Infection Ransomware How_DecryptRésolu/Fermé

Question

Bonjour, 

Nous avons une infection par un ransomware. 
 
Nous pensons être infecté par un ransomware qui installe trois fichiers How_Decrypt.txt
 (1 lien vers une page Web, 1 Txt, et 1 fichier ext inconnue) 
Il n'y a pas de modification des extensions type, juste cryptage des fichiers xls, tif, doc etc...
 
https://pjjoint.malekal.com/files.php?id=OTL_20140407_l12h10t12f8c5 

https://pjjoint.malekal.com/files.php?id=20140407_y12y11o7m13z13 

Pouvez-vous nous confirmer ce que nous avons et si nous pouvons nous en débarasser sans tout réinstaller ?
 
Par avance Merci,

Malekal_morte- · Answer

Salut,

Le PC est encore infecté.
Je te fais un script de suppression pour OTL.

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKLM..\Run: [aaaaaaaa] C:\Windows\SysWOW64\aaaaaaaa.exe ()
O4 - HKLM..\Run: [Regedit32] C:\Windows\SysWOW64\regedit.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [aaaaaaaa] C:\Users\Pierre\aaaaaaaa.exe File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe ()
:files
C:\Users\Pierre\disetypkidoz.exe
C:\Users\Pierre\bozlosjorodo.exe

* poste le rapport ici 


~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


puis :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

CORRUE · Answer

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\aaaaaaaa deleted successfully.
C:\Windows\SysWOW64\aaaaaaaa.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Regedit32 deleted successfully.
File move failed. C:\Windows\SysWOW64egedit.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\aaaaaaaa deleted successfully.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe moved successfully.
File C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe not found.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe moved successfully.
========== FILES ==========
C:\Users\Pierre\disetypkidoz.exe moved successfully.
C:\Users\Pierre\bozlosjorodo.exe moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_092018

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64egedit.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

CORRUE · Answer

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/04/2014
Heure de l'examen: 09:38:58
Fichier journal: Antimalware.txt
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Pierre

Type d'examen: Examen "Personnalisé"
Résultat: Terminé
Objets analysés: 291318
Temps écoulé: 1 min, 43 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 4
Trojan.FakePDF, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.FakePDF, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.Agent, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Regedit32, C:\Windows\system32\regedit.exe, , [6c75b4733c3feb4b2b3558a3d82ab24e]
Trojan.Agent.US, HKU\S-1-5-21-3924660417-146243640-2625110223-1119-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|bozlosjorodo, C:\Users\Pierre\bozlosjorodo.exe, , [538e6abd0477a19591c2ff613ec439c7]

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 2
Trojan.FakePDF, C:\ProgramData\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888], 
Trojan.Agent.Gen, C:\Users\Pierre\AppData\Local\Temp\MSWQC.tmp, , [a43db27556252f077d1fe976f40e1fe1], 

Secteurs physiques: 0
(No malicious items detected)


(end)

CORRUE · Answer

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/04/2014
Heure de l'examen: 09:46:12
Fichier journal: 
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: pierre

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 301752
Temps écoulé: 4 min, 16 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 6
PUP.Optional.OptimumInstaller.A, C:\$RECYCLE.BIN\S-1-5-21-3924660417-146243640-2625110223-1119\$R1D0EM6.exe, Mis en quarantaine, [2eb3a285dd9eea4cb2dda99df908e917], 
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\msi6843.exe, Mis en quarantaine, [02df4ed995e6f640ffaa987408faac54], 
Trojan.Agent.ST3, C:\Users\Pierre\AppData\Local\Temp\ERY4FC7
19.exe, Mis en quarantaine, [538ea0876615d26419dc779654b0946c], 
Spyware.Passwords, C:\Users\Pierre\AppData\Local\Temp\KPUF6B7\217_id3.exe, Mis en quarantaine, [528f9790c9b29f97e8bf392ee918ce32], 
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\SMTDC45\217id3.exe, Mis en quarantaine, [a23fb7704f2c1422941545c709f910f0], 
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\ZOO5C7D\217id3.exe, Mis en quarantaine, [05dc35f21863bd795a4fc844f50d2cd4], 

