Hello à tous.

Un ami qui a un portable avec W7 a un pb avec son pc.

=> Apparemment, cela semble être un virus, ou quelque chose d'apparenté.

Et comme il n'avait pas d'anti virus .. impossible de passer le scan de son pc ..

Quels conseils avisés auriez vous à me donner ?

je pensais dans un premier temps démonter son HD et le brancher sur ma tour afin de le scanner avec Avira qui est installé sur ma tour (en mode sans echec je suppose ..) à confirmer ..

ou autre chose avant ?

merci de votre aide

Jumpty

Il faudrait commencer par un diagnostic de la machine

Commencez par ceci :https://forum.pcastuces.com/sujet.asp?f=26&s=60 vous posterez les rapports qu' avec le lien donné par CJoint

Je vous donnerai le site d' un AV par la suite.

Re,

----------------------------------------------------------------------------------------

Ok.

Faire Rapport de ZHPDiag (ZHPDiag.txt)

et Rapport de FRST de Farbar (Frst.txt & Addition.txt & shortcut.txt)

----------------------------------------------------------------------------------------

=> Ces 2 opérations sont à faire en mode "normal" ou en mode sans echec ?

En mode normal c' est préférable, si non en mode sans echec !

re

lancé le pc en mode normal

lorsque je lance ZHP cette fenêtre apparait :

lorsque je fais ouvrir il ouvre une fenêtre et la ferme aussitôt et cette même fenêtre revient

impossible à lancer ...

tenté de lancer FRST de Farbar , même pb

je vais tenter en mode sans echec

lorsque je lance la machine cette fenêtre apparait aussitot :

Il vous demande si vous voulez enregistrer ce fichier cliquez sur le petit triangle noir, vous cliquez ensuite sur "Enregistrer sous" puis dans Favoris puis dans Bureau.

fait

cela ne passe pas

je viens de remarquer cela :

lorsque je copie ZHP zet FRST sur le PC vérolé voici ce qui se passe :

j'ai retiré ce "id-8A01BBA3.[admin@stex77.com] et ai essayé de lancer ZHP. exe ZHP ne se lance pas...

dois tenter de lancer en mode sans échec ?

autre chose

parfois cette fenêtre apparait aussi :

Vous avez chopé un Ransomware, les fichiers sont cryptés, on vous demande de payer une rançon , surtout ne le faite pas , vous ne serez pas dépanné!

Il faut désinfecter l'ordinateur.
Pour la récupération des documents en général, il n'y a pas de solution.

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer

Plus d'infos : www.malekal.com%2Fransomware-solutions-recuperer-fichiers%2F&ppref=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">Ransomware : solution pour récupérer les fichiers

********************************

je peux tenter ceci :

débrancher son HD et le mettre sur ma tour afin de le scanner avec avira

qu'en pensez vous ?

Je crains qu' Avira ne changera rien , de plus si le virus est toujours présent il va contaminer ce qu'il y a dans la tour.

Ne brancher aucun DD externe ou clé USB sur votre PC infecté, qui si je comprends bien est un portable .

Pouvez vous coller la demande de rançon en fichier texte

***********

Si vous avez téléchargé ZHPDiag et FRST, vous devez les voir sur le bureau , postez moi une capture de l' écran ( Bureau)

Ne brancher aucun DD externe ou clé USB sur votre PC infecté, qui si je comprends bien est un portable .

voilà les opérations que j'ai faites :

j'ai téléchargé ZHPDiag et FRST sur une clé usb sur ma tour

ensuite j'ai mis la clé usb sur le portable vérolé

-

pour la demande de rançon je suppose que c'est ceci

https://www.cjoint.com/c/IJioGiNjQhp

Ça ressemble fort à une arnaque, les fichiers ne semblent pas cryptés

Téléchargez MBAM =>

Malwarebytes (MBAM)

• Téléchargez Malwarebytes ICI




• Procèdez à l'installation de celui çi, quand vous voyez cette fenetre cliquez sur la croix.



