Cryptowall et tor virus
Résolu
Didikop
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Mon ordinateur sous windows vista est infecté par Tor et cryptowall. Je souhaite aussi désinstaller YAC Cleaner.
D'avance merci pour votre aide.
Didikop
Mon ordinateur sous windows vista est infecté par Tor et cryptowall. Je souhaite aussi désinstaller YAC Cleaner.
D'avance merci pour votre aide.
Didikop
A voir également:
- Cryptowall et tor virus
- Virus mcafee - Accueil - Piratage
- Tor usb ccm - Télécharger - Confidentialité
- Virus facebook demande d'amis - Accueil - Facebook
- Faux message virus iphone ✓ - Forum Virus
- Message virus iphone site adulte - Forum iPhone
8 réponses
Pas de problème :)
Au fait, Cryptowall va pas mal par des mails avec des pièces jointes zippés ou des liens vers des zips.
Fais gaffe, si c'est venu par là.
Au fait, Cryptowall va pas mal par des mails avec des pièces jointes zippés ou des liens vers des zips.
Fais gaffe, si c'est venu par là.
Salut,
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:OTL
SRV - [2014/06/06 11:25:19 | 000,118,048 | ---- | M] (Elex do Brasil Participações Ltda) [Auto | Running] -- C:\Program Files\iSafe\iSafeSvc.exe -- (iSafeService)
DRV - [2014/06/06 11:29:11 | 000,061,784 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeKrnlKit.sys -- (iSafeKrnlKit)
DRV - [2014/06/06 11:29:11 | 000,040,064 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys -- (iSafeKrnlBoot)
DRV - [2014/06/06 11:28:49 | 000,211,160 | ---- | M] (Elex do Brasil Participações Ltda) [File_System | System | Running] -- C:\Program Files\iSafe\iSafeKrnl.sys -- (iSafeKrnl)
DRV - [2014/06/03 05:50:41 | 000,052,056 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
[2014/06/09 20:13:29 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\eCyber
[2014/06/09 20:12:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[2014/06/09 20:12:23 | 000,040,064 | ---- | C] (Elex do Brasil Participações Ltda) -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys
[2014/06/09 20:11:44 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2014/06/09 20:11:30 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\iSafe
ActiveX: {OBW21020-8263-48T0-7401-1J6083YT310F} - C:\Windows\system32\WindowsUpdatersystem\WindowsDefender.exe Restart
ActiveX: {CD6C39BB-4F37-ABFF-49A6-B45CBC7ECFAE} - C:\Users\Cendrine\AppData\Roaming\update.bin\L2W5SPCTUA.exe
[2014/05/19 17:59:19 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:59:19 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:58 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:58 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:35 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:35 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.URL
[2014/05/19 16:45:39 | 000,008,148 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.HTML
[2014/05/19 16:45:39 | 000,000,280 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.URL
[2014/06/09 20:12:28 | 000,001,537 | ---- | M] () -- C:\Users\Public\Desktop\YAC.lnk
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:OTL
SRV - [2014/06/06 11:25:19 | 000,118,048 | ---- | M] (Elex do Brasil Participações Ltda) [Auto | Running] -- C:\Program Files\iSafe\iSafeSvc.exe -- (iSafeService)
DRV - [2014/06/06 11:29:11 | 000,061,784 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeKrnlKit.sys -- (iSafeKrnlKit)
DRV - [2014/06/06 11:29:11 | 000,040,064 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys -- (iSafeKrnlBoot)
DRV - [2014/06/06 11:28:49 | 000,211,160 | ---- | M] (Elex do Brasil Participações Ltda) [File_System | System | Running] -- C:\Program Files\iSafe\iSafeKrnl.sys -- (iSafeKrnl)
DRV - [2014/06/03 05:50:41 | 000,052,056 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
[2014/06/09 20:13:29 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\eCyber
[2014/06/09 20:12:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[2014/06/09 20:12:23 | 000,040,064 | ---- | C] (Elex do Brasil Participações Ltda) -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys
[2014/06/09 20:11:44 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2014/06/09 20:11:30 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\iSafe
ActiveX: {OBW21020-8263-48T0-7401-1J6083YT310F} - C:\Windows\system32\WindowsUpdatersystem\WindowsDefender.exe Restart
ActiveX: {CD6C39BB-4F37-ABFF-49A6-B45CBC7ECFAE} - C:\Users\Cendrine\AppData\Roaming\update.bin\L2W5SPCTUA.exe
[2014/05/19 17:59:19 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:59:19 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:58 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:58 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:35 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:35 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.URL
[2014/05/19 16:45:39 | 000,008,148 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.HTML
[2014/05/19 16:45:39 | 000,000,280 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.URL
[2014/06/09 20:12:28 | 000,001,537 | ---- | M] () -- C:\Users\Public\Desktop\YAC.lnk
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Change tes mots de passe WEB (Facebook etc) - ils ont été volés.
Pour la récupération des documents, il n'y a malheureusement pas de solutions.
Pour la récupération des documents, il n'y a malheureusement pas de solutions.
Bonjour,
J'ai modifié tout mes mots de passe depuis un autre ordinateur. Par contre j'ai toujours une page internet et un fichier texte Cryptowall qui s'affichent automatiquement au démarage de l'ordi. Est il possible de les supprimer ?
Merci d'avance
J'ai modifié tout mes mots de passe depuis un autre ordinateur. Par contre j'ai toujours une page internet et un fichier texte Cryptowall qui s'affichent automatiquement au démarage de l'ordi. Est il possible de les supprimer ?
Merci d'avance
