> Tous les forums > Forum Analyse de rapports et désinfection
 [El Magnifico] Conseil & aide pour dévirussageSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Jumpty
  Posté le 08/10/2019 @ 09:14 
Aller en bas de la page 
Astucien

Hello à tous.

Un ami qui a un portable avec W7 a un pb avec son pc.

=> Apparemment, cela semble être un virus, ou quelque chose d'apparenté.

Et comme il n'avait pas d'anti virus .. impossible de passer le scan de son pc ..

Quels conseils avisés auriez vous à me donner ?

je pensais dans un premier temps démonter son HD et le brancher sur ma tour afin de le scanner avec Avira qui est installé sur ma tour (en mode sans echec je suppose ..) à confirmer ..

ou autre chose avant ?

merci de votre aide

Publicité
El Magnifico
 Posté le 08/10/2019 à 09:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Jumpty

Il faudrait commencer par un diagnostic de la machine

Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

Je vous donnerai le site d' un AV par la suite.



Modifié par El Magnifico le 08/10/2019 09:29
Jumpty
 Posté le 08/10/2019 à 10:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

----------------------------------------------------------------------------------------

Ok.

Faire Rapport de ZHPDiag (ZHPDiag.txt)

et Rapport de FRST de Farbar (Frst.txt & Addition.txt & shortcut.txt)

----------------------------------------------------------------------------------------


=> Ces 2 opérations sont à faire en mode "normal" ou en mode sans echec ?

El Magnifico
 Posté le 08/10/2019 à 12:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

En mode normal c' est préférable, si non en mode sans echec !

Jumpty
 Posté le 08/10/2019 à 15:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

re

lancé le pc en mode normal

lorsque je lance ZHP cette fenêtre apparait :

lorsque je fais ouvrir il ouvre une fenêtre et la ferme aussitôt et cette même fenêtre revient

impossible à lancer ...

tenté de lancer FRST de Farbar , même pb

je vais tenter en mode sans echec

lorsque je lance la machine cette fenêtre apparait aussitot :



Modifié par Jumpty le 08/10/2019 15:33
El Magnifico
 Posté le 08/10/2019 à 15:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il vous demande si vous voulez enregistrer ce fichier cliquez sur le petit triangle noir, vous cliquez ensuite sur "Enregistrer sous" puis dans Favoris puis dans Bureau.



Modifié par El Magnifico le 08/10/2019 15:28
Jumpty
 Posté le 08/10/2019 à 15:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

fait

cela ne passe pas

Jumpty
 Posté le 08/10/2019 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

je viens de remarquer cela :

lorsque je copie ZHP zet FRST sur le PC vérolé voici ce qui se passe :

j'ai retiré ce "id-8A01BBA3.[admin@stex77.com] et ai essayé de lancer ZHP. exe ZHP ne se lance pas...

dois tenter de lancer en mode sans échec ?

autre chose

parfois cette fenêtre apparait aussi :



Modifié par Jumpty le 08/10/2019 15:52
El Magnifico
 Posté le 08/10/2019 à 15:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Vous avez chopé un Ransomware, les fichiers sont cryptés, on vous demande de payer une rançon , surtout ne le faite pas , vous ne serez pas dépanné!


Il faut désinfecter l'ordinateur.
Pour la récupération des documents en général, il n'y a pas de solution.

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer

Plus d'infos : www.malekal.com%2Fransomware-solutions-recuperer-fichiers%2F&ppref=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">Ransomware : solution pour récupérer les fichiers

********************************



Modifié par El Magnifico le 09/10/2019 09:28
Publicité
Jumpty
 Posté le 08/10/2019 à 15:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

je peux tenter ceci :

débrancher son HD et le mettre sur ma tour afin de le scanner avec avira

qu'en pensez vous ?

El Magnifico
 Posté le 08/10/2019 à 16:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je crains qu' Avira ne changera rien , de plus si le virus est toujours présent il va contaminer ce qu'il y a dans la tour.

Ne brancher aucun DD externe ou clé USB sur votre PC infecté, qui si je comprends bien est un portable .

Pouvez vous coller la demande de rançon en fichier texte

***********

Si vous avez téléchargé ZHPDiag et FRST, vous devez les voir sur le bureau , postez moi une capture de l' écran ( Bureau)



Modifié par El Magnifico le 08/10/2019 16:11
Jumpty
 Posté le 08/10/2019 à 16:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ne brancher aucun DD externe ou clé USB sur votre PC infecté, qui si je comprends bien est un portable .

voilà les opérations que j'ai faites :

j'ai téléchargé ZHPDiag et FRST sur une clé usb sur ma tour

ensuite j'ai mis la clé usb sur le portable vérolé

-

pour la demande de rançon je suppose que c'est ceci

https://www.cjoint.com/c/IJioGiNjQhp



Modifié par Jumpty le 08/10/2019 16:33
El Magnifico
 Posté le 08/10/2019 à 16:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ça ressemble fort à une arnaque, les fichiers ne semblent pas cryptés

Téléchargez MBAM =>

Malwarebytes (MBAM)

Image• Téléchargez Malwarebytes ICI

Image


• Procèdez à l'installation de celui çi, quand vous voyez cette fenetre cliquez sur la croix.

