur mon bureau (pas sur une clé USB ni un disque dur externe) en raccourcis. Je n'arrive plus à les ouvrir pourtant ils existent toujours (ailleurs et plus en .xlsx mais en raccourcis que je ne peux ouvrir).

J'ai lancé plusieurs anti virus + suivi pas mal de liens pour nettoyer mes clés USB mais je n'ai pas la clé qui a contaminé mon PC car elle appartenait à un ami.

J'ai aussi suivi pas mal de conseils trouvés sur différents forums (USBFix par exemple : rapport en pj ou encore Farbar Recovery Scan Tool (FRST) : rapport Shortcut.txt, FRST.txt et Addition.txt aussi en pj en zip).

J'ai aussi dans la barre de commande en suivant les instructions suivantes :

- lancer l'invite de commande
- y saisir le code cmd
- une invite de commande dos est ouverte
- y saisir le nom du réportoire concerné attribué par votre machine après sa connexion puis tapez entrée
- saisir le code suivant: help attrib
- une liste s'affiche avec des instructions précices
- saisir le code: attrib -r -a -s -h /s /d puis entrée
- le système va exécuter votre instruction pendant un laps de temps quelque peu pas très long
- saisir le code: exit

Mais sans succès non plus.

J'ai donc essayé pas mal de méthodes trouvées sur le net mais je n'arrive toujours pas à récupérer mes fichiers.

Si quelqu'un a une solution pour moi, ce serait vraiment top !

En tout cas merci d'avance,

Bonne journée

[hackoofr]

SVP édites ton premier message et y ajoutes aussi les deux autres rapports de FRST compressés avec winrar ou bien winzip
FRST.txt et Addition.txt

[Maluca]

SVP édites ton premier message et y ajoutes aussi les deux autres rapports de FRST compressés avec winrar ou bien winzip
FRST.txt et Addition.txt

c'est fait merci

[hackoofr]

Uploader ce fichier dans le site de https://www.virustotal.com qui se localise a cet emplaçement C:\Users\maril\AppData\Roaming\Dulapa\updtask.exe et envoyer moi son résultat.
Puis copier et coller ce code batch dans votre notepad et enregistrer le sous le nom de ReadFile.bat et exécuter le par double clique pour lire le contenu de ces deux fichiers.

Code BAT :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
@echo off
Type "C:\ProgramData\{B40A7169-3E48-FBAF-B88E-65ED22CCEE23}\fota.txt">fota1.txt
Type "C:\ProgramData\{B7E57286-3DA7-F840-BB61-66022123EDCC}\fota.txt">fota2.txt

et envoyer moi les deux fichiers fota1.txt et fota2.txt

[Maluca]

J'ai donc été sur le site www.virustotal.com, je n'ai pas trouvé de fichier nommé : updtask.exe dans le dossier C:\Users\maril\AppData\Roaming\Dulapa


J'ai donc analysé les 3 fichiers présents dans ce dossier :

1er fichier : info.dat
https://www.virustotal.com/fr/file/7...is/1536855817/

2ème fichier : STTL.DAT
https://www.virustotal.com/fr/file/a...is/1536855931/

3ème fichier : TTL.DAT

https://www.virustotal.com/fr/file/b...is/1536856051/

(ces liens suffisent ils ou voulez vous les résultats d'une autre manière ?)

J'ai ensuite copier coller le code batch, j'ai enregistré et j'ai ouvert les 2 fichiers en double cliquant


J'espère ne rien avoir oublié, désolée je ne suis pas vraiment calé comme vous pouvez le voir

Merci encore

[hackoofr]

Le fichier exécutable est caché, c'est pour ça que vous ne pouvez pas le trouver !
Poster moi le contenu de fota1.txt et fota2.txt

[Maluca]

Le fichier exécutable est caché, c'est pour ça que vous ne pouvez pas le trouver !
Poster moi le contenu de fota1.txt et fota2.txt

Les voici en pj

[hackoofr]

Soyez très patiente SVP, je suis entrain de collecter toutes les informations qui vont nous aider par la suite à identifier ce virus, car, j'ai constaté d'après les rapports que c'est un virus crypté donc, je dois l'analyser à fond pour voir ce qu'il fait exactement après son décryptage !

Télécharger depuis la pièce-jointe puis exécuter le program Process_Scanner_Encoded.bat
Quand le scan est terminé, il va créer sur votre bureau un fichier.rar compressé sous cette forme Log2Check.rar
Alors envoyer-moi ce fichier par pièce-jointe dans votre prochaine réponse.

[Maluca]

voici le fichier demandé en pj

je me doute que cela doit être un gros boulot… mais pas d'urgence si vous voulez continuer plus tard c'est déjà tellement gentil de votre part
je vous suis extrêmement reconnaissante, vraiment merci pour tout

[hackoofr]

