Ordinateur infecté par un ransomware, comment s'en débarrasser

Résolu
Bastien -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Messieurs dames bonjour,

Ma mère, dans son immense talent, a réussi a infecter son nouvel ordi d'un magnifique ransomware en moins d'une semaine.

Les fichiers ont bien évidemment été cryptés et j'ai fait une croix dessus, je pense avoir réussi à désactiver le virus, mais je n'arrive pas à l'éradiquer totalement.

Quelqu'un saurait il m'indiquer la marche à suivre pour virer cette saloperie?

L'ordi tourne sous Windows 10, en désespoir de cause, Windows defender a été mis à jour et activé, et Malwabytes est installé et à jour.

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

    Il faut d'abord vérifier qu'aucune menace ne soit encore active.
    Par précaution, pense aussi à changer tous tes mots de passe.

    1°) FRST
    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bon, ça va,

    2016-01-01 20:27 - 2016-01-01 20:32 - 0009588 _____ () C:\Users\Isabelle\AppData\Local\how_recover+aea.html
    2016-01-01 20:27 - 2016-01-01 20:32 - 0002777 _____ () C:\Users\Isabelle\AppData\Local\how_recover+aea.txt
    2016-01-17 17:17 - 2016-01-17 17:29 - 0009588 _____ () C:\Users\Isabelle\AppData\Local\how_recover+aed.html


    C'est TeslaCrypt et y a moyen de récupérer les fichiers.
    Il n'est plus actif.

    Voir à la fin de la fiche TeslaCrypt : Fiche TeslaCrypt.

    1
  3. Bastien
     
    Comme je suis un type vernis, j'ai visiblement crowti.a en prime
    1
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Ce sont des restes au vu des rapports.
      Quel fichier est détecté ?
      0
    2. Bastien
       
      Windows Defender me sort des annonces de menaces régulièrement encore, je viens de faire un scan WD complet, il me trouve encore CryptMess.D et CryptMess.C malgré tout.

      J'ai deja lancé Malwarebytes, , NOD32, CCcleancer et ADWcleaner mais ca persiste
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Bastien
       
      Dans quel fichier ?
      0
    4. Bastien
       
      Pfiou, enfin réussi.

      Il y a eu une mise à jour du 15/08 sur windows defender qui m'a permis de supprimer crowti.a

      Et visiblement comme la suppression de celui ci bloquait, ca ne supprimait pas les deux autres.

      Résultat un Pc clean !

      Un grand merci pour ton aide
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Bastien
       
      bref, Windows Defender a fait son Windows Defender =)
      0
  4. Bastien
     
    Merci pour ta rapidité, je m'en occupe de suite et je poste les résutats dans la foulée
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bastien
     
    http://pjjoint.malekal.com/files.php?id=20160814_t7y12l7i14i8

    http://pjjoint.malekal.com/files.php?id=FRST_20160814_o7h10o65x7

    http://pjjoint.malekal.com/files.php?id=20160814_f8h12p6g13d7

    Voici les 3 comptes rendus
    0