Cryptowall et tor virus
Résolu/Fermé
Didikop
-
9 juin 2014 à 21:33
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 juin 2014 à 22:04
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 juin 2014 à 22:04
A voir également:
- Cryptowall et tor virus
- Telecharger tor - Télécharger - Confidentialité
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Virus mcafee - Accueil - Piratage
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
10 juin 2014 à 22:04
10 juin 2014 à 22:04
Pas de problème :)
Au fait, Cryptowall va pas mal par des mails avec des pièces jointes zippés ou des liens vers des zips.
Fais gaffe, si c'est venu par là.
Au fait, Cryptowall va pas mal par des mails avec des pièces jointes zippés ou des liens vers des zips.
Fais gaffe, si c'est venu par là.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
9 juin 2014 à 21:35
9 juin 2014 à 21:35
Salut,
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
9 juin 2014 à 22:29
9 juin 2014 à 22:29
* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:OTL
SRV - [2014/06/06 11:25:19 | 000,118,048 | ---- | M] (Elex do Brasil Participações Ltda) [Auto | Running] -- C:\Program Files\iSafe\iSafeSvc.exe -- (iSafeService)
DRV - [2014/06/06 11:29:11 | 000,061,784 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeKrnlKit.sys -- (iSafeKrnlKit)
DRV - [2014/06/06 11:29:11 | 000,040,064 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys -- (iSafeKrnlBoot)
DRV - [2014/06/06 11:28:49 | 000,211,160 | ---- | M] (Elex do Brasil Participações Ltda) [File_System | System | Running] -- C:\Program Files\iSafe\iSafeKrnl.sys -- (iSafeKrnl)
DRV - [2014/06/03 05:50:41 | 000,052,056 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
[2014/06/09 20:13:29 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\eCyber
[2014/06/09 20:12:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[2014/06/09 20:12:23 | 000,040,064 | ---- | C] (Elex do Brasil Participações Ltda) -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys
[2014/06/09 20:11:44 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2014/06/09 20:11:30 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\iSafe
ActiveX: {OBW21020-8263-48T0-7401-1J6083YT310F} - C:\Windows\system32\WindowsUpdatersystem\WindowsDefender.exe Restart
ActiveX: {CD6C39BB-4F37-ABFF-49A6-B45CBC7ECFAE} - C:\Users\Cendrine\AppData\Roaming\update.bin\L2W5SPCTUA.exe
[2014/05/19 17:59:19 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:59:19 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:58 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:58 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:35 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:35 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.URL
[2014/05/19 16:45:39 | 000,008,148 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.HTML
[2014/05/19 16:45:39 | 000,000,280 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.URL
[2014/06/09 20:12:28 | 000,001,537 | ---- | M] () -- C:\Users\Public\Desktop\YAC.lnk
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.
:OTL
SRV - [2014/06/06 11:25:19 | 000,118,048 | ---- | M] (Elex do Brasil Participações Ltda) [Auto | Running] -- C:\Program Files\iSafe\iSafeSvc.exe -- (iSafeService)
DRV - [2014/06/06 11:29:11 | 000,061,784 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeKrnlKit.sys -- (iSafeKrnlKit)
DRV - [2014/06/06 11:29:11 | 000,040,064 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys -- (iSafeKrnlBoot)
DRV - [2014/06/06 11:28:49 | 000,211,160 | ---- | M] (Elex do Brasil Participações Ltda) [File_System | System | Running] -- C:\Program Files\iSafe\iSafeKrnl.sys -- (iSafeKrnl)
DRV - [2014/06/03 05:50:41 | 000,052,056 | ---- | M] (Elex do Brasil Participações Ltda) [Kernel | System | Running] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
[2014/06/09 20:13:29 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\eCyber
[2014/06/09 20:12:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[2014/06/09 20:12:23 | 000,040,064 | ---- | C] (Elex do Brasil Participações Ltda) -- C:\Windows\System32\drivers\iSafeKrnlBoot.sys
[2014/06/09 20:11:44 | 000,000,000 | ---D | C] -- C:\Program Files\iSafe
[2014/06/09 20:11:30 | 000,000,000 | ---D | C] -- C:\Users\Cendrine\AppData\Roaming\iSafe
ActiveX: {OBW21020-8263-48T0-7401-1J6083YT310F} - C:\Windows\system32\WindowsUpdatersystem\WindowsDefender.exe Restart
ActiveX: {CD6C39BB-4F37-ABFF-49A6-B45CBC7ECFAE} - C:\Users\Cendrine\AppData\Roaming\update.bin\L2W5SPCTUA.exe
[2014/05/19 17:59:19 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:59:19 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:58 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:58 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Roaming\DECRYPT_INSTRUCTION.URL
[2014/05/19 17:58:35 | 000,008,148 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.HTML
[2014/05/19 17:58:35 | 000,000,280 | ---- | M] () -- C:\Users\Cendrine\AppData\Local\DECRYPT_INSTRUCTION.URL
[2014/05/19 16:45:39 | 000,008,148 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.HTML
[2014/05/19 16:45:39 | 000,000,280 | ---- | M] () -- C:\ProgramData\DECRYPT_INSTRUCTION.URL
[2014/06/09 20:12:28 | 000,001,537 | ---- | M] () -- C:\Users\Public\Desktop\YAC.lnk
Clic sur Correction.
* poste le rapport ici
Redémarre l'ordinateur
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
9 juin 2014 à 22:53
9 juin 2014 à 22:53
Change tes mots de passe WEB (Facebook etc) - ils ont été volés.
Pour la récupération des documents, il n'y a malheureusement pas de solutions.
Pour la récupération des documents, il n'y a malheureusement pas de solutions.
Bonjour,
J'ai modifié tout mes mots de passe depuis un autre ordinateur. Par contre j'ai toujours une page internet et un fichier texte Cryptowall qui s'affichent automatiquement au démarage de l'ordi. Est il possible de les supprimer ?
Merci d'avance
J'ai modifié tout mes mots de passe depuis un autre ordinateur. Par contre j'ai toujours une page internet et un fichier texte Cryptowall qui s'affichent automatiquement au démarage de l'ordi. Est il possible de les supprimer ?
Merci d'avance
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
10 juin 2014 à 09:15
10 juin 2014 à 09:15
oui Menu Démarrer / tous les programmes / Démarrages
tu supprimes les raccourcis Cryptowall.
tu supprimes les raccourcis Cryptowall.
