Auteur Sujet: Suspection de ransomware via le NAS... ? Analyse "FRST"  (Lu 860 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Bonjour

Voyez ce que çà m'affiche quand je veux mettre à jour le firewall ?


rapports :
FRST : https://cjoint.com/c/LFtsmTHBkTI

Addition : https://cjoint.com/c/LFtsnrW8wJI

Shortcut : https://cjoint.com/c/LFtsnGLuC0I


Merci par avance

Security-X


En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #1 le: juin 20, 2022, 16:09:57 »
Bonjour

Pourquoi pensez-vous à un ransomware ?
Y a t-il des fichiers cryptés avec une même extension ?
y a t-il une "demande de rançon "?

C'est le seul symptôme que vous ayez, la mise a jour de simplewall ?

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #2 le: juin 20, 2022, 17:21:39 »
Non, en fait, ça me plante lors de transfert de fichier, l'explorateur ne répond plus, je stoppe le transfert en vain...

et là je n'accède plus au NAS en ayant désactivé le SMB 1.0


je ne comprends pas vraiment ce qu'il se passe... (j'ai perdu trop de temps entre hier et aujourd'hui à chercher... sans succès)




En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #3 le: juin 20, 2022, 17:49:11 »
Vous utilisez VirtualBox ?
C'est dans VirtualBox que vous utilisez le NAS ?

Le NAS, est-ce que le ping fonctionne ?

Citer
là je n'accède plus au NAS en ayant désactivé le SMB 1.0
Si vous le réactivez, est-ce que ca fonctionne ?

IL y a énormément de restrictions système, je suppose que c'est simplewall qui les a mises en place.
Est-ce que vous pouvez les désactiver, pour voir ?
Ne pas désinstaller simplewall, mais dans ce programme, lever  les restrictions  (le temps d'un test)

Dans les rapports, je ne vois pas de trace de malware.
Essayez quand même de lancer Malwarebytes Anti-Malware , et postez le rapport .

Le tuto :  https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #4 le: juin 20, 2022, 18:51:09 »
Vous utilisez VirtualBox ?
C'est dans VirtualBox que vous utilisez le NAS ?

Le NAS, est-ce que le ping fonctionne ?

Citer
là je n'accède plus au NAS en ayant désactivé le SMB 1.0
Si vous le réactivez, est-ce que ca fonctionne ?

IL y a énormément de restrictions système, je suppose que c'est simplewall qui les a mises en place.
Est-ce que vous pouvez les désactiver, pour voir ?
Ne pas désinstaller simplewall, mais dans ce programme, lever  les restrictions  (le temps d'un test)

Dans les rapports, je ne vois pas de trace de malware.
Essayez quand même de lancer Malwarebytes Anti-Malware , et postez le rapport .

Le tuto :  https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/

Non le NAS je l'utilisait dans l'explorateur Windows.

SI par ping vous entendez, faire en cmd admin "ping + adresse IP du NAS" paquets envoyés, 4 dont 4 reçus, aucune perte.

Oui quand je réactive SMB 1.0 ça fonctionne il me semble du moins au premier redémarrage... ça me fait pareil pour la box. le HDD de la box.

J'ai désinstallé simplewall, tant pis, au pire je le réinstallerais plus tard, à voir...

Oui j'ai MB, je vous joint le résultat :

Citer
Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 20/06/2022
Durée d'analyse: 18:47
Fichier journal: a77495ca-f0b8-11ec-a4bc-00ffdc967f1c.json

-Informations du logiciel-
Version: 4.5.10.200
Version de composants: 1.0.1702
Version de pack de mise à jour: 1.0.56329
Licence: Premium

-Informations système-
Système d'exploitation: Windows 11 (Build 22000.739)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-QSIJO3M\Anthony

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 354169
Menaces détectées: 0
Menaces mises en quarantaine: 0
Temps écoulé: 1 min, 32 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Merci beaucoup encore !

