Astucien | Hello à tous.
Un ami qui a un portable avec W7 a un pb avec son pc. => Apparemment, cela semble être un virus, ou quelque chose d'apparenté. Et comme il n'avait pas d'anti virus .. impossible de passer le scan de son pc .. Quels conseils avisés auriez vous à me donner ? je pensais dans un premier temps démonter son HD et le brancher sur ma tour afin de le scanner avec Avira qui est installé sur ma tour (en mode sans echec je suppose ..) à confirmer .. ou autre chose avant ? merci de votre aide | |||||||
Publicité | ||||||||
Groupe Sécurité ![]() |
Il faudrait commencer par un diagnostic de la machine Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint Je vous donnerai le site d' un AV par la suite. Modifié par El Magnifico le 08/10/2019 09:29 | |||||||
Astucien | Re, Ok. Faire Rapport de ZHPDiag (ZHPDiag.txt) et Rapport de FRST de Farbar (Frst.txt & Addition.txt & shortcut.txt) ----------------------------------------------------------------------------------------
| |||||||
Groupe Sécurité ![]() | En mode normal c' est préférable, si non en mode sans echec ! | |||||||
Astucien | re lancé le pc en mode normal lorsque je lance ZHP cette fenêtre apparait : lorsque je fais ouvrir il ouvre une fenêtre et la ferme aussitôt et cette même fenêtre revient impossible à lancer ... tenté de lancer FRST de Farbar , même pb je vais tenter en mode sans echec
lorsque je lance la machine cette fenêtre apparait aussitot : Modifié par Jumpty le 08/10/2019 15:33 | |||||||
Groupe Sécurité ![]() | Il vous demande si vous voulez enregistrer ce fichier cliquez sur le petit triangle noir, vous cliquez ensuite sur "Enregistrer sous" puis dans Favoris puis dans Bureau. Modifié par El Magnifico le 08/10/2019 15:28 | |||||||
Astucien | fait cela ne passe pas | |||||||
Astucien | je viens de remarquer cela : lorsque je copie ZHP zet FRST sur le PC vérolé voici ce qui se passe : j'ai retiré ce "id-8A01BBA3.[admin@stex77.com] et ai essayé de lancer ZHP. exe ZHP ne se lance pas... dois tenter de lancer en mode sans échec ? autre chose parfois cette fenêtre apparait aussi :
Modifié par Jumpty le 08/10/2019 15:52 | |||||||
Groupe Sécurité ![]() | Vous avez chopé un Ransomware, les fichiers sont cryptés, on vous demande de payer une rançon , surtout ne le faite pas , vous ne serez pas dépanné!
Modifié par El Magnifico le 09/10/2019 09:28 | |||||||
Publicité | ||||||||
Astucien | je peux tenter ceci : débrancher son HD et le mettre sur ma tour afin de le scanner avec avira qu'en pensez vous ? | |||||||
Groupe Sécurité ![]() | Je crains qu' Avira ne changera rien , de plus si le virus est toujours présent il va contaminer ce qu'il y a dans la tour. Ne brancher aucun DD externe ou clé USB sur votre PC infecté, qui si je comprends bien est un portable . Pouvez vous coller la demande de rançon en fichier texte *********** Si vous avez téléchargé ZHPDiag et FRST, vous devez les voir sur le bureau , postez moi une capture de l' écran ( Bureau) Modifié par El Magnifico le 08/10/2019 16:11 | |||||||
Astucien |
voilà les opérations que j'ai faites : j'ai téléchargé ZHPDiag et FRST sur une clé usb sur ma tour ensuite j'ai mis la clé usb sur le portable vérolé - pour la demande de rançon je suppose que c'est ceci https://www.cjoint.com/c/IJioGiNjQhp
Modifié par Jumpty le 08/10/2019 16:33 | |||||||
Groupe Sécurité ![]() | Ça ressemble fort à une arnaque, les fichiers ne semblent pas cryptés Téléchargez MBAM => Malwarebytes (MBAM)
• Sélectionnez Analyse des menaces
• Le rapport est disponible dans l'onglet Comptes-rendus.
• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni Pouvez vous réaliser un ZHPDiag et frst ?
| |||||||
Astucien | Re , impossible de lancer un navigateur su le portable ..
| |||||||
Groupe Sécurité ![]() | Avant toute manœuvre faire ceci pour bloquer les malveillants RKill (de BleepingComputer.com) **************** Essayez de lancer les outils depuis votre clé USB.