Secteurs physiques: 0
(No malicious items detected)


(end)

Malekal_morte- · Answer

Bizarre que ces fichiers soient encore là car les détections sont super bonnes :
https://www.virustotal.com/gui/file/6935609b7d0b1921f48af946b383ac40d8432aa3aa45d6f2d50004b68715ef4d
https://www.virustotal.com/gui/file/813ea88fec82a063041c52cb8735fc0548ca67de6f85bb035b16d7eef4b5385b
https://www.virustotal.com/gui/file/e95a1ebffc2780fab58b25d90e56aa4c3b8b78db7a487da81e010bd4609c741a 
https://www.virustotal.com/gui/file/bfd9dc876765fb3066d9c8b1067215807f2b092f52d06b83c50664bb2d1aec92

Refais un scan OTL et donne les rapports par pjjoint.

CORRUE · Answer

Je pense que c'est parce que la première fois, je n'ai pas dû lancer le scan avec les bonnes options. Maintenant, quand je relance L'antimalware, il ne trouve plus rien.

Dois-je réutiliser le script personnalisé suivant pour OLT : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\consrv.dll 
%systemroot%\system32\*.dll /lockedfiles 
%windir%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
services.exe 
wininit.exe 
/md5stop 
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
 HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s 
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s 
CREATERESTOREPOINT 
nslookup https://www.google.fr/?gws_rd=ssl /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs

CORRUE · Answer

https://pjjoint.malekal.com/files.php?id=20140408_f9k7z8v5m6

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [disetypkidoz] C:\Users\Pierre\disetypkidoz.exe File not found 
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [Kyycw] C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe ()  
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 13751 = c:\progra~3\mschpimz.exe
:files
C:\Users\Pierre\AppData\Local\Temp\Inylq
:reg
[-HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"13751"=-
 

* poste le rapport ici 

~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

CORRUE · Answer

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\disetypkidoz deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\Kyycw deleted successfully.
File C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\13751 deleted successfully.
========== FILES ==========
C:\Users\Pierre\AppData\Local\Temp\Inylq folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_112156

CORRUE · Answer

https://pjjoint.malekal.com/files.php?id=20140408_h6d5l13l10o11

CORRUE · Answer

Par contre, j'ai maintenant en bas de mon écran une indication que je n'avais pas auparavant : Mode Test Windows 7 Numéro 7601

Qu'est ce que c'est ?

CORRUE · Answer

https://support.microsoft.com/fr-fr/help/2421786

CORRUE · Answer

vais essayer cela..

Qu'e'st ce qu'il l'a activé ?

CORRUE · Answer

c'est parti, la manip a bien fonctionné.

Malekal_morte- · Answer

ok, il faut que tu changes tous tes mots de passe (mail, facebook, jeux etc)
ils ont été volés. 

Pour la récupération des documents, y a ce lien : https://www.malekal.com/virus-securite/ransomwares/
avec des solutions, mais pas sûr que ça fonctionne bien.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CORRUE · Answer

Je n'arrivais pas à réinstaller Panda Antivirus, je vais essayer de le remettre maintenant, en espérant que cela ira pour la suite.


Merci infiniment pour l'efficacité et la rapidité des réponses.

Malekal_morte- · Answer

Pas de problème :)

Attention quand on te propose des mises à jour Flash/Java en te proposant un fichier à ouvrir.

Fais des scans Malwarebytes en le mettant à jour ces prochains jours.

~~

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

CORRUE · Answer

Désolé mais je viens de m'apercevoir que j'ai encore une petite trace dans Outlook au niveau des insertions de signatures de mail.
Cependant lorsque je vais sur la modificaiton de mes signatures HOW_DECRYPT
n'apparait plus.

Que conseilleriez-vous Désinstaller/Réinstaller Office ou autre ?

MErci

Infection Ransomware How_Decrypt

19 réponses

Discussions similaires

Newsletters