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #5 le: juin 20, 2022, 18:58:42 »
Même problématique sans simplewall...





toujours pas d'accès au NAS ni à la box, même message d'erreur (voir captures ci-dessus)

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #6 le: juin 20, 2022, 19:00:09 »

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #7 le: juin 20, 2022, 19:02:51 »
Telechargez Farbar Services Scanner : https://www.bleepingcomputer.com/download/farbar-service-scanner/
Lancez le, cochez toutes les cases
Un rapport va s'afficher , postez le

C'est confirmé, il n'y a pas de malware.

Mais j'ai bien peur que ce soit simplewall qui ait mis la pagaille.
et si en le désinstallant, il a laissé toutes les règles, ca risque de ne pas être simple.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #8 le: juin 20, 2022, 19:06:31 »
Citer
Farbar Service Scanner Version: 15-06-2022
Ran by Anthony (administrator) on 20-06-2022 at 19:05:42
Running from "C:\Users\jeann\OneDrive\Bureau"
Windows 10 Home  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============


Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============


Firewall Disabled Policy:
==================


System Restore:
============


System Restore Policy:
========================


Windows Security:
============


Windows Defender:
==============


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => File is digitally signed
C:\Windows\System32\Drivers\nsiproxy.sys => File is digitally signed
C:\Windows\System32\Drivers\netbt.sys => File is digitally signed
C:\Windows\System32\Drivers\tdx.sys => File is digitally signed
C:\Windows\System32\Drivers\afd.sys => File is digitally signed
C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\System32\dnsrslvr.dll => File is digitally signed
C:\Windows\System32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\System32\mpssvc.dll => File is digitally signed
C:\Windows\System32\bfe.dll => File is digitally signed
C:\Windows\System32\Drivers\mpsdrv.sys => File is digitally signed
C:\Windows\System32\SDRSVC.dll => File is digitally signed
C:\Windows\System32\vssvc.exe => File is digitally signed
C:\Windows\System32\SecurityHealthService.exe => File is digitally signed
C:\Windows\System32\wscsvc.dll => File is digitally signed
C:\Windows\System32\\wbem\WMIsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\System32\ipnathlp.dll => File is digitally signed
C:\Windows\System32\iphlpsvc.dll => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed


**** End of log ****

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #9 le: juin 20, 2022, 19:07:27 »
Windows Autoupdate Disabled Policy:
============================
ATTENTION!=====> policy restriction on WindowsUpdate: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #10 le: juin 20, 2022, 20:40:54 »
c'était "Hard_Configurator" qui était sur disable SMB
j'ai mis ça et c'est bon au redémarrage


En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #11 le: juin 21, 2022, 11:00:19 »
Re

Ok pour le SMB.
Faites quand même attention avec tous ces outils censés améliorer la protection, on risque de se retrouver avec des effets secondaires inattendus.

On en est où, alors, maintenant ?


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #12 le: juin 21, 2022, 11:23:33 »
Re

Ok pour le SMB.
Faites quand même attention avec tous ces outils censés améliorer la protection, on risque de se retrouver avec des effets secondaires inattendus.

On en est où, alors, maintenant ?

Re,

oui ça va, sauf simplewall qui ne veut pas se mettre à jour...


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #13 le: juin 21, 2022, 11:35:02 »
De plus j'ai eu un écran bleu BSOD


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #14 le: juin 21, 2022, 14:48:19 »
j'ai définitivement (je pense) désinstallé simplewall car c'est l'un des seuls à poser problème...


En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #15 le: juin 21, 2022, 16:48:05 »
Re

Il y a des chances pour que ce soit lui qui bugge.

On va nettoyer les outils utilisés :

  • Désactiver temporairement l' antivirus
  • Télécharger KPRM (de Kernel-panik) sur le bureau :  KPRM
  • Lancer l'exécution par clic-droit -> Exécuter en tant qu'administrateur
  • Cocher les cases : comme sur l'image ci dessous



Cliquer sur [Exécuter]...laisser travailler jusqu'au message indiquant la fin des opérations


Poster le  rapport kprm-aaaammjj.txt , qui se trouve sur le bureau


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #16 le: juin 21, 2022, 17:15:22 »
Re

Il y a des chances pour que ce soit lui qui bugge.

