Virus Cryptage RSA-4096
Résolu/Fermé
Futureexx
-
Modifié par Malekal_morte- le 31/01/2016 à 11:45
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 22 avril 2016 à 15:15
Malekal_morte- Messages postés 180230 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 22 avril 2016 à 15:15
A voir également:
- Virus Cryptage RSA-4096
- Svchost.exe virus - Guide
- Lien virus à envoyer - Forum Virus / Sécurité
- Black sky virus - Forum Windows
- Faux message virus iphone ✓ - Forum iPhone
- Virus heuristique ✓ - Forum Virus / Sécurité
8 réponses
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 11:45
31 janv. 2016 à 11:45
Salut,
Je regarde les rapports, il s'agit de TeslaCrypt.
Je regarde les rapports, il s'agit de TeslaCrypt.
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 11:53
31 janv. 2016 à 11:53
Il y a quelques adwares aussi.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
A faire sur la session administrateur :
Désinstalle Accelere PC.
~~
Sur la session administrateur
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur recover_file et supprime les fichiers trouvés.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
A faire sur la session administrateur :
Désinstalle Accelere PC.
~~
Sur la session administrateur
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Adobe Driver Update] => C:\Users\Samuel\AppData\Local\Temp\adbreader.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Shgfikgozhqqddlg.exe] => C:\Users\Samuel\AppData\Roaming\Shgfikgozhqqddlg.exe
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [CrashReportChecker] => C:\Users\Samuel\AppData\Local\Temp\temp94841181.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [ConnectionInformer] => C:\Users\Samuel\AppData\Local\Temp\temp105420248.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [NetworkVerifyer] => C:\Users\Samuel\AppData\Local\Temp\temp19966346.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Owqhics] => C:\Users\Samuel\AppData\Local\Owqhics\TMP6C7.exe [126397 2016-01-29] ()
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [srv-2016] => C:\Users\Samuel\AppData\Roaming\poagqhe45.exe
Startup: C:\Users\Samuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+gkt.txt [2016-01-29] ()
S2 Update focusbase; C:\Program Files (x86)\focusbase\updatefocusbase.exe [X]
S4 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [X]
2016-01-29 22:08 - 2016-01-30 23:34 - 00000000 ____D C:\Users\Samuel\AppData\Local\Owqhics
2016-01-29 22:08 - 2016-01-29 22:08 - 00000254 _____ C:\Users\Samuel\Documents\recover_file_bqaxbpjyo.txt
2016-01-29 22:07 - 2016-01-30 23:02 - 00000000 ___HD C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
2016-01-29 22:58 - 2013-09-20 17:26 - 00000000 ____D C:\Users\Samuel\AppData\Roaming\dll-files.com
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
- Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
- Lance "AdwCleaner" et clique sur [Scanner],
- L'analyse va durer plusieurs minutes, patiente,
- Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
- Une fois le nettoyage terminé, un rapport va s'ouvrir,
- Copie/colle le contenu du rapport dans ta prochaine réponse.
Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur recover_file et supprime les fichiers trouvés.
Voici le rapport Fixlog de FRST, mais je n'ai pas compris ce que je dois en faire..
http://pjjoint.malekal.com/files.php?id=20160131_h10h11m9u13q5
http://pjjoint.malekal.com/files.php?id=20160131_h10h11m9u13q5
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 12:11
31 janv. 2016 à 12:11
ok fais la suite =)
Le rapport est assez long...
http://pjjoint.malekal.com/files.php?id=20160131_k10f13z15n9k15
http://pjjoint.malekal.com/files.php?id=20160131_k10f13z15n9k15
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 13:18
31 janv. 2016 à 13:18
oui y a pas mal de merdouilles.
Tu as bien fait nettoyer ?
Tu as bien fait nettoyer ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 14:23
31 janv. 2016 à 14:23
C'est normalement bon.
Pour les restes :
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Pour les restes :
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
- Tutoriel MBAM version gratuite
- Tutoriel MBAM version payante
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
31 janv. 2016 à 16:35
31 janv. 2016 à 16:35
c'est bon, plus actif,
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 21/04/2016 à 10:18
Modifié par Malekal_morte- le 21/04/2016 à 10:18
Un nouveau ransomware est apparu récemment qui reprend les mêmes messages RSA-4096 (ils utilisent le même message que le ransomware TeslaCrypt).
L'extension des documents chiffrés est modifée en .crypt - ATTENTION cette famille vole les mots de passe contenu sur l'ordinateur.
> Ransomware RSA 4096 - extension .crypt
Ce dernier va par des Web Exploit - Maintenez vos logiciels à jour.
Pendant ce temps là, TeslaCrypt continue ses campagnes malicieuses.
L'extension est modifiée en .jpg, ça change tous les 15 du mois en général.
> Mails Malicieux TeslaCrypt.
et le dossier sur les ransomwres : Ransomwares / Rançongiciels.
Soyez vigilant.
Veuillez appuyer sur une touche pour continuer la désinfection...
L'extension des documents chiffrés est modifée en .crypt - ATTENTION cette famille vole les mots de passe contenu sur l'ordinateur.
> Ransomware RSA 4096 - extension .crypt
Ce dernier va par des Web Exploit - Maintenez vos logiciels à jour.
Pendant ce temps là, TeslaCrypt continue ses campagnes malicieuses.
L'extension est modifiée en .jpg, ça change tous les 15 du mois en général.
> Mails Malicieux TeslaCrypt.
et le dossier sur les ransomwres : Ransomwares / Rançongiciels.
Soyez vigilant.
Veuillez appuyer sur une touche pour continuer la désinfection...
Malekal_morte-
Messages postés
180230
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
22 avril 2016 à 15:15
22 avril 2016 à 15:15
FAQ concernant le Virus RSA-4096 ajoutée.
31 janv. 2016 à 11:47