Ransomware

Résolu
spoon62420 -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

j ai était infecter par un ransomware et j ai les 3 liens demander .
pouvez vous m'aider
merci d'avance



A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

il faut donner les liens pjjoint des rapports ici, sinon on ne peut pas les lire.

Veuillez appuyer sur une touche pour continuer la désinfection...
1
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Que des restes,
L'ordinateur a été infecté par Win64/Sathurbot.A et Win32/Boaxxe
qui a droppé CryptoWall.

ESET a dû virer Boaxxe.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll Pas de fichier  
 2015-08-08 15:19 - 2015-08-08 15:19 - 0000000 _____ () C:\Users\admin\AppData\Roaming\.sys 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT  
 2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT  
 2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL 
 2015-08-17 19:15 - 2015-08-17 19:16 - 0019968 ___SH () C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT  
 2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.URL 
2015-06-03 19:19 - 2015-06-14 16:38 - 0000616 ____H () C:\ProgramData\@system.temp 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\ProgramData\HELP_DECRYPT.HTML 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\ProgramData\HELP_DECRYPT.PNG 
 2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\ProgramData\HELP_DECRYPT.TXT  
 2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\ProgramData\HELP_DECRYPT.URL 
 2015-06-18 14:43 - 2015-07-15 18:17 - 0000126 _____ () C:\ProgramData\search_result.xml  
 2014-10-26 17:38 - 2014-10-26 17:38 - 0004991 _____ () C:\ProgramData\xhbjddli.elu  
Task: {1CC83DE5-591F-42CF-B744-D5F876E79983} - System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => pcalua.exe -a C:\ProgramData\BreakingNewsAlert\uninstall.exe -c /kb=y /ic=1
Task: {5906FF6E-5D1C-433F-8357-D5204734BFC1} - System32\Tasks\Security Center Update - 3980801789 => C:\Users\admin\AppData\Roaming\Ocyrypqa\ykmecef.exe <==== ATTENTION
Task: {6DDE1CFB-81E2-4373-903D-4979D91E46BD} - System32\Tasks\Security Center Update - 2388764943 => C:\Users\admin\AppData\Roaming\Tuesxuaq\uxotpoc.exe <==== ATTENTION


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Veuillez appuyer sur une touche pour continuer la désinfection...
1
spoon62420 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-08-2016
Exécuté par admin (30-08-2016 16:39:16) Run:1
Exécuté depuis C:\Users\admin\Desktop
Profils chargés: admin & UpdatusUser (Profils disponibles: admin & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll Pas de fichier
2015-08-08 15:19 - 2015-08-08 15:19 - 0000000 _____ () C:\Users\admin\AppData\Roaming\.sys
2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML
2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG
2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT
2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL
2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML
2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG
2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT
2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL
2015-08-17 19:15 - 2015-08-17 19:16 - 0019968 ___SH () C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db
2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML
2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG
2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT
2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.URL
2015-06-03 19:19 - 2015-06-14 16:38 - 0000616 ____H () C:\ProgramData\@system.temp
2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\ProgramData\HELP_DECRYPT.PNG
2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-06-18 14:43 - 2015-07-15 18:17 - 0000126 _____ () C:\ProgramData\search_result.xml
2014-10-26 17:38 - 2014-10-26 17:38 - 0004991 _____ () C:\ProgramData\xhbjddli.elu
Task: {1CC83DE5-591F-42CF-B744-D5F876E79983} - System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => pcalua.exe -a C:\ProgramData\BreakingNewsAlert\uninstall.exe -c /kb=y /ic=1
Task: {5906FF6E-5D1C-433F-8357-D5204734BFC1} - System32\Tasks\Security Center Update - 3980801789 => C:\Users\admin\AppData\Roaming\Ocyrypqa\ykmecef.exe <==== ATTENTION
Task: {6DDE1CFB-81E2-4373-903D-4979D91E46BD} - System32\Tasks\Security Center Update - 2388764943 => C:\Users\admin\AppData\Roaming\Tuesxuaq\uxotpoc.exe <==== ATTENTION


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\1SecureIconsProvider" => clé supprimé(es) avec succès
"HKCR\CLSID\{FC9D8189-520A-4417-AED7-9EAC810C6FBA}" => clé supprimé(es) avec succès
"C:\Users\admin\AppData\Roaming\.sys" => non trouvé(e).
C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL => déplacé(es) avec succès
C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db => déplacé(es) avec succès
C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML => déplacé(es) avec succès
C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG => déplacé(es) avec succès
C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT => déplacé(es) avec succès
C:\Users\admin\AppData\Local\HELP_DECRYPT.URL => déplacé(es) avec succès
C:\ProgramData\@system.temp => déplacé(es) avec succès
C:\ProgramData\HELP_DECRYPT.HTML => déplacé(es) avec succès
C:\ProgramData\HELP_DECRYPT.PNG => déplacé(es) avec succès
C:\ProgramData\HELP_DECRYPT.TXT => déplacé(es) avec succès
C:\ProgramData\HELP_DECRYPT.URL => déplacé(es) avec succès
C:\ProgramData\search_result.xml => déplacé(es) avec succès
C:\ProgramData\xhbjddli.elu => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1CC83DE5-591F-42CF-B744-D5F876E79983}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1CC83DE5-591F-42CF-B744-D5F876E79983}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{C3F51019-7CEE-4970-97BC-3384F616878B}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5906FF6E-5D1C-433F-8357-D5204734BFC1}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5906FF6E-5D1C-433F-8357-D5204734BFC1}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Security Center Update - 3980801789 => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Security Center Update - 3980801789 => clé non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DDE1CFB-81E2-4373-903D-4979D91E46BD}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DDE1CFB-81E2-4373-903D-4979D91E46BD}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Security Center Update - 2388764943 => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Security Center Update - 2388764943 => clé non trouvé(e).


Le système a dû redémarrer.

Fin de Fixlog 16:39:25

0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Voila...
Pour la récupération des fichiers, c'est probablement mort.

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
1
spoon62420 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
encore merci pour votre aide je v suivre les 2 tutos.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > spoon62420 Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
de rien, bon courage, mets bien à jour tous les logiciels (Java, Flash etc).
Boaxxe va bcp par des web exploits.
0

Discussions similaires

Fichier crypté par un ransomware, .wwty, comment decryté
kayemard -
bazfile -

2 réponses
Attack ransomware
Yassine -
MisteryBean -

1 réponse
comment retrouver les données après ransomware (.vvv)
Bangos007 -
kamelito78 -

17 réponses
Comment récupérer ses données aprés un ransomware (.vvv)
anto2742 -
anto2742 -

3 réponses