On va passer maintenant au nettoyage avec FRST, donc il faut bien suivre les étapes pas à pas
Copier et coller ce code dans votre bloc-notes (Notepad) et enregistrer le sous le nom de fixlist.txt et placer le dans le même dossier que le programme FRST et cliquer une seule fois sur le bouton Corriger et attendre jusqu'à la fin du nettoyage.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
BHO-x32: Pas de nom -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Pas de fichier
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Pas de fichier]
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [Pas de fichier]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\.DEFAULT -> {2211d4a5-48d0-47f5-a7cd-81e861470f7f} URL = 
GroupPolicy: Restriction ? <==== ATTENTION
DPF: HKLM-x32 {8FEFF364-6A5F-4966-A917-A3AC28411659} hxxp://download.sopcast.com/download/SOPCORE.CAB
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
Search the Web (Yahoo) (HKLM-x32\...\{793391F3-29B3-4073-9833-30F348B3E373}) (Version:  - ) <==== ATTENTION
Task: {D50F46B4-4AEC-4635-A623-C4ED31335434} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Task: {E4DC3E86-2717-451D-8739-E0986BE2C808} - System32\Tasks\{6DF20934-C842-3000-66B5-7086B6B2ECDA} => C:\Users\maril\AppData\Roaming\Dulapa\updtask.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Secured Yahoo Powered todic.job => Wscript.exe  C:\ProgramData\{B40A7169-3E48-FBAF-B88E-65ED22CCEE23}\fota.txt <==== ATTENTION
Task: C:\WINDOWS\Tasks\Yahoo! Powered todic.job => Wscript.exe  C:\ProgramData\{B7E57286-3DA7-F840-BB61-66022123EDCC}\fota.txt <==== ATTENTION
Task: C:\WINDOWS\Tasks\{6DF20934-C842-3000-66B5-7086B6B2ECDA}.job => C:\Users\maril\AppData\Roaming\Dulapa\updtask.exe <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ContextMenuHandlers1: [ASZip] -> {d03d3e68-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Pas de fichier
ContextMenuHandlers1: [ASZip64] -> {d03d3e78-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Pas de fichier
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
ContextMenuHandlers6: [ASZip] -> {d03d3e68-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Pas de fichier
ContextMenuHandlers6: [ASZip64] -> {d03d3e78-0f44-3d45-b15f-bcfd8a8b4c7e} =>  -> Pas de fichier
Task: {D50F46B4-4AEC-4635-A623-C4ED31335434} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
RemoveProxy:
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: bitsadmin /reset /allusers
End

Si vous avez une erreur « fixlist.txt not found », cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur le même dossier ensemble.

Si l'outil nécessite un redémarrage, assurez-vous de laisser le système redémarrer normalement. Ensuite, laissez l'outil compléter sa course.
Une fois terminé, FRST générera un journal sur le bureau (Fixlog.txt). Veuillez l'envoyer à votre prochaine réponse.

NB : Ce script a été écrit spécifiquement pour cet utilisateur, pour être utilisé sur cette machine particulière.

[Maluca]

Alors j'ai suivi scrupuleusement vos instructions, l'ordinateur a redémarré et le bloc note s'est ouvert avec ceci :

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Nom de cette note : desktop.ini

Je n'arrive pas a vous envoyer cette note en pj comme les autres, c'est pourquoi je vous ai collé le texte ci-dessus.

J'ai vérifié le dossier ou il y avait les autres fichiers et notes que nous avions enregistré auparavant mais ce dossier est vide ! il ni a plus rien du tout dedans. Même pas le logiciel FRST

[hackoofr]

FRST générera un journal sur le bureau (Fixlog.txt)

[Maluca]

FRST générera un journal sur le bureau (Fixlog.txt)

très bien je laisse l'ordinateur allumé
pour l'instant pas de ficher sur le bureau
merci encore

[hackoofr]

très bien je laisse l'ordinateur allumé
pour l'instant pas de ficher sur le bureau
merci encore

Avez-vous bien chercher sur le bureau ce fichier fixlog.txt ?

[Maluca]

Avez-vous bien chercher sur le bureau ce fichier fixlog.txt ?

oui j'ai regardé partout, je n'ai pas grand chose sur le bureau mais j'ai tout de même regardé aussi dans les 6 dossiers sur le bureau

toujours rien. voulez vous que je recommence tout depuis le début ? je peux suivre vos instructions à nouveau

[hackoofr]

oui j'ai regardé partout, je n'ai pas grand chose sur le bureau mais j'ai tout de même regardé aussi dans les 6 dossiers sur le bureau

toujours rien. voulez vous que je recommence tout depuis le début ? je peux suivre vos instructions à nouveau

Recommencez un nouveau scan avec FRST et envoyer les 3 rapports ensemble dans un fichier compressé de type .RAR (FRST.txt + Addition.txt +Shortcut.txt)

[Maluca]

Recommencez un nouveau scan avec FRST et envoyer les 3 rapports ensemble dans un fichier compressé de type .RAR (FRST.txt + Addition.txt +Shortcut.txt)

voici

[hackoofr]

Voici le nouveau fixlist.txt

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
Search the Web (Yahoo) (HKLM-x32\...\{793391F3-29B3-4073-9833-30F348B3E373}) (Version:  - ) <==== ATTENTION
RemoveProxy:
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: bitsadmin /reset /allusers
End

[Maluca]

Voici le nouveau fixlist.txt

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Start
CreateRestorePoint:
Closeprocesses:
Emptytemp:
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
Search the Web (Yahoo) (HKLM-x32\...\{793391F3-29B3-4073-9833-30F348B3E373}) (Version:  - ) <==== ATTENTION
RemoveProxy:
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
CMD: bitsadmin /reset /allusers
End

bonjour

le voici !!

[hackoofr]

Maintenant télécharger https://www.malwarebytes.com/adwcleaner/ et https://fr.malwarebytes.com/mwb-download/thankyou
Puis faites un scan complet de ces deux produits et envoyer moi ensuite leurs rapports dans un fichier compressé de type winrar