Rsa-2048 (Ransomware CryptoWall)
airocekas
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
voici mes liens après analyse par frst
https://pjjoint.malekal.com/files.php?id=20160410_v15b15s14i12j13
https://pjjoint.malekal.com/files.php?id=FRST_20160410_z9v7d9q14n11
https://pjjoint.malekal.com/files.php?id=20160410_w15h13w10u1011
merci d'avance.
voici mes liens après analyse par frst
https://pjjoint.malekal.com/files.php?id=20160410_v15b15s14i12j13
https://pjjoint.malekal.com/files.php?id=FRST_20160410_z9v7d9q14n11
https://pjjoint.malekal.com/files.php?id=20160410_w15h13w10u1011
merci d'avance.
A voir également:
- Rsa-2048 (Ransomware CryptoWall)
- Ransomware solution protection - Guide
- Bannière youtube taille 2048 x 1152 - Forum YouTube
- Forfait internet rsa orange - Accueil - Box & Connexion Internet
- Bannière floue - Forum YouTube
- Ransomware - Accueil - Virus
2 réponses
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Il s'agit de CryptoWall
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Il s'agit de CryptoWall
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2000478354-1935655697-725345543-1003\...409d6c4515e9\InprocServer32: [Default-shell32] D:\Documents and Settings\airoceka\Local Settings\Application Data\Agworks\zqnpyjml.dll ATTENTION
HKU\S-1-5-21-2000478354-1935655697-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [IVsoft] => D:\WINDOWS\system32\regsvr32.exe "D:\Documents and Settings\airoceka\Local Settings\Application Data\Agworks\zqnpyjml.dll"
HKU\S-1-5-21-2000478354-1935655697-725345543-1003\...\Run: [IVsoft] => D:\WINDOWS\system32\regsvr32.exe "D:\Documents and Settings\airoceka\Local Settings\Application Data\Agworks\zqnpyjml.dll"
2015-10-27 20:28 - 2015-10-27 20:28 - 0009114 _____ () D:\Documents and Settings\airoceka\Application Data\HELP_DECRYPT.HTML
2015-10-27 20:28 - 2015-10-27 20:28 - 0047660 _____ () D:\Documents and Settings\airoceka\Application Data\HELP_DECRYPT.PNG
2015-10-27 20:28 - 2015-10-27 20:28 - 0004748 _____ () D:\Documents and Settings\airoceka\Application Data\HELP_DECRYPT.TXT
2015-10-27 20:26 - 2015-10-27 20:26 - 0009114 _____ () D:\Documents and Settings\airoceka\Application Data\Microsoft\HELP_DECRYPT.HTML
2015-10-27 20:26 - 2015-10-27 20:26 - 0047660 _____ () D:\Documents and Settings\airoceka\Application Data\Microsoft\HELP_DECRYPT.PNG
2015-10-27 20:26 - 2015-10-27 20:26 - 0004748 _____ () D:\Documents and Settings\airoceka\Application Data\Microsoft\HELP_DECRYPT.TXT
2015-11-25 10:37 - 2016-03-01 21:03 - 0000664 _____ () D:\Documents and Settings\airoceka\Local Settings\Application Data\d3d9caps.dat
2015-10-28 20:37 - 2015-10-28 20:37 - 0009114 _____ () D:\Documents and Settings\airoceka\Local Settings\Application Data\HELP_DECRYPT.HTML
2015-10-28 20:37 - 2015-10-28 20:37 - 0047654 _____ () D:\Documents and Settings\airoceka\Local Settings\Application Data\HELP_DECRYPT.PNG
2015-10-28 20:37 - 2015-10-28 20:37 - 0004748 _____ () D:\Documents and Settings\airoceka\Local Settings\Application Data\HELP_DECRYPT.TXT
2015-10-28 21:10 - 2015-10-28 21:10 - 0009114 _____ () D:\Documents and Settings\All Users\HELP_DECRYPT.HTML
2015-10-28 21:10 - 2015-10-28 21:10 - 0047654 _____ () D:\Documents and Settings\All Users\HELP_DECRYPT.PNG
2015-10-28 21:10 - 2015-10-28 21:10 - 0004748 _____ () D:\Documents and Settings\All Users\HELP_DECRYPT.TXT
2015-10-28 21:10 - 2015-10-28 21:10 - 0009114 _____ () D:\Documents and Settings\All Users\Application Data\HELP_DECRYPT.HTML
2015-10-28 21:10 - 2015-10-28 21:10 - 0047654 _____ () D:\Documents and Settings\All Users\Application Data\HELP_DECRYPT.PNG
2015-10-28 21:10 - 2015-10-28 21:10 - 0004748 _____ () D:\Documents and Settings\All Users\Application Data\HELP_DECRYPT.TXT
D:\Documents and Settings\airoceka\Local Settings\Application Data\Agworks
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/