CERBER RANSOMWARE
Fermé
blackyze
Messages postés
2
Date d'inscription
samedi 8 octobre 2016
Statut
Membre
Dernière intervention
8 octobre 2016
-
8 oct. 2016 à 18:20
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 oct. 2016 à 19:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 oct. 2016 à 19:26
A voir également:
- CERBER RANSOMWARE
- Protection contre les ransomware windows 10 - Guide
- Ransomware - Guide
- Malwares sur Mac : attention à ces nouvelles menaces sur macOS - Guide
- Protection ransomware - Guide
- Ransomware forum - Forum Virus
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
8 oct. 2016 à 18:27
8 oct. 2016 à 18:27
Salut,
Il n'y aucun moyen de les récupérer.
Test Les versions précédents de fichiers (normalement Cerber le désactive)
ou Recuva.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Il n'y aucun moyen de les récupérer.
Test Les versions précédents de fichiers (normalement Cerber le désactive)
ou Recuva.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
blackyze
Messages postés
2
Date d'inscription
samedi 8 octobre 2016
Statut
Membre
Dernière intervention
8 octobre 2016
8 oct. 2016 à 19:07
8 oct. 2016 à 19:07
Bonsoir ,
Je vous remercie pour la réponse . Veuillez trouver ci dessous les liens demandés ( FRST - ADDITION - SHORTCUT )
https://pjjoint.malekal.com/files.php?id=FRST_20161008_h11m15g15m12h13
https://pjjoint.malekal.com/files.php?id=20161008_l6k1110q5l12
https://pjjoint.malekal.com/files.php?id=20161008_d11o11x7j12q5
Je vous remercie pour la réponse . Veuillez trouver ci dessous les liens demandés ( FRST - ADDITION - SHORTCUT )
https://pjjoint.malekal.com/files.php?id=FRST_20161008_h11m15g15m12h13
https://pjjoint.malekal.com/files.php?id=20161008_l6k1110q5l12
https://pjjoint.malekal.com/files.php?id=20161008_d11o11x7j12q5
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 8/10/2016 à 19:27
Modifié par Malekal_morte- le 8/10/2016 à 19:27
Bon... ce trojan :
HKU\S-1-5-21-1639495015-2913267166-2259817243-1000\...\Run: [Microsoft Windows Manager] => C:\Users\USER\M-5050450120350605080806070\winmgr.exe [124320 2016-10-07] ()
C'est Win32.Phorpiex et tu l'as choppé sur Skype
=> Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex).
C'est le pirate qui contrôle ton ordinateur qui a fait installer Cerber.. pour monétiser.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
HKU\S-1-5-21-1639495015-2913267166-2259817243-1000\...\Run: [Microsoft Windows Manager] => C:\Users\USER\M-5050450120350605080806070\winmgr.exe [124320 2016-10-07] ()
C'est Win32.Phorpiex et tu l'as choppé sur Skype
=> Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex).
C'est le pirate qui contrôle ton ordinateur qui a fait installer Cerber.. pour monétiser.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1639495015-2913267166-2259817243-1000\...\CurrentVersion\Windows: [Load] C:\Users\USER\LOCALS~1\Temp\ccqczok.com <===== ATTENTION
HKU\S-1-5-21-1639495015-2913267166-2259817243-1000\...\Run: [Microsoft Windows Manager] => C:\Users\USER\M-5050450120350605080806070\winmgr.exe [124320 2016-10-07] ()
HKU\S-1-5-21-1639495015-2913267166-2259817243-1000\...\Run: [apo5] => C:\win\msn.exe [1522176 2016-01-27] ()
2016-10-08 16:32 - 2016-10-08 16:37 - 00194977 _____ C:\Users\USER\AppData\Roaming\Floorcloth.U
2016-10-08 01:00 - 2016-10-08 01:00 - 00184992 _____ C:\Users\USER\Desktop\kmfU8GBfKr.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00168573 _____ C:\Users\USER\Downloads\yZhmnA5IZ1.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00063059 _____ C:\Users\USER\Downloads\README.hta