On va nettoyer les outils utilisés :

  • Désactiver temporairement l' antivirus
  • Télécharger KPRM (de Kernel-panik) sur le bureau :  KPRM
  • Lancer l'exécution par clic-droit -> Exécuter en tant qu'administrateur
  • Cocher les cases : comme sur l'image ci dessous



Cliquer sur [Exécuter]...laisser travailler jusqu'au message indiquant la fin des opérations


Poster le  rapport kprm-aaaammjj.txt , qui se trouve sur le bureau

J'ai supprimé manuellement ce qui était sur le bureau avant vos instructions.

je le lance quand même ?

Merci pour l'aide

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #17 le: juin 21, 2022, 17:29:48 »
je vais (cette nuit) faire un memtest86

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #18 le: juin 21, 2022, 18:09:05 »
Si vous l'avez supprimé manuellement, c'est bon.
Il reste malgré tout le dossier C:\FRST .

Et les autres outils si vous en avez utilisé.

Bonne idée pour le test mémoire.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #19 le: juin 21, 2022, 18:10:55 »
Si vous l'avez supprimé manuellement, c'est bon.
Il reste malgré tout le dossier C:\FRST .

Et les autres outils si vous en avez utilisé.

Bonne idée pour le test mémoire.

L'idée ne vient pas de moi, mais merci de m'encourager en ce sens.

Ok.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #20 le: juin 21, 2022, 18:12:29 »
Citer
# Run at 21/06/2022 18:12:01
# KpRm (Kernel-panik) version 2.9.3
# Website https://kernel-panik.me/tool/kprm/
# Run by Anthony from C:\Users\jeann\OneDrive\Bureau
# Computer Name: DESKTOP-QSIJO3M
# OS: Windows 10 X64 (22000)
# Number of passes: 1

- Checked options -

    ~ Delete Tools
    ~ Delete Quarantines

- Delete Tools -


  ## AdwCleaner
     [OK] C:\Users\jeann\OneDrive\Bureau\PortableApps\AdwCleaner 8.3.2.0_Portable.exe deleted
     [OK] C:\AdwCleaner deleted

  ## FRST
     [OK] C:\Users\jeann\OneDrive\Bureau\Maintenance\FRST-OlderVersion deleted
     [OK] C:\Users\jeann\OneDrive\Bureau\Maintenance\FRST\Addition.txt deleted
     [OK] C:\Users\jeann\OneDrive\Bureau\Maintenance\FRST\FRST.txt deleted
     [OK] C:\Users\jeann\OneDrive\Bureau\Maintenance\FRST\Shortcut.txt deleted
     [OK] C:\Users\jeann\Downloads\Addition.txt deleted
     [OK] C:\Users\jeann\Downloads\FRST.txt deleted
     [OK] C:\FRST deleted

-- KPRM finished in 2.46s --

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #21 le: juin 21, 2022, 18:16:54 »
Si le test mémoire est en relation avec le BSOD, c'est une vérification qui peut être utile.
Je ne pense pas que ça en soit l'origine.

ce qui pourrait être intéressant, c'est la vérification des fichiers système :
Attention, ça peut etre assez long .

Ouvrir une invite de commandes avec élévation de privilèges
Cliquer droit sur Démarrer >> puis sur  Windows PowerShell (admin)
Puis copie/coller la commande suivante:
Dism /Online /Cleanup-Image /ScanHealth valider avec la touche Entrée
Cette opération peut prendre plusieurs minutes (15)
Si c'est bon il y aura le message (Aucun endommagement du magasin de composants n’a été détecté)

Si il y a le message  (Le magasin de composants est réparable)
Copie/coller la commande suivante :
Dism /Online /Cleanup-Image /RestoreHealth  >> valider avec la touche Entrée
Si tout se passe bien, il y  aura le message  (La restauration a été effectuée. L’opération a réussi)
Redémarrer  l'ordinateur

Après.
Ouvrir l'invite de commande
Cliquer droit sur Démarrer >> puis sur  Invite de commandes (admin)
Taper  sfc /scannow  >> valider avec la touche Entrée
Attendre la fin du scan.. Et redémarrer le PC
Normalement, si tout va bien, le scan corrigera les erreurs qu'il trouvera.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #22 le: juin 21, 2022, 18:22:55 »
Si le test mémoire est en relation avec le BSOD, c'est une vérification qui peut être utile.
Je ne pense pas que ça en soit l'origine.

ce qui pourrait être intéressant, c'est la vérification des fichiers système :
Attention, ça peut etre assez long .

