[Résolu] Windows Server 2008 infecté, ransomware en .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Nimeno
newbie
newbie
Messages : 5
Inscription : 11 août 2016 18:22

[Résolu] Windows Server 2008 infecté, ransomware en .XTBL

Message par Nimeno » 11 août 2016 18:39

Bonjour,

J'ai suivi votre procédure pour analyser mon Windows Server 2008.
Quelqu'un pour m'aider à analyser mes rapports ?

http://pjjoint.malekal.com/files.php?id ... 8m14u14r11
http://pjjoint.malekal.com/files.php?id ... y9d13h14x8
http://pjjoint.malekal.com/files.php?id ... c14j14t5y9

Je vous remercie d'avance pour votre aide

Nimeno

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: ransomware extension XTBL

Message par Malekal_morte » 11 août 2016 19:56

Salut,
Platform: Windows Server 2008 R2 Standard (X64) Langue: Français (France)
Une intrusion via RDP à cause de la présence de comptes aux identifiants trop faibles.
La version TeamViewer installée est obsolète et connue pour être vulnérable.
A corriger. Et sinon c'est normal ce programme "inter1008_johny_cr15.exe" ?
Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd)

2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files
Si tu ne sais pas, scan le sur Virustotal et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Nimeno
newbie
newbie
Messages : 5
Inscription : 11 août 2016 18:22

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Nimeno » 13 août 2016 19:25

Bonjour et merci pour ton aide

Effectivement, presque tous mes fichiers ont l'extension Johnnycryptor@hakermail.com.xtbl ????

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Malekal_morte » 13 août 2016 21:37

ok,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd) 
2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Nimeno
newbie
newbie
Messages : 5
Inscription : 11 août 2016 18:22

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Nimeno » 14 août 2016 10:55

encore merci pour ton aide, voici le détail fichier log

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-08-2016 01
Exécuté par Administrateur (2016-08-14 10:28:10) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop
Profils chargés: xerox & Administrateur (Profils disponibles: aumarex & jean jacques & christophe & xerox & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd)
    2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
    2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
    2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files

*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe => déplacé(es) avec succès
C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe => déplacé(es) avec succès
"C:\Users\xerox\Downloads\Nouveau message.html" => non trouvé(e).
C:\Users\xerox\Downloads\Nouveau message_files => déplacé(es) avec succès


Le système a dû redémarrer.

==== Fin de Fixlog 10:28:11 ====

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Malekal_morte » 14 août 2016 12:30

PDT_008

Pour déchiffrer les fichiers, comme il n'y a pas de sauvegardes, croise les doigts. Lire http://esec-pentest.sogeti.com/posts/20 ... lware.html et regarde ici https://noransom.kaspersky.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Nimeno
newbie
newbie
Messages : 5
Inscription : 11 août 2016 18:22

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Nimeno » 14 août 2016 12:48

Heureusement j'ai une sauvegarde. Puis-je considérer que Windows a été désinfecté ? Grâce à toi ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Malekal_morte » 23 août 2016 19:37

Pardon, j'ai zappé le sujet.
Oui. PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Nimeno
newbie
newbie
Messages : 5
Inscription : 11 août 2016 18:22

Re: Windows Server 2008 infecté, ransomware extension .XTBL

Message par Nimeno » 26 août 2016 15:20

Super !!

Merci pour ta précieuse aide

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Windows Server 2008 infecté, ransomware en .XTBL

Message par Malekal_morte » 31 mars 2017 09:48

Suivre cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Certains visent .XTBL
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85894
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Windows Server 2008 infecté, ransomware en .XTBL

Message par Malekal_morte » 18 mai 2017 21:02

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 6 invités