PC infecté par Ransomware

Résolu/Fermé
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016 - 20 juin 2015 à 11:01
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 juin 2015 à 17:37
Bonjour à tous,
Une amie à récemment été infectée par un Ransmoware qui à crypté l'intégralité de ses fichiers.
Je m'adresse donc à vous pour avoir de l'aide sur la désinfection et, si possible (mais apparemment c'est pas souvent le cas) la récupération des fichiers.

Un scan FRST a été fait, les rapports sont disponibles ici:

https://www.cjoint.com/c/EFui63dXWmb
https://www.cjoint.com/c/EFui7EsomQb
https://www.cjoint.com/c/EFui731MPwb


Elle a également déjà fait un scan RogueKiller, Malwarebytes et Avast.

Merci d'avance!
A voir également:

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 juin 2015 à 11:04
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.


D'après les rapports, il n'a plus l'air actif.

Désinstalle McAfee Security Scan.


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.


1
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
20 juin 2015 à 11:52
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 juin 2015 à 12:05
Quedalle =)

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
0
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
20 juin 2015 à 15:45
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 juin 2015 à 18:10
Le fichier FRST.txt est vide.
Peux-tu recommence pour en envoyer un avec le contenu.
0
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
20 juin 2015 à 19:04
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 juin 2015 à 19:13
fichiers xtbl - c'est ce ransomware : https://forum.malekal.com/viewtopic.php?t=51913&start=


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-06-18 10:42 - 2015-06-18 10:42 - 03932214 _____ C:\Documents and Settings\Louise\Application Data\54635F7E54635F7E.bmp
2015-06-18 10:42 - 2015-06-18 10:42 - 03932214 _____ C:\Documents and Settings\Louise\Application Data\54635F7E54635F7E.bmp
2015-06-18 09:33 - 2015-06-18 18:28 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.


~~

Vois si les versions précédentes fonctionnent : https://forum.malekal.com/viewtopic.php?t=46739&start=
1
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
20 juin 2015 à 19:57
Voilà le rapport FRST : https://pjjoint.malekal.com/files.php?id=20150620_q6f15x7g98
Et le rapport Mbam : https://pjjoint.malekal.com/files.php?id=20150620_v6o9e13f8q7

~~
Elle est sous XP donc il n'y a pas de versions précédentes.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juin 2015 à 10:37
ha mince.. du coup, pas de solution.
Par contre, tu as donné le rapport d'application, pas d'analyse.
0
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
21 juin 2015 à 10:38
Le rapport d'application de quel logiciel? MalwareBytes ou FRST?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juin 2015 à 10:47
Malwarebytes.
0
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
21 juin 2015 à 11:14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 21/06/2015 à 11:47
ok rien =)

je pense que l'on a terminé.
Des problèmes en particulier ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Keridam Messages postés 13 Date d'inscription samedi 20 juin 2015 Statut Membre Dernière intervention 11 juillet 2016
21 juin 2015 à 11:58
D'accord, merci beaucoup! ^^
Pas de problèmes particulier non.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juin 2015 à 12:00
ok =)
il doit aller par des exploits web donc je pense qu'il faut vérifier si flash, java etc sont à jour.

voir pour sécuriser l'ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
Utilisateur anonyme
21 juin 2015 à 23:16
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 juin 2015 à 10:55
ça ne fonctionnera pas...
0
Utilisateur anonyme > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
23 juin 2015 à 09:37
PO-SI-TI-VE !!! ;)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juin 2015 à 17:37
Bha non c'est sûr.
0