Infection Ransomware How_Decrypt

Résolu/Fermé
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014 - 8 avril 2014 à 09:02
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014 - 8 avril 2014 à 22:44
Bonjour,

Nous avons une infection par un ransomware.

Nous pensons être infecté par un ransomware qui installe trois fichiers How_Decrypt.txt
(1 lien vers une page Web, 1 Txt, et 1 fichier ext inconnue)
Il n'y a pas de modification des extensions type, juste cryptage des fichiers xls, tif, doc etc...

https://pjjoint.malekal.com/files.php?id=OTL_20140407_l12h10t12f8c5

https://pjjoint.malekal.com/files.php?id=20140407_y12y11o7m13z13

Pouvez-vous nous confirmer ce que nous avons et si nous pouvons nous en débarasser sans tout réinstaller ?

Par avance Merci,
A voir également:

19 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 09:06
Salut,

Le PC est encore infecté.
Je te fais un script de suppression pour OTL.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 09:11
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKLM..\Run: [aaaaaaaa] C:\Windows\SysWOW64\aaaaaaaa.exe ()
O4 - HKLM..\Run: [Regedit32] C:\Windows\SysWOW64\regedit.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [aaaaaaaa] C:\Users\Pierre\aaaaaaaa.exe File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe ()
:files
C:\Users\Pierre\disetypkidoz.exe
C:\Users\Pierre\bozlosjorodo.exe

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


puis :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.


0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 09:26
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Windows\SysWOW64\aaaaaaaa.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 deleted successfully.
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe moved successfully.
File C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe not found.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe moved successfully.
========== FILES ==========
C:\Users\Pierre\disetypkidoz.exe moved successfully.
C:\Users\Pierre\bozlosjorodo.exe moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 04082014_092018

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 09:42
Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/04/2014
Heure de l'examen: 09:38:58
Fichier journal: Antimalware.txt
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Pierre

Type d'examen: Examen "Personnalisé"
Résultat: Terminé
Objets analysés: 291318
Temps écoulé: 1 min, 43 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 4
Trojan.FakePDF, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.FakePDF, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.Agent, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Regedit32, C:\Windows\system32\regedit.exe, , [6c75b4733c3feb4b2b3558a3d82ab24e]
Trojan.Agent.US, HKU\S-1-5-21-3924660417-146243640-2625110223-1119-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|bozlosjorodo, C:\Users\Pierre\bozlosjorodo.exe, , [538e6abd0477a19591c2ff613ec439c7]

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 2
Trojan.FakePDF, C:\ProgramData\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888],
Trojan.Agent.Gen, C:\Users\Pierre\AppData\Local\Temp\MSWQC.tmp, , [a43db27556252f077d1fe976f40e1fe1],

Secteurs physiques: 0
(No malicious items detected)


(end)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 09:45
Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/04/2014
Heure de l'examen: 09:46:12
Fichier journal:
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: pierre

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 301752
Temps écoulé: 4 min, 16 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 6
PUP.Optional.OptimumInstaller.A, C:\$RECYCLE.BIN\S-1-5-21-3924660417-146243640-2625110223-1119\$R1D0EM6.exe, Mis en quarantaine, [2eb3a285dd9eea4cb2dda99df908e917],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\msi6843.exe, Mis en quarantaine, [02df4ed995e6f640ffaa987408faac54],
Trojan.Agent.ST3, C:\Users\Pierre\AppData\Local\Temp\ERY4FC7\n19.exe, Mis en quarantaine, [538ea0876615d26419dc779654b0946c],
Spyware.Passwords, C:\Users\Pierre\AppData\Local\Temp\KPUF6B7\217_id3.exe, Mis en quarantaine, [528f9790c9b29f97e8bf392ee918ce32],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\SMTDC45\217id3.exe, Mis en quarantaine, [a23fb7704f2c1422941545c709f910f0],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\ZOO5C7D\217id3.exe, Mis en quarantaine, [05dc35f21863bd795a4fc844f50d2cd4],

Secteurs physiques: 0
(No malicious items detected)


(end)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 09:52
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 10:00
Je pense que c'est parce que la première fois, je n'ai pas dû lancer le scan avec les bonnes options. Maintenant, quand je relance L'antimalware, il ne trouve plus rien.

Dois-je réutiliser le script personnalisé suivant pour OLT :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 10:32
pas bon pour OTL,

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 10:53
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 11:12
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [disetypkidoz] C:\Users\Pierre\disetypkidoz.exe File not found
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [Kyycw] C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 13751 = c:\progra~3\mschpimz.exe
:files
C:\Users\Pierre\AppData\Local\Temp\Inylq
:reg
[-HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"13751"=-


* poste le rapport ici

~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 11:27
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\disetypkidoz deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\Kyycw deleted successfully.
File C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\13751 deleted successfully.
========== FILES ==========
C:\Users\Pierre\AppData\Local\Temp\Inylq folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run not found.

OTL by OldTimer - Version 3.2.69.0 log created on 04082014_112156
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:00
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:11
Par contre, j'ai maintenant en bas de mon écran une indication que je n'avais pas auparavant : Mode Test Windows 7 Numéro 7601

Qu'est ce que c'est ?
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:13
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:14
vais essayer cela..

Qu'e'st ce qu'il l'a activé ?
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:21
c'est parti, la manip a bien fonctionné.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/04/2014 à 12:23
ok, il faut que tu changes tous tes mots de passe (mail, facebook, jeux etc)
ils ont été volés.

Pour la récupération des documents, y a ce lien : https://www.malekal.com/virus-securite/ransomwares/
avec des solutions, mais pas sûr que ça fonctionne bien.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 12:29
Je n'arrivais pas à réinstaller Panda Antivirus, je vais essayer de le remettre maintenant, en espérant que cela ira pour la suite.


Merci infiniment pour l'efficacité et la rapidité des réponses.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/04/2014 à 13:07
Pas de problème :)

Attention quand on te propose des mises à jour Flash/Java en te proposant un fichier à ouvrir.

Fais des scans Malwarebytes en le mettant à jour ces prochains jours.

~~

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 17:40
Désolé mais je viens de m'apercevoir que j'ai encore une petite trace dans Outlook au niveau des insertions de signatures de mail.
Cependant lorsque je vais sur la modificaiton de mes signatures HOW_DECRYPT
n'apparait plus.

Que conseilleriez-vous Désinstaller/Réinstaller Office ou autre ?

MErci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2014 à 18:03
Jai pas compris quel était le problème avec la signature.
0
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014
8 avril 2014 à 22:44
Dans la liste des signatures paramétrées et enregistrées dans Outlook, il y en a une qui s'appelle HOW_DECRYPT que je ne peux pas enlever dans le gestionnaire des signatures, et je ne sais pas par où elle est entrée et donc ou la retirer.
0