• Désactiver l'essai Premium, cliquez sur l'onglet Paramètres, puis sur Informations sur le compte et ensuite cliquez sur Désactiver l'essai Premium




• Une autre fenêtre s'ouvre en bas à droite, cochez devantJe n' ai pas besoin de la protection en temps réel et cliquez sur OK




• Cliquez sur l'onglet Paramètres puis sur l'onglet Protection

• => il faut que les trois cases Rechercher les rookits , et , Analyser les archives ,et, Utiliser la detection......, soient activées

• • Cliquez sur l'onglet Analyse

• Sélectionnez Analyse des menaces

• Cliquez sur Lancer l'analyse

• Une fois le scan terminé, si des menaces ont été trouvées, cliquez sur Quarantaine

• Si un message demande de redémarrer le PC pour terminer la suppression, acceptez

• Le rapport est disponible dans l'onglet Comptes-rendus.

• Cochez la case en face de Compte rendu d'analyse

• Cliquez sur Afficher le compte rendu

• Une autre fenêtre s'ouvre cliquez sur Exporter puis sur Fichier texte

• • Renommez- le en MBAM.txt

• Enregistrez le rapport sur le bureau, héberge le sur Cjoint ici (diffusion : Privée et durée : 21 jours) et postez le lien fourni

*********

Pouvez vous réaliser un ZHPDiag et frst ?

Re ,

impossible de lancer un navigateur su le portable ..

dois je tenter de télécharger MBAM) sur ma clé usb et transférer ensuite ?

mais par contre ..

j'ai l'impression que lorsque je vais la copier cela va faire idem que lorsque j'ai copié ZHP su le pv vérolé ?

Avant toute manœuvre faire ceci pour bloquer les malveillants

RKill (de BleepingComputer.com)
.
· Téléchargez et enregistrez RKill sur votre bureau.
· Lien de téléchargement
· Double-cliquez sur la version téléchargée de RKill pour le lancer.
· Une fenêtre noire va s’ouvrir pour une courte analyse.
· Ne touchez à rien et patientez pendant le processus.
· Cliquez sur OK à la fenêtre finale.
· Ne redémarrez pas l'ordinateur

Note:

Si vous redémarrez votre ordinateur, RKil aura perdu son utilité et il vous faudra recommencer cette étape.
RKill est un programme qui a été développé chez BleepingComputer.com qui tente de mettre fin aux processus de logiciels malveillants connus afin que votre logiciel de sécurité normal puisse alors exécuter et nettoyer votre ordinateur d'infections. Lorsque RKill exécute, il va tuer les processus de logiciels malveillants, puis supprime les associations exécutables incorrectes et corrige les politiques qui nous empêchent d'utiliser certains outils. Une fois terminé, il affichera un fichier journal qui montre les processus qui ont été terminés pendant le programme.

Comme RKill ne termine que le processus d'exécution d'un programme et ne supprime aucun fichier, après l'avoir exécuté, vous ne devez pas redémarrer votre ordinateur car tout processus de logiciels malveillants configuré pour démarrer automatiquement ne sera que recommencé. Au lieu de cela, après avoir exécuté RKill, vous devez immédiatement analyser votre ordinateur en utilisant une sorte de programme anti-malware ou anti-virus afin que les infections puissent être supprimées correctement.

****************

Essayez de lancer les outils depuis votre clé USB.

******************

Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple

Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation

1) j'ai téléchargé RKill sur ma clé usb

2) des que je mets ma clé usb dans le pc vérolé, le nom du fichier est transformé en :

je le copie sur le pc vérolé.. il garde donc ce nouveau nom..

je retire l'extension .id ......etc et se se lance pas

je voudrais éviter de lancer a partir de ma clé ...

j'ai l'impression que toute exécution est bloquée ..

en plus.. lorsque je lance un exe exemple ZHP il rajoute l'extension ".777money"

Avez vous essayé de restaurer à une date antérieure, c' est peut être la solution la plus simple

Si vous éteignez 3 ou 4 fois de suite par le bouton, vous obtiendrez une fenetre qui vous conduira à l' espace de réparation

****

Après une recherche sur le Web , il s' agit bien d' un ransomware, mais si on ne peut rien executer, ça va pas être facile de nettoyer

Allez dans les programmes installés et supprimez tout ce qui est lié à Admin@stex777.com

je vais aller voir pour essayer de restaurer ...

vous dites :

Allez dans les programmes installés et supprimez tout ce qui est lié à Admin@stex777.com

comment puis je voir tout ce qui est lié à Admin@stex777.com

il y a quantité de fichiers sur ma clé usb dont l'extension a été modifié en xxx.Admin@stex777.com

les trouver ok via recherche mais pour les renommer et retirer ces mauvaises extensions y a t-il un moyen ?