Image

• Désactiver l'essai Premium, cliquez sur l'onglet Paramètres, puis sur Informations sur le compte et ensuite cliquez sur Désactiver l'essai Premium

Image


• Une autre fenêtre s'ouvre en bas à droite, cochez devantJe n' ai pas besoin de la protection en temps réel et cliquez sur OK

Image


• Cliquez sur l'onglet Paramètres puis sur l'onglet Protection

  • => il faut que les trois cases Rechercher les rookits , et , Analyser les archives ,et, Utiliser la detection......, soient activées

  • • Cliquez sur l'onglet Analyse

• Sélectionnez Analyse des menaces

• Cliquez sur Lancer l'analyse

• Une fois le scan terminé, si des menaces ont été trouvées, cliquez sur Quarantaine

  • Si un message demande de redémarrer le PC pour terminer la suppression, acceptez

• Le rapport est disponible dans l'onglet Comptes-rendus.

• Cochez la case en face de Compte rendu d'analyse

• Cliquez sur Afficher le compte rendu

• Une autre fenêtre s'ouvre cliquez sur Exporter puis sur Fichier texte

  • • Renommez- le en MBAM.txt

• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni

*********

Pouvez vous réaliser un ZHPDiag et frst ?

Jumpty
 Posté le 08/10/2019 à 17:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re ,

impossible de lancer un navigateur su le portable ..


dois je tenter de télécharger MBAM) sur ma clé usb et transférer ensuite ?


mais par contre ..


j'ai l'impression que lorsque je vais la copier cela va faire idem que lorsque j'ai copié ZHP su le pv vérolé ?

El Magnifico
 Posté le 08/10/2019 à 18:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Avant toute manœuvre faire ceci pour bloquer les malveillants

RKill (de BleepingComputer.com)
.
· Téléchargez et enregistrez RKill sur votre bureau.
· Lien de téléchargement
· Double-cliquez sur la version téléchargée de RKill pour le lancer.
· Une fenêtre noire va s’ouvrir pour une courte analyse.
· Ne touchez à rien et patientez pendant le processus.
· Cliquez sur OK à la fenêtre finale.
· Ne redémarrez pas l'ordinateur

Note:

Si vous redémarrez votre ordinateur, RKil aura perdu son utilité et il vous faudra recommencer cette étape.
RKill est un programme qui a été développé chez BleepingComputer.com qui tente de mettre fin aux processus de logiciels malveillants connus afin que votre logiciel de sécurité normal puisse alors exécuter et nettoyer votre ordinateur d'infections. Lorsque RKill exécute, il va tuer les processus de logiciels malveillants, puis supprime les associations exécutables incorrectes et corrige les politiques qui nous empêchent d'utiliser certains outils. Une fois terminé, il affichera un fichier journal qui montre les processus qui ont été terminés pendant le programme.

Comme RKill ne termine que le processus d'exécution d'un programme et ne supprime aucun fichier, après l'avoir exécuté, vous ne devez pas redémarrer votre ordinateur car tout processus de logiciels malveillants configuré pour démarrer automatiquement ne sera que recommencé. Au lieu de cela, après avoir exécuté RKill, vous devez immédiatement analyser votre ordinateur en utilisant une sorte de programme anti-malware ou anti-virus afin que les infections puissent être supprimées correctement.

****************

Essayez de lancer les outils depuis votre clé USB.

******************

Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple

Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation



Modifié par El Magnifico le 08/10/2019 18:32
Jumpty
 Posté le 08/10/2019 à 18:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

1) j'ai téléchargé RKill sur ma clé usb

2) des que je mets ma clé usb dans le pc vérolé, le nom du fichier est transformé en :

je le copie sur le pc vérolé.. il garde donc ce nouveau nom..

je retire l'extension .id ......etc et se se lance pas

je voudrais éviter de lancer a partir de ma clé ...

j'ai l'impression que toute exécution est bloquée ..

en plus.. lorsque je lance un exe exemple ZHP il rajoute l'extension ".777money"



Modifié par Jumpty le 08/10/2019 18:40
El Magnifico
 Posté le 08/10/2019 à 18:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple

Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation

****

Après une recherche sur le Web , il s' agit bien d' un ransomware, mais si on ne peut rien executer, ça va pas être facile de nettoyer

Allez dans les programmes installés et supprimez tout ce qui est lié à Admin@stex777.com



Modifié par El Magnifico le 08/10/2019 18:53
Publicité
Jumpty
 Posté le 08/10/2019 à 19:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

je vais aller voir pour essayer de restaurer ...

vous dites :

Allez dans les programmes installés et supprimez tout ce qui est lié à Admin@stex777.com

comment puis je voir tout ce qui est lié à Admin@stex777.com

il y a quantité de fichiers sur ma clé usb dont l'extension a été modifié en xxx.Admin@stex777.com

les trouver ok via recherche mais pour les renommer et retirer ces mauvaises extensions y a t-il un moyen ?

-------------

Autre ....

une idée ...