Ouvrir une invite de commandes avec élévation de privilèges
Cliquer droit sur Démarrer >> puis sur  Windows PowerShell (admin)
Puis copie/coller la commande suivante:
Dism /Online /Cleanup-Image /ScanHealth valider avec la touche Entrée
Cette opération peut prendre plusieurs minutes (15)
Si c'est bon il y aura le message (Aucun endommagement du magasin de composants n’a été détecté)

Si il y a le message  (Le magasin de composants est réparable)
Copie/coller la commande suivante :
Dism /Online /Cleanup-Image /RestoreHealth  >> valider avec la touche Entrée
Si tout se passe bien, il y  aura le message  (La restauration a été effectuée. L’opération a réussi)
Redémarrer  l'ordinateur

Après.
Ouvrir l'invite de commande
Cliquer droit sur Démarrer >> puis sur  Invite de commandes (admin)
Taper  sfc /scannow  >> valider avec la touche Entrée
Attendre la fin du scan.. Et redémarrer le PC
Normalement, si tout va bien, le scan corrigera les erreurs qu'il trouvera.

J'ai fait tout ça il n'y a pas longtemps mais je vais le refaire ;) même sfc/ scannow

en fait ma clé Ventoy contient l'img de memtest mais au démarrage apparaîssent les autres ISO et en F4 memdisk c'est ça ?

je ne comprend pas.

Merci encore je vous tient au courant !

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #23 le: juin 21, 2022, 18:25:47 »
aucun endommagement du magasin..

même souci ma freebox et mon NAS non detectés.
au redémarrage !

là je suis perdu

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #24 le: juin 21, 2022, 18:26:53 »
En fait c'est bon, il fallait re entrer le mot de passe d'accès réseau de ces outils..


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #25 le: juin 22, 2022, 02:08:38 »
https://cjoint.com/data3/LFwahKHpn7l_CBS.log
(disponible 4 jours)

rapport sfc /scannow

il a réparé des fichiers endommagés


Merci.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #26 le: juin 22, 2022, 09:54:12 »
dans l'explorateur :


au démarrage :

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #27 le: juin 22, 2022, 11:59:27 »
Bonjour

Ok pour SFC.

par contre, je n'ai pas compris les 2 dernières captures.
Elles représentent quoi ?

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #28 le: juin 22, 2022, 16:39:52 »
Bonjour

Ok pour SFC.

par contre, je n'ai pas compris les 2 dernières captures.
Elles représentent quoi ?
Bonjour

Pour faire un memtest, j'ai une clé Ventoy, mais quand je veux démarrer sur memtest il n'apparaît pas dans la liste des iso de démarrage "Ventoy"

capture de ma clé USB en image 1
capture de mon boot en position clé USB Ventoy, pas de memtest nulle part

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #29 le: juin 22, 2022, 16:57:24 »
Re

Pour memtest, il faut mettre une image ISO , et non une image IMG.
Je pense que c'est pour ça qu'il n'est pas vu au démarrage de la clé.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #30 le: juin 22, 2022, 17:05:27 »
Re

Pour memtest, il faut mettre une image ISO , et non une image IMG.
Je pense que c'est pour ça qu'il n'est pas vu au démarrage de la clé.

comment faire ? changer l'extension uniquement ?

