Security-X
Forum Security-X => Désinfections => Discussion démarrée par: domi1968 le mars 22, 2017, 17:59:39
-
Bonjour,
En ouvrant un email "Facture L....." l'ensemble des fichiers sont cryptés en .CSS est il possible d'envisager qq chose à faire pour supprimer le virus ou faut il intégralement
réinstaller ?
Merci de vos conseils précieux
-
Bonsoir,
Ce n'est pas faute de répéter que c'est la notion primaire de sécurité informatique que de ne pas ouvrir les pièces jointes douteuses ...
Ransomware, logiciel crypteur effectivement.
Aucune possibilité de récupérer les documents chiffré à l'heure actuelle
Le système lui ne devrait pas être touché. Pas besoin de réinstaller donc.
On peut vérifier et supprimé les restes de l'infection au besoin, mais normalement une fois son méfait effectué, l'infection n'est plus active.
:AAN
-
"On peut vérifier et supprimé les restes de l'infection au besoin"
Je veux bien par quoi je commence s'il te plait ?
-
Re,
à faire pour un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
- Clique sur le bouton Analyser.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Bonsoir
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
Voici les deux rapports demandés
-
bonsoir
petit passage
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
https://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
c'est le même lien, et il est vide
tu dois le faire pour le rapport FRST.txt et le rapport Addition.txt
peux tu recommencer afin que hyunkel puisse analyser tes rapports
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Merci voici les bons liens je pense ...
https://up.security-x.fr/file.php?h=R709ef2faf7e06876bbfe97d273f4de87
https://up.security-x.fr/file.php?h=R7d1ee67d64ee22afe826992e4cdafb87
-
Re,
Platform: Windows 7 Professional Service Pack 1 (X64)
C'est un pc Professionnel ?
Tu sais qu'on ne prend pas en charge les professionnel, pour des raisons éthiques et légales normalement ...
Java(TM) 6 Update 20
Version très obsolète et donc très vulnérable .... à mettre à jour :
https://www.java.com/fr/
HKU\S-1-5-21-397797766-973118808-3096300245-1001\...\Run: [AdBackupPro] => C:\Program Files\Thelis Backup\Client\Thelis Backup.exe [517328 2017-02-24] (Oodrive)
C'est une sauvegarde externe ?
Elle était connectée pendant l'infection du ransomware ?
Comme attendu, pas de trace active de l'infection.
Par contre :
2017-03-21 10:52 - 2017-03-21 11:12 - 00683888 _____ C:\bootmgr.css
2017-03-21 10:52 - 2017-03-21 11:12 - 00001604 _____ C:\OS.css
ça peut poser des problèmes s'il a crypté des fichiers système aussi important ...
Il va peut-être falloir envisager une réinstallation propre finalement.
Tu peux aussi rechercher et supprimer tous ces fichiers, qui sont lié à l'infection :
C:\Users\Admin\Desktop\Comment débloquer mes fichiers .txt
-
Bonsoir,
Il s'agit du PC d'un jeune couple d'amis qui viennent tout juste de reprendre un terrain de camping en rase campagne.
D'où la présence de ce PC elle a ouvert un email et a paniqué devant l'ampleur du cryptage.
La sauvegarde était sur le même poste donc infectée aussi.
J'ai fait la mise à jour de Java et supprimé les .txt
Il semble tourner comme il faut, on peut désinstaller des programmes et en réinstaller cela semble fonctionner.
A ton avis faut il faire autre chose ?
-
Re,
Niveau infectieux, non, mais je vois un grand nombre de raccourci chiffré par l'infection, donc il risque d'y avoir pas mal d'erreur à venir ... (lorsqu'ils voudront lancer des programme, etc ...)
Et donc rappel : une sauvegarde ne vaut que si elle est indépendante du système ...
Cela évite le cas présent, mais aussi le cas d'une surtension, ou autre ...
-
Merci pour tes conseils.
Bonne fin de semaine à tous