-------------

Autre ....

une idée ...

-

une capture (prise photo) du gestionnaire des taches (les processus) pourrait-il être utile (ce sera une photo car pas possible de lancer utilitaire de capture écran..) (lui, il se lance...)

de cette manière, on pourrait peut être arrêter les processus en cours d’exécution liés à Admin@stex777.com

qu'en dites vous?

j'ai passé un live CD antivirus "Avira Antivir Rescue System" téléchargé hier dessus, il trouve 1 positif , fichiers suspect 0 et avertissement 2 ...

mais avira a pas supprimé le virus ..

donc un antivirus ne peut rien faire ?

il y a plein de fichiers dont l'extension a été transformé en ".Admin@stex777.com" et plein d'autres en ".Admin@stex777.com.money"

N' utilisez plus votre clé sur votre machine !Formatez votre clé pour éviter de propager le virus vers d' autres PC ( le votre).

Non, Il n' y a aucun recours pour retrouver les fichiers dans le format d' origine , pour le moment .

Etant donné l' état de son PC, je ne vois plus qu' un formatage du disque et une réinstallation propre, avec la clé windows qui se trouve sous le PC , à vérifier.

aucun antivirus ne peut le supprimer (antivirus live ?)

Jumpty a écrit :

aucun antivirus ne peut le supprimer (antivirus live ?)

Hélas non, il faut utiliser les outils de désinfection.

Je répète, n' utilisez pas la clé sur votre machine, vous risquez de l' infecter.

pas moyen de le désactiver au démarrage ?
ou suppression processus ?

Encore faut il savoir quoi désactiver et mettre fin aux processus

Vous pouvez toujours essayer.......

je vais faire les photos et revenir vers vous ..
Par contre dans un de vos posts

vous dites :

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer

Plus d'infos : www.malekal.com%2Fransomware-solutions-recuperer-fichiers%2F&ppref=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">Ransomware : solution pour récupérer les fichiers

certains liens sont "collés" ou se superposent et sont non lançables ?

pourriez vous me les redonner

j'ai regardé la restauration système..

le plus vieux point de restauration enregistré date du 1/10/19 et le pb semble être apparu le 28 septembre, je crois donc que ce sera inefficace.
je vous dirais cela demain.

certains liens sont "collés" ou se superposent et sont non lançables ?

pourriez vous me les redonner

*

J' ai modifié le post, vous pouvez y retourner.

Ah ben non, il veut pas se modifier !!!

Il faut désinfecter l'ordinateur.
Pour la récupération des documents en général, il n'y a pas de solution.

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Sauvegarder les fichiers touchés par le ransomware quelques mois et surveiller cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> Liste des DecryptTools pour les ransomwares

Pour identifier le nom du ransomware :www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7"> https://id-ransomware.malwarehunterteam.com/

Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware. • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Il est possible tout de même de tenter les www.commentcamarche.net%2Fforum%2Fvirus-securite-7&currurl=https%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-36132975-virus-ransomware-windows-7">version précédentes avec Shadow Explorer

suis allé voir votre ancien post, pareil qu'avant ??
en plus certains liens sont cassés ????
-
aussi votre dernier post les liens sont aussi "mélangés ???? et certains liens ne fonctionnent pas ?

le ransomware a été identifié :

donc, si je comprends bien, à l'heure actuelle il semble impossible de décrypter les fichiers c'est cela ?

J'ai tenté de restaurer avec le pt de restauration le + ancien (qui datait du 1/10/2019 ), pb identique une fois le PC relancé..

j'ai tenté de faire une restauration usine avec la touche F11 au démarrage.. cela ne marche pas.. la partition recovery semble aussi encryptée

et comme la personne n'a pas fait ses cd de restauration, .... impossible de le remettre a l'état "usine"

avec un cd de windows 7 et la licence au verso cela va surement passer..

j'ai tenté un accès à la base de registre, il s'est lancé la recherche n'a rien trouvé concernant stex777 ????

concernant les processus :

cela donne :

y en a t-il de non légitimes ?

Msconfig donne :

quoi faire d'autre ?

faut-il tout ré-installer ?