2016-10-08 01:00 - 2016-10-08 01:00 - 00043422 _____ C:\Users\USER\Desktop\kObc0Xi0nw.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00013805 _____ C:\Users\USER\Downloads\z9PVaEhymi.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00013789 _____ C:\Users\USER\Desktop\BcKrMRjaST.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00004424 _____ C:\Users\USER\AppData\Roaming\su1tW62Mzm.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 00003720 _____ C:\Users\USER\AppData\Roaming\8w9qp_HHAt.b626
2016-10-07 22:36 - 2016-10-07 22:36 - 00194678 _____ C:\Users\USER\AppData\Roaming\serpigo.xzc
2016-10-07 22:36 - 2016-10-07 22:36 - 00000299 _____ C:\Users\USER\AppData\Roaming\sirens.cug
2016-10-07 17:28 - 2016-10-08 16:39 - 00000000 ___RD C:\Users\USER\Desktop\Nouveau dossier (2)
2016-10-07 15:54 - 2016-10-07 15:56 - 03495040 ___SH (Axantum Software AB) C:\Users\USER\Downloads\gaxcrypt_1-7-3156_fr_12208.exe
2016-10-07 07:58 - 2016-10-07 07:58 - 00000000 _RSHD C:\Users\USER\M-5050450120350605080806070
2016-10-06 12:41 - 2016-10-08 16:39 - 00000000 ____D C:\Users\USER\Desktop\Nouveau dossier
2016-10-04 09:18 - 2016-10-04 09:18 - 00011264 _____ C:\Users\USER\AppData\Roaming\Crypto.dll
2016-10-04 01:00 - 2016-10-04 01:00 - 00181471 _____ C:\Users\Public\Documents\R5etS4tL60.b626
2016-10-04 01:00 - 2016-10-04 01:00 - 00063059 _____ C:\Users\USER\AppData\Roaming\README.hta
2016-10-04 01:00 - 2016-10-04 01:00 - 00063059 _____ C:\Users\Public\Downloads\README.hta
2016-10-04 01:00 - 2016-10-04 01:00 - 00020432 _____ C:\Users\USER\AppData\Roaming\R-LfU3LVxl.b626
2016-10-04 01:00 - 2016-10-04 01:00 - 00020432 _____ C:\Users\Public\Downloads\oWaBNVL-gJ.b626
2016-10-04 01:00 - 2016-10-04 01:00 - 00011108 _____ C:\Users\USER\AppData\Roaming\NHNZzK5B9q.b626
2016-10-04 01:00 - 2016-10-04 01:00 - 00011108 _____ C:\Users\Public\Downloads\SycAFXn22U.b626
2016-10-08 01:00 - 2016-10-08 01:00 - 0003720 _____ () C:\Users\USER\AppData\Roaming\8w9qp_HHAt.b626
2016-09-21 01:00 - 2016-09-21 01:00 - 0000090 _____ () C:\Users\USER\AppData\Roaming\@___README___@.url
2016-06-17 07:53 - 2016-06-17 07:53 - 0000065 _____ () C:\Users\USER\AppData\Roaming\Asmara
2016-06-17 07:53 - 2016-06-17 07:53 - 0001116 _____ () C:\Users\USER\AppData\Roaming\Campo_Grande
2016-06-17 07:53 - 2016-06-17 07:53 - 0000049 _____ () C:\Users\USER\AppData\Roaming\chapter_open.gif
2016-06-17 07:53 - 2016-06-17 07:53 - 0000979 _____ () C:\Users\USER\AppData\Roaming\chunk.quietly.xml
2016-10-04 09:18 - 2016-10-04 09:18 - 0011264 _____ () C:\Users\USER\AppData\Roaming\Crypto.dll
2016-10-08 16:32 - 2016-10-08 16:37 - 0194977 _____ () C:\Users\USER\AppData\Roaming\Floorcloth.U
2016-09-15 12:08 - 2016-09-15 12:08 - 0534016 ___SH () C:\Users\USER\AppData\Roaming\Ground.exe
2016-09-21 11:41 - 2016-09-21 11:41 - 0188314 _____ () C:\Users\USER\AppData\Roaming\hamza.dyc
2016-09-21 11:41 - 2016-09-21 11:41 - 0000701 _____ () C:\Users\USER\AppData\Roaming\Minton.qus
2016-10-04 01:00 - 2016-10-04 01:00 - 0011108 _____ () C:\Users\USER\AppData\Roaming\NHNZzK5B9q.b626
2016-09-21 08:12 - 2016-09-21 08:12 - 0056320 _____ (LEAD Technologies, Inc.) C:\Users\USER\AppData\Roaming\Perl.dll
2016-10-04 01:00 - 2016-10-04 01:00 - 0020432 _____ () C:\Users\USER\AppData\Roaming\R-LfU3LVxl.b626
2016-10-04 01:00 - 2016-10-04 01:00 - 0063059 _____ () C:\Users\USER\AppData\Roaming\README.hta
2016-10-07 22:36 - 2016-10-07 22:36 - 0194678 _____ () C:\Users\USER\AppData\Roaming\serpigo.xzc
2016-09-21 15:49 - 2016-09-21 15:50 - 0189015 _____ () C:\Users\USER\AppData\Roaming\Shiel.w
2016-10-07 22:36 - 2016-10-07 22:36 - 0000299 _____ () C:\Users\USER\AppData\Roaming\sirens.cug
2016-10-08 01:00 - 2016-10-08 01:00 - 0004424 _____ () C:\Users\USER\AppData\Roaming\su1tW62Mzm.b626
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