-

une capture (prise photo) du gestionnaire des taches (les processus) pourrait-il être utile (ce sera une photo car pas possible de lancer utilitaire de capture écran..) (lui, il se lance...)

de cette manière, on pourrait peut être arrêter les processus en cours d’exécution liés à Admin@stex777.com

qu'en dites vous?

j'ai passé un live CD antivirus "Avira Antivir Rescue System" téléchargé hier dessus, il trouve 1 positif , fichiers suspect 0 et avertissement 2 ...

mais avira a pas supprimé le virus ..

donc un antivirus ne peut rien faire ?

il y a plein de fichiers dont l'extension a été transformé en ".Admin@stex777.com" et plein d'autres en ".Admin@stex777.com.money"



Modifié par Jumpty le 08/10/2019 20:02
El Magnifico
 Posté le 08/10/2019 à 19:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

N' utilisez plus votre clé sur votre machine !Formatez votre clé pour éviter de propager le virus vers d' autres PC ( le votre).

Non, Il n' y a aucun recours pour retrouver les fichiers dans le format d' origine , pour le moment .

Etant donné l' état de son PC, je ne vois plus qu' un formatage du disque et une réinstallation propre, avec la clé windows qui se trouve sous le PC , à vérifier.



Modifié par El Magnifico le 08/10/2019 19:57
Jumpty
 Posté le 08/10/2019 à 20:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

aucun antivirus ne peut le supprimer (antivirus live ?)

El Magnifico
 Posté le 08/10/2019 à 20:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Jumpty a écrit :

aucun antivirus ne peut le supprimer (antivirus live ?)

Hélas non, il faut utiliser les outils de désinfection.

Je répète, n' utilisez pas la clé sur votre machine, vous risquez de l' infecter.

Jumpty
 Posté le 08/10/2019 à 20:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

pas moyen de le désactiver au démarrage ?
ou suppression processus ?

El Magnifico
 Posté le 08/10/2019 à 20:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Encore faut il savoir quoi désactiver et mettre fin aux processus

Vous pouvez toujours essayer.......

Jumpty
 Posté le 08/10/2019 à 23:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

je vais faire les photos et revenir vers vous ..
Par contre dans un de vos posts

vous dites :

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer

Plus d'infos : www.malekal.com%2Fransomware-solutions-recuperer-fichiers%2F&ppref=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">Ransomware : solution pour récupérer les fichiers

certains liens sont "collés" ou se superposent et sont non lançables ?

pourriez vous me les redonner

j'ai regardé la restauration système..

le plus vieux point de restauration enregistré date du 1/10/19 et le pb semble être apparu le 28 septembre, je crois donc que ce sera inefficace.
je vous dirais cela demain.

El Magnifico
 Posté le 09/10/2019 à 09:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

certains liens sont "collés" ou se superposent et sont non lançables ?

pourriez vous me les redonner

*

J' ai modifié le post, vous pouvez y retourner.

Ah ben non, il veut pas se modifier !!!


Il faut désinfecter l'ordinateur.
Pour la récupération des documents en général, il n'y a pas de solution.

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer



Modifié par El Magnifico le 09/10/2019 09:38
Jumpty
 Posté le 09/10/2019 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

suis allé voir votre ancien post, pareil qu'avant ??
en plus certains liens sont cassés ????
-
aussi votre dernier post les liens sont aussi "mélangés ???? et certains liens ne fonctionnent pas ?

le ransomware a été identifié :

donc, si je comprends bien, à l'heure actuelle il semble impossible de décrypter les fichiers c'est cela ?

J'ai tenté de restaurer avec le pt de restauration le + ancien (qui datait du 1/10/2019 ), pb identique une fois le PC relancé..

j'ai tenté de faire une restauration usine avec la touche F11 au démarrage.. cela ne marche pas.. la partition recovery semble aussi encryptée

et comme la personne n'a pas fait ses cd de restauration, .... impossible de le remettre a l'état "usine"

avec un cd de windows 7 et la licence au verso cela va surement passer..

j'ai tenté un accès à la base de registre, il s'est lancé la recherche n'a rien trouvé concernant stex777 ????

concernant les processus :

cela donne :

y en a t-il de non légitimes ?

Msconfig donne :

quoi faire d'autre ?

faut-il tout ré-installer ?



Modifié par Jumpty le 10/10/2019 09:12
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
[Pierre95]Pc infecte, aide pour enlever les bestioles svp,merci!
[Pierre95]Bonjour demande d'aide pour désinfection publicité et PC lent
[Pierre95]Quelqu'un pour me venir en aide?
Aide pour un ordi suuuuuuper lent
[El Magnifico]aide pour lire un rapport frst 64
Pc lent....demande d'aide pour y mettre de l'ordre!
[El Magnifico] Aide pour Cheval de Troie
"A l'aide"
Aide à la désinfection sur PC Asus - Windows 7
Virus ? Vous en reprendrez bien un petit pour la route...
Plus de sujets relatifs à [El Magnifico] Conseil & aide pour dévirussage
 > Tous les forums > Forum Analyse de rapports et désinfection