****************** Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation Modifié par El Magnifico le 08/10/2019 18:32 | |||||||
Astucien | 1) j'ai téléchargé RKill sur ma clé usb 2) des que je mets ma clé usb dans le pc vérolé, le nom du fichier est transformé en : je le copie sur le pc vérolé.. il garde donc ce nouveau nom.. je retire l'extension .id ......etc et se se lance pas je voudrais éviter de lancer a partir de ma clé ... j'ai l'impression que toute exécution est bloquée ..
en plus.. lorsque je lance un exe exemple ZHP il rajoute l'extension ".777money" Modifié par Jumpty le 08/10/2019 18:40 | |||||||
Groupe Sécurité ![]() | Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation **** Après une recherche sur le Web , il s' agit bien d' un ransomware, mais si on ne peut rien executer, ça va pas être facile de nettoyer Allez dans les programmes installés et supprimez tout ce qui est lié à Admin@stex777.com Modifié par El Magnifico le 08/10/2019 18:53 | |||||||
Publicité | ||||||||
Astucien | je vais aller voir pour essayer de restaurer ... vous dites :
comment puis je voir tout ce qui est lié à Admin@stex777.com il y a quantité de fichiers sur ma clé usb dont l'extension a été modifié en xxx.Admin@stex777.com les trouver ok via recherche mais pour les renommer et retirer ces mauvaises extensions y a t-il un moyen ? ------------- Autre .... une idée ... - une capture (prise photo) du gestionnaire des taches (les processus) pourrait-il être utile (ce sera une photo car pas possible de lancer utilitaire de capture écran..) (lui, il se lance...) de cette manière, on pourrait peut être arrêter les processus en cours d’exécution liés à Admin@stex777.com qu'en dites vous?
j'ai passé un live CD antivirus "Avira Antivir Rescue System" téléchargé hier dessus, il trouve 1 positif , fichiers suspect 0 et avertissement 2 ... mais avira a pas supprimé le virus ..
donc un antivirus ne peut rien faire ? il y a plein de fichiers dont l'extension a été transformé en ".Admin@stex777.com" et plein d'autres en ".Admin@stex777.com.money" Modifié par Jumpty le 08/10/2019 20:02 | |||||||
Groupe Sécurité ![]() | N' utilisez plus votre clé sur votre machine !Formatez votre clé pour éviter de propager le virus vers d' autres PC ( le votre). Non, Il n' y a aucun recours pour retrouver les fichiers dans le format d' origine , pour le moment . Etant donné l' état de son PC, je ne vois plus qu' un formatage du disque et une réinstallation propre, avec la clé windows qui se trouve sous le PC , à vérifier.
Modifié par El Magnifico le 08/10/2019 19:57 | |||||||
Astucien | aucun antivirus ne peut le supprimer (antivirus live ?) | |||||||
Groupe Sécurité ![]() | Jumpty a écrit : Hélas non, il faut utiliser les outils de désinfection. Je répète, n' utilisez pas la clé sur votre machine, vous risquez de l' infecter.
| |||||||
Astucien | pas moyen de le désactiver au démarrage ? | |||||||
Groupe Sécurité ![]() | Encore faut il savoir quoi désactiver et mettre fin aux processus Vous pouvez toujours essayer.......
| |||||||
Astucien | je vais faire les photos et revenir vers vous .. vous dites :
certains liens sont "collés" ou se superposent et sont non lançables ? pourriez vous me les redonner j'ai regardé la restauration système.. le plus vieux point de restauration enregistré date du 1/10/19 et le pb semble être apparu le 28 septembre, je crois donc que ce sera inefficace.
| |||||||
Groupe Sécurité ![]() |
* J' ai modifié le post, vous pouvez y retourner. Ah ben non, il veut pas se modifier !!!
Modifié par El Magnifico le 09/10/2019 09:38 | |||||||
Astucien | suis allé voir votre ancien post, pareil qu'avant ??
le ransomware a été identifié : donc, si je comprends bien, à l'heure actuelle il semble impossible de décrypter les fichiers c'est cela ?
J'ai tenté de restaurer avec le pt de restauration le + ancien (qui datait du 1/10/2019 ), pb identique une fois le PC relancé.. j'ai tenté de faire une restauration usine avec la touche F11 au démarrage.. cela ne marche pas.. la partition recovery semble aussi encryptée et comme la personne n'a pas fait ses cd de restauration, .... impossible de le remettre a l'état "usine" avec un cd de windows 7 et la licence au verso cela va surement passer.. j'ai tenté un accès à la base de registre, il s'est lancé la recherche n'a rien trouvé concernant stex777 ????
concernant les processus : cela donne : y en a t-il de non légitimes ?
Msconfig donne :
quoi faire d'autre ? faut-il tout ré-installer ? Modifié par Jumpty le 10/10/2019 09:12 | |||||||
Publicité | ||||||||