Sujet Précédent Sujet Suivant

Ransomware bloquée mais pas effacé (explorer.exe)

Résolu/Fermé
Dylan - Modifié le 3 déc. 2017 à 20:51
 Dylan - 6 déc. 2017 à 14:51
Bonjour, (je suis sur windows 10)

Cela fait une semaine que je lutte ardemment pour supprimer définitivement un rancomware bloqué par le software de CyberReason (gratuit). Le malware a malgré tout eu le temps de placé des fichiers de 10 MO environ sur mon disque dur. Ils sont supprimables mais ils reviennent et parfois déclenche le rancomware (CyberReason m'alerte donc l'activité d'un rancomware, et je le bloque a nouveau).

J'aimerai me débarrasser une bonne fois pour toute de ce vil flibustier.

Il me semble avoir tout essayé: AdWare, Malwarebytes, Kaspersky (payant qui ne detecte absolument rien malgré moult analyses)... et j'en passe...

Après des recherches intensives sur le net, il me semble que j'ai affaire a un rancomware qui aime prendre la place de "explorer.exe" (l'explorateur de fichier) pour faire croire que c'est un processus innocent, mais heureusement je ne suis né de la dernière pluie.

Je le traque donc en essayant plusieurs software qui ne détecte rien...
Je me retrouve donc avec des fichiers normaux et cachés qui contiennent des fichiers excel, powerpoint, word ou .txt, nommés d'une manière plutôt étranges comme :

capitol-fabrics-hide-freddy
continues-could-literature-handshake
functions-justice-newer-react

(ces noms n'ont rien à voir avec le nom de mes documents)

Je pourrais faire abstraction de ces fichiers mais je préfère savoir le rancomware hors de mon PC.

Je reprécise que après la suppression, ces fichiers non seulement :
reviennent (sous un autre nom random) mais parfois déclenche le rancomware (qui est tout de suite bloqué).

J'aimerai préciser que depuis l'infection, mon gestionnaire de tache affiche 40 processus "svchost.exe" en cours ! Je ne sais pas si c'est lié mais je le précise.

Bref, si une personne calée sur les malwares en tout genre pouvais me répondre (c'est assez complexe) je lui en serais infiniment reconnaissant !
A voir également:

2 réponses

Réponse 1 / 2
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
3 déc. 2017 à 20:52
Salut,

Donne des exemples d'alertes de CyberReason... c'est peut-être juste un faux positif.

et :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Dylan
4 déc. 2017 à 20:05
Merci pour ta réponse,
Voici la capture d'écran du message de RansomFree lorsque j'essaye de supprimer l'un de ces fichiers étranges : http://www.casimages.com/i/171204075349716025.png.html

J'appuie bien évidemment sur : "Oui" (pour "temporiser") je ne prends pas le risque d'appuyer sur "non" pour l'instant. (C'est le même message à chaque fois).

Voici les rapports :

Addition.txt : https://pjjoint.malekal.com/files.php?id=20171204_g1011v12g13d15
Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20171204_t13i14i9u14q13
FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20171204_i5i14w9o8b6
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588 > Dylan
4 déc. 2017 à 22:40
Pas infecté, donc faux positif, semble-t-il.

https://www.casimages.com/i/171204075349716025.png.html <= tu peux cliquer sur view affected files et donner une capture d'écran

A désinstaller, pas utile, déjà que tu as CCleaner qui ne l'est pas... alors Glary en plus;.
Glary Utilities
QuickTime
0
Dylan > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
5 déc. 2017 à 20:48
Voilà quand je clique sur "view affected files"
http://www.casimages.com/i/171205084620920204.png.html
(il désigne le dossier "étrange" que je viens de supprimer donc sa confirme le fait que ce soit une fausse alerte)

Donc je peux appuyer sur "NO" sans aucun risque ?

Merci pour tes recommandations
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588 > Dylan
5 déc. 2017 à 21:30
Ton CyberReason fume
tu devrais le désinstaller.
0
Dylan > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
6 déc. 2017 à 14:31
J'ai appuyé sur NO et effacé les fichiers mais ils reviennent toujours : /
Solution ?
0
Réponse 2 / 2
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 588
6 déc. 2017 à 14:44
Désinstalle CyberReason

Suis ces deux points pour sécuriser Windows :

1) Comment se protéger des scripts malicieux sur Windows

2) Firewall Windows : les bon réglages

0