Sujet Précédent Sujet Suivant

Infection extension .vvv

Fermé
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016 - 11 janv. 2016 à 09:38
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2016 à 23:18
Bonjour, Et bonne année à tous

Voilà, comme indiqué en titre, je subis une infection de ce virus sur un des pc de l'entreprise, qui est de plus l'ordi administrateur du serveur (qui serait là depuis mi-décembre)... Apparemment le second ne serait pas (encore) concerné.

N'y connaissant pas grand chose, est-ce qu'une personne pourrait me guider svp ? J'ai vu une manip à suivre dans plusieurs sujets, mais je préfère être suivie afin de ne pas faire de bêtises. L'ordinateur ne m'est pas habituel.

Merci par avance pour le temps consacré
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 janv. 2016 à 09:42
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

il existe une procédure pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

1
Réponse 2 / 4
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 13:00
Merci pour la rapidité !
Alors voici les 3 liens (FRST, Shortcut, Addition) :
https://pjjoint.malekal.com/files.php?id=20160111_g10g15e11b7e5
https://pjjoint.malekal.com/files.php?id=20160111_f9d5w5c11v12
https://pjjoint.malekal.com/files.php?id=20160111_r9b7t8m8r15

Par contre, les documents touchés s'affichent dans le dossier "commun serveur" et s'affichent sur le second pc mais n'ont pas été ouverts. Incidence ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 janv. 2016 à 13:10
Le fichier FRST.txt est vide et Addition.txt est incomplet.
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 13:11
Euh... Je relance ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 13:18
ce serait d'avoir les rapports oui.
L'infection a probablement été installée sur un PC client.
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
11 janv. 2016 à 13:23
Dois-je faire la même manip sur le second pc ?
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 13:18
Voici les "bons" liens (j'avais oublié Shortcut la 1ère fois, et les avais mis à la corbeille...) :
https://pjjoint.malekal.com/files.php?id=FRST_20160111_h15q13g9r15w15

https://pjjoint.malekal.com/files.php?id=20160111_w8m5l15r11y11
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 janv. 2016 à 13:40
ha bha non c'est le serveur qui est infecté....
En plus Reimage a été installé, c'est une arnaque ce programe ...
Vous pouvez le désinstaller.


Y a un gros souci de sécurité.

Envoie ces fichiers sur http://upload.malekal.com :
C:\Users\besson\AppData\Roaming\fykkeacroic.exe
C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
C:\Users\besson\AppData\Roaming\qxecsacroic.exe
C:\Users\besson\AppData\Roaming\wsmqeacroic.exe


~~


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mes services pro.lnk [2015-04-13]
HKU\S-1-5-21-2770805420-3761738670-2911465912-1164\...\Run: [Acrndtd] => C:\Users\besson\AppData\Roaming\aualcacroic.exe
C:\Users\besson\AppData\Roaming\aualcacroic.exe
2015-12-14 15:45 - 2015-01-27 18:16 - 00000000 ____D C:\ProgramData\Reimage Protector
2015-12-14 15:45 - 2015-01-27 18:15 - 00000000 ____D C:\rei
2015-12-14 15:45 - 2015-02-06 10:08 - 00000000 ____D C:\ProgramData\APN
2015-12-14 15:45 - 2012-09-03 15:26 - 00000000 ____D C:\Users\besson\AppData\Local\Apps\2.0
2015-12-14 14:16 - 2015-12-14 14:16 - 0353280 _____ () C:\Users\besson\AppData\Roaming\fykkeacroic.exe
2015-12-14 14:35 - 2015-12-14 14:35 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.html
2015-12-14 14:35 - 2015-12-14 14:35 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.txt
2015-12-14 14:14 - 2015-12-14 14:14 - 0353280 _____ () C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
2015-12-14 14:10 - 2015-12-14 14:10 - 0353280 _____ () C:\Users\besson\AppData\Roaming\qxecsacroic.exe
2015-12-14 14:09 - 2015-12-14 14:09 - 0353280 _____ () C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
2015-12-14 14:34 - 2015-12-14 14:34 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.html
2015-12-14 14:34 - 2015-12-14 14:34 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.txt
2014-01-06 15:27 - 2015-12-14 14:12 - 0429518 _____ () C:\Users\besson\AppData\Local\dd_vcredistMSI19CB.txt.vvv
2014-01-06 15:27 - 2015-12-14 14:12 - 0012062 _____ () C:\Users\besson\AppData\Local\dd_vcredistUI19CB.txt.vvv
2015-12-14 14:12 - 2015-12-14 14:55 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+djk.html
2015-12-14 14:12 - 2015-12-14 14:55 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+djk.txt
2015-12-14 15:45 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.html
2015-12-14 15:45 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.txt

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Faire une recherche de fichiers Windows sur how_recover
et supprimer tout.


Pour la récupération des fichiers, ça se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/


0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 14:14
Voici le lien du rapport Fixlog :
https://pjjoint.malekal.com/files.php?id=20160111_12m5q9j9y8

Je vais redémarrer
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 janv. 2016 à 14:16
ok, sinon pour les fichiers envoyés, Panda le détecte..

SHA256: 2296cb1bf91a633f6deb89c39501d7f224e405fea99fb1fcb7e5d996dbb85e06
Nom du fichier : c184115efbd400db64dc6c3571031a6a82d77e6c
Ratio de détection : 47 / 55
Date d'analyse : 2016-01-11 13:02:53 UTC (il y a 0 minute)

Panda Trj/Kazy.AS 20160110
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 14:28
Qu'est-ce que je dois faire pour ça ? Pas clair...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 15:04
Simplement une remarque que Panda détecte les fichiers malicieux or encore présent sur ton serveur.
C'est donc assez étonnant qu'il n'ait pas émis d'alerte et supprimé les fichiers.

Vérifie que l'antivirus fonctionne bien et qu'il est aussi à jour.
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 15:25
Alors concernant Panda : je ne sais pas comment il est présent sur ce pc. La licence est expirée... donc il n'est pas à jour.
Par contre, pour supprimer tous les "how_recover" (recherche en cliquant sur Ordinateur), il m'en affiche encore 12 avec le logo "Internet explorer" et je n'arrive pas à les supprimer (erreur 0x80004002 + dans users/appdata/roaming/microsoft) ????
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
11 janv. 2016 à 17:36
J'ai fait un scan avec Panda : 2 sont neutralisés mais je ne sais pas utiliser cet antivirus pour supprimer
0
callie22 Messages postés 32 Date d'inscription vendredi 10 janvier 2014 Statut Membre Dernière intervention 12 janvier 2016
12 janv. 2016 à 18:00
Bonjour,
voilà je ne sais pas si c'est utile, mais voici 3 nouveaux rapports d'aujourd'hui avec FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160112_t9u13p9p6z13
https://pjjoint.malekal.com/files.php?id=20160112_p9d6s8t8o12
https://pjjoint.malekal.com/files.php?id=20160112_j14b11b10k13e10

Y a-t-il toujours quelque chose à signaler ? Merci
0

Discussions similaires

Problème d'extension d'application sur ps4
souma94800 -
Vadaa -

74 réponses
[Photoshop] Fichier en PNG qui ne s'ouvre pas
Naddya -
porios -

7 réponses