Ransomware

Résolu
spoon62420 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

j ai était infecter par un ransomware et j ai les 3 liens demander .
pouvez vous m'aider
merci d'avance

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    il faut donner les liens pjjoint des rapports ici, sinon on ne peut pas les lire.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Que des restes,
    L'ordinateur a été infecté par Win64/Sathurbot.A et Win32/Boaxxe
    qui a droppé CryptoWall.

    ESET a dû virer Boaxxe.

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll Pas de fichier
    2015-08-08 15:19 - 2015-08-08 15:19 - 0000000 _____ () C:\Users\admin\AppData\Roaming\.sys
    2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML
    2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG
    2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT
    2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL
    2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML
    2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG
    2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT
    2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL
    2015-08-17 19:15 - 2015-08-17 19:16 - 0019968 ___SH () C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db
    2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML
    2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG
    2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT
    2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.URL
    2015-06-03 19:19 - 2015-06-14 16:38 - 0000616 ____H () C:\ProgramData\@system.temp
    2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\ProgramData\HELP_DECRYPT.HTML
    2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\ProgramData\HELP_DECRYPT.PNG
    2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\ProgramData\HELP_DECRYPT.TXT
    2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\ProgramData\HELP_DECRYPT.URL
    2015-06-18 14:43 - 2015-07-15 18:17 - 0000126 _____ () C:\ProgramData\search_result.xml
    2014-10-26 17:38 - 2014-10-26 17:38 - 0004991 _____ () C:\ProgramData\xhbjddli.elu
    Task: {1CC83DE5-591F-42CF-B744-D5F876E79983} - System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => pcalua.exe -a C:\ProgramData\BreakingNewsAlert\uninstall.exe -c /kb=y /ic=1
    Task: {5906FF6E-5D1C-433F-8357-D5204734BFC1} - System32\Tasks\Security Center Update - 3980801789 => C:\Users\admin\AppData\Roaming\Ocyrypqa\ykmecef.exe <==== ATTENTION
    Task: {6DDE1CFB-81E2-4373-903D-4979D91E46BD} - System32\Tasks\Security Center Update - 2388764943 => C:\Users\admin\AppData\Roaming\Tuesxuaq\uxotpoc.exe <==== ATTENTION


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
    1. spoon62420 Messages postés 3 Statut Membre
       
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-08-2016
      Exécuté par admin (30-08-2016 16:39:16) Run:1
      Exécuté depuis C:\Users\admin\Desktop
      Profils chargés: admin & UpdatusUser (Profils disponibles: admin & UpdatusUser)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll Pas de fichier
      2015-08-08 15:19 - 2015-08-08 15:19 - 0000000 _____ () C:\Users\admin\AppData\Roaming\.sys
      2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML
      2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG
      2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT
      2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL
      2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML
      2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG
      2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT
      2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL
      2015-08-17 19:15 - 2015-08-17 19:16 - 0019968 ___SH () C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db
      2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML
      2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG
      2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT
      2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\Users\admin\AppData\Local\HELP_DECRYPT.URL
      2015-06-03 19:19 - 2015-06-14 16:38 - 0000616 ____H () C:\ProgramData\@system.temp
      2015-06-07 15:06 - 2015-06-07 15:06 - 0009150 _____ () C:\ProgramData\HELP_DECRYPT.HTML
      2015-06-07 15:06 - 2015-06-07 15:06 - 0047560 _____ () C:\ProgramData\HELP_DECRYPT.PNG
      2015-06-07 15:06 - 2015-06-07 15:06 - 0004766 _____ () C:\ProgramData\HELP_DECRYPT.TXT
      2015-06-07 15:06 - 2015-06-07 15:06 - 0000304 _____ () C:\ProgramData\HELP_DECRYPT.URL
      2015-06-18 14:43 - 2015-07-15 18:17 - 0000126 _____ () C:\ProgramData\search_result.xml
      2014-10-26 17:38 - 2014-10-26 17:38 - 0004991 _____ () C:\ProgramData\xhbjddli.elu
      Task: {1CC83DE5-591F-42CF-B744-D5F876E79983} - System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => pcalua.exe -a C:\ProgramData\BreakingNewsAlert\uninstall.exe -c /kb=y /ic=1
      Task: {5906FF6E-5D1C-433F-8357-D5204734BFC1} - System32\Tasks\Security Center Update - 3980801789 => C:\Users\admin\AppData\Roaming\Ocyrypqa\ykmecef.exe <==== ATTENTION
      Task: {6DDE1CFB-81E2-4373-903D-4979D91E46BD} - System32\Tasks\Security Center Update - 2388764943 => C:\Users\admin\AppData\Roaming\Tuesxuaq\uxotpoc.exe <==== ATTENTION


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\1SecureIconsProvider" => clé supprimé(es) avec succès
      "HKCR\CLSID\{FC9D8189-520A-4417-AED7-9EAC810C6FBA}" => clé supprimé(es) avec succès
      "C:\Users\admin\AppData\Roaming\.sys" => non trouvé(e).
      C:\Users\admin\AppData\Roaming\HELP_DECRYPT.HTML => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\HELP_DECRYPT.PNG => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\HELP_DECRYPT.TXT => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\HELP_DECRYPT.URL => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.HTML => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.PNG => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.TXT => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\Microsoft\HELP_DECRYPT.URL => déplacé(es) avec succès
      C:\Users\admin\AppData\Roaming\Microsoft\Thumbs.db => déplacé(es) avec succès
      C:\Users\admin\AppData\Local\HELP_DECRYPT.HTML => déplacé(es) avec succès
      C:\Users\admin\AppData\Local\HELP_DECRYPT.PNG => déplacé(es) avec succès
      C:\Users\admin\AppData\Local\HELP_DECRYPT.TXT => déplacé(es) avec succès
      C:\Users\admin\AppData\Local\HELP_DECRYPT.URL => déplacé(es) avec succès
      C:\ProgramData\@system.temp => déplacé(es) avec succès
      C:\ProgramData\HELP_DECRYPT.HTML => déplacé(es) avec succès
      C:\ProgramData\HELP_DECRYPT.PNG => déplacé(es) avec succès
      C:\ProgramData\HELP_DECRYPT.TXT => déplacé(es) avec succès
      C:\ProgramData\HELP_DECRYPT.URL => déplacé(es) avec succès
      C:\ProgramData\search_result.xml => déplacé(es) avec succès
      C:\ProgramData\xhbjddli.elu => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1CC83DE5-591F-42CF-B744-D5F876E79983}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1CC83DE5-591F-42CF-B744-D5F876E79983}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\{C3F51019-7CEE-4970-97BC-3384F616878B} => déplacé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{C3F51019-7CEE-4970-97BC-3384F616878B}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5906FF6E-5D1C-433F-8357-D5204734BFC1}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5906FF6E-5D1C-433F-8357-D5204734BFC1}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\Security Center Update - 3980801789 => déplacé(es) avec succès
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Security Center Update - 3980801789 => clé non trouvé(e).
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DDE1CFB-81E2-4373-903D-4979D91E46BD}" => clé supprimé(es) avec succès
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DDE1CFB-81E2-4373-903D-4979D91E46BD}" => clé supprimé(es) avec succès
      C:\Windows\System32\Tasks\Security Center Update - 2388764943 => déplacé(es) avec succès
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Security Center Update - 2388764943 => clé non trouvé(e).


      Le système a dû redémarrer.

      Fin de Fixlog 16:39:25

      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voila...
    Pour la récupération des fichiers, c'est probablement mort.

    Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
    Notamment contre les Web exploits.
    1
    1. spoon62420 Messages postés 3 Statut Membre
       
      encore merci pour votre aide je v suivre les 2 tutos.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > spoon62420 Messages postés 3 Statut Membre
         
        de rien, bon courage, mets bien à jour tous les logiciels (Java, Flash etc).
        Boaxxe va bcp par des web exploits.
        0