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #31 le: juin 22, 2022, 17:11:56 »
Non, le plus simple est de télécharger l'ISO.

https://www.memtest86.com/downloads/memtest86-4.3.7-iso.zip

Le dézipper avant de le mettre sur la clé

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #32 le: juin 22, 2022, 18:30:11 »
Non, le plus simple est de télécharger l'ISO.

https://www.memtest86.com/downloads/memtest86-4.3.7-iso.zip

Le dézipper avant de le mettre sur la clé

je mets que l'.iso sur clé Ventoy à la racine ?

parce que c'est une clé de démarrage multi boot.

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #35 le: juin 22, 2022, 19:00:54 »
j'ai deux memtest86 un img et un iso, je dois supprimer l'image je déduis...

Merci !

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #36 le: juin 23, 2022, 10:31:05 »
Re

Oui, il faut supprimer l'IMG.
En fait, il peut rester, mais il ne servira pas. Donc autant le supprimer.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #37 le: juin 23, 2022, 10:58:12 »
Re

Oui, il faut supprimer l'IMG.
En fait, il peut rester, mais il ne servira pas. Donc autant le supprimer.

Re,

d'accord, merci c'est fait.


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #38 le: juin 23, 2022, 21:10:36 »
bonjour

memtest86 ne se lance pas ils mettent qu'un UEFI ça ne se lance pas... au démarrage...

j'ai eu un autre écran bleu.



merci !!

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #39 le: Hier à 11:16:00 »
Re

https://www.malekal.com/verifier-pilotes-windows/#Depuis_le_verificateur_de_pilotes


j'ai tenté ça plus maj du BIOS et pilotes tel que la CG "AMD" si je m'abuse.

En ligne Longaripa

  • Formateur
  • Power Members
  • ****
  • Messages: 1868
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #40 le: Hier à 15:08:02 »
Bonjour

Il y a des chances pour que cela vienne d'un pilote.
Regardez dans l'observateur d'évenement, journal systeme, si il y a des indications d'erreur peu avant le BSOD.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Bonjour

Il y a des chances pour que cela vienne d'un pilote.
Regardez dans l'observateur d'évenement, journal systeme, si il y a des indications d'erreur peu avant le BSOD.

Bonjour

je m'y perds, où aller là ?

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #42 le: Hier à 16:23:37 »
Citer
Nom du journal :System
Source :       Service Control Manager
Date :         23/06/2022 20:47:17
ID de l’événement :7011
Catégorie de la tâche :Aucun
Niveau :       Erreur
Mots clés :    Classique
Utilisateur :  N/A
Ordinateur :   DESKTOP-QSIJO3M
Description :
Le dépassement de délai (30000 millisecondes) a été atteint lors de l’attente de la réponse transactionnelle du service WSearch.
XML de l’événement :
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
    <EventID Qualifiers="49152">7011</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2022-06-23T18:47:17.1172420Z" />
    <EventRecordID>26423</EventRecordID>
    <Correlation />
    <Execution ProcessID="812" ThreadID="16412" />
    <Channel>System</Channel>
    <Computer>DESKTOP-QSIJO3M</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="param1">30000</Data>
    <Data Name="param2">WSearch</Data>
  </EventData>
</Event>

peut-être ça mais pas sûr car l'heure du BSOD donnée par WhoCrashed n'est pas la bonne...

donc je suppose que la bonne heure est là ou il y a cette erreur.

Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #43 le: Hier à 16:25:27 »
je ne suis pas du tout sûr.

je pense que je finirais par réinstaller Win 11 si ça bug encore ...


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #44 le: Hier à 17:43:55 »
encore des écrans bleus en série


Hors ligne sypqys

  • Membres
  • Members
  • Messages: 35
    • pattos1166 (blogger blog)
Re : Suspection de ransomware via le NAS... ? Analyse "FRST"
« Réponse #45 le: Hier à 20:34:58 »
j'ai désinsallé complètement le pilote de la CG avec DDU.

et je pense ça va mieux depuis...

à voir ...

---

pensez-vous qu'un formatage soit conseillé si l'écran bleu revient ?

car c'est une option qui m'est conseillée et que j'envisage.

il faut savoir que ce Win 11 était un Win 10 home sur un PC portable avant.. Désormais j'ai transféré le SSD sur un PC bureau monté le 5/06/2022 dernier.


Tags: