chromstar12@gmail.com - nouveau ransomware?
Modérateurs : Mods Windows, Helper
chromstar12@gmail.com - nouveau ransomware?
Hello,
je viens de constater que des fichiers ont été renommés sur un poste.
exemple :
ac_accoun.adm.BAK!-=-=-To obtain information----chromstar12@gmail.com-=-=-.Blo_file19
Je ne suis pas encore sur place, mais quelqu'un a-t-il déjà vu ce type de renommage?
Merci
MBH
je viens de constater que des fichiers ont été renommés sur un poste.
exemple :
ac_accoun.adm.BAK!-=-=-To obtain information----chromstar12@gmail.com-=-=-.Blo_file19
Je ne suis pas encore sur place, mais quelqu'un a-t-il déjà vu ce type de renommage?
Merci
MBH
-
- Site Admin
- Messages : 98260
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: nouveau ransomware?
Salut,
Ca semble être le cas, pour voir :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Ca semble être le cas, pour voir :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Re: nouveau ransomware?
J'ai coupé la machine et je n'ose pas la redémarrer sous windows, de peur que l'encryption continue.
Je scanne actuellement avec bitdefender rescue cd
puis-je exécuter frst en mode sans échec et qu'il soit aussi efficace?
Je scanne actuellement avec bitdefender rescue cd
puis-je exécuter frst en mode sans échec et qu'il soit aussi efficace?
-
- Site Admin
- Messages : 98260
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: nouveau ransomware?
oui ça devrait aider.
De préférence avec l'utilisateur Windows à l'origine de l'exécution du ransomware / rançongiciel chiffreur de fichiers.
De préférence avec l'utilisateur Windows à l'origine de l'exécution du ransomware / rançongiciel chiffreur de fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Re: nouveau ransomware?
re!
voici les fichiers rapports frst (frst, shortcut, addition)
http://pjjoint.malekal.com/files.php?id ... h9z15h9x11
http://pjjoint.malekal.com/files.php?id ... 10s15o10x6
http://pjjoint.malekal.com/files.php?id ... 13v11e5k15
je ne parviens pas à trouver par où est entrée l'infection, j'ai un fichier exe dans le startup folder (renseigné dans msconfig), dans un dossier c:\users\[username]\appdata\GWX, il est forcément suspect, mais il n'est pas dans le dossier mentionné (GWX)
En tout cas déjà un super merci pour le suivi
MBH
voici les fichiers rapports frst (frst, shortcut, addition)
http://pjjoint.malekal.com/files.php?id ... h9z15h9x11
http://pjjoint.malekal.com/files.php?id ... 10s15o10x6
http://pjjoint.malekal.com/files.php?id ... 13v11e5k15
je ne parviens pas à trouver par où est entrée l'infection, j'ai un fichier exe dans le startup folder (renseigné dans msconfig), dans un dossier c:\users\[username]\appdata\GWX, il est forcément suspect, mais il n'est pas dans le dossier mentionné (GWX)
En tout cas déjà un super merci pour le suivi
MBH
Re: nouveau ransomware?
puis-je ouvrir un topic sur bleeping computer pour identifier l'infection ou c'est mieux de n'en avoir qu'un seul ici?
Re: nouveau ransomware?
alors,
j'ai exécuté frst sur les 3 autres postes : (dans l'ordre : addition, frst, shortcut)
1
http://pjjoint.malekal.com/files.php?id ... 4k10f15n12
http://pjjoint.malekal.com/files.php?id ... 2l7z5c6e14
http://pjjoint.malekal.com/files.php?id ... 0h7h7b13w5
2
http://pjjoint.malekal.com/files.php?id ... m7l13y5e14
http://pjjoint.malekal.com/files.php?id ... b7x7z5c6h7
http://pjjoint.malekal.com/files.php?id ... h11o8c15k8
3
http://pjjoint.malekal.com/files.php?id ... 6r14n7r5h6
http://pjjoint.malekal.com/files.php?id ... 8s9d9z9o14
http://pjjoint.malekal.com/files.php?id ... 7s9u10h5h5
L'infection a dû se produire entre le 27 à 06h00 et le 30 à 10h00
à ma connaissance, il n'y a que 2 postes infectés (celui dont les fichiers frst sont dans le message précédent et le 3 de celui-ci)
tous les fichiers encryptés ont été renommés en ajoutant : !-=-=-To obtain information----chromstar12@gmail.com-=-=-.Blo_file19
c'est quel encrypteur, ce bidule?
MBH
j'ai exécuté frst sur les 3 autres postes : (dans l'ordre : addition, frst, shortcut)
1
http://pjjoint.malekal.com/files.php?id ... 4k10f15n12
http://pjjoint.malekal.com/files.php?id ... 2l7z5c6e14
http://pjjoint.malekal.com/files.php?id ... 0h7h7b13w5
2
http://pjjoint.malekal.com/files.php?id ... m7l13y5e14
http://pjjoint.malekal.com/files.php?id ... b7x7z5c6h7
http://pjjoint.malekal.com/files.php?id ... h11o8c15k8
3
http://pjjoint.malekal.com/files.php?id ... 6r14n7r5h6
http://pjjoint.malekal.com/files.php?id ... 8s9d9z9o14
http://pjjoint.malekal.com/files.php?id ... 7s9u10h5h5
L'infection a dû se produire entre le 27 à 06h00 et le 30 à 10h00
à ma connaissance, il n'y a que 2 postes infectés (celui dont les fichiers frst sont dans le message précédent et le 3 de celui-ci)
tous les fichiers encryptés ont été renommés en ajoutant : !-=-=-To obtain information----chromstar12@gmail.com-=-=-.Blo_file19
c'est quel encrypteur, ce bidule?
MBH
-
- Site Admin
- Messages : 98260
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: chromstar12@gmail.com - nouveau ransomware?
PC-DE-BUREAU3 semble avoir été infecté oui.
EUGENE3 est OK.
Après ces dossiers sont bizarres, dont le scan qui est en caché :
EUGENE3 est OK.
Le dossier est du 28 et le raccourci du 27 :Startup: C:\Users\melanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TgdijcdW.lnk [2017-05-27]
ShortcutTarget: TgdijcdW.lnk -> C:\Users\melanie\AppData\Local\GWX\WzgNCjsN.exe (Pas de fichier)
L'exe a été viré, tu n'as pas d'alerte NOD32 ?2017-05-28 09:51 - 2015-06-30 01:14 - 00000000 ____D C:\Users\melanie\AppData\Local\GWX
Après ces dossiers sont bizarres, dont le scan qui est en caché :
y a quoi là dedans ?2017-05-30 10:33 - 2013-12-04 16:34 - 00000000 ___RD C:\scan
2017-05-27 21:39 - 2013-12-04 19:24 - 00000000 ____D C:\install
2017-05-27 21:39 - 2012-11-15 23:21 - 00000000 ____D C:\mfg
2017-05-27 21:37 - 2015-04-22 15:01 - 00000000 ____D C:\bob50gap
2017-05-27 21:35 - 2013-12-23 11:11 - 00000000 ____D C:\bob50
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Re: chromstar12@gmail.com - nouveau ransomware?
scan : dossier scanner réseau
install : dossier avec les fichiers d'installation de qques outils
mfg : je ne sais pas
bob50gap et bob50 sont des dossiers d'application
et j'ai en effet plusieurs alertes dans les journaux nod32 : win32/Filecoder.RotoCrypt.C pour les dates dont nous parlons
install : dossier avec les fichiers d'installation de qques outils
mfg : je ne sais pas
bob50gap et bob50 sont des dossiers d'application
et j'ai en effet plusieurs alertes dans les journaux nod32 : win32/Filecoder.RotoCrypt.C pour les dates dont nous parlons
Re: chromstar12@gmail.com - nouveau ransomware?
voici la copie du journal nod32
Ce que je trouve inquiétant, c'est que le dossier CEF est horodaté de 2015, cela peut-il être un virus dormant (bien réveillé pour le coup)
Steam n'est pas installé sur le poste
Date et heure;Analyseur;Type d'objet;Objet;Menace;Action;Utilisateur;Informations;Hachage;Dernière détection
28/05/2017 09:51:50;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
28/05/2017 09:51:49;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\GWX\WzgNCjsN.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 22:52:23
27/05/2017 22:53:28;Analyseur au démarrage;fichier;Mémoire vive = C:\Users\melanie\Pictures\Winamb.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:19
27/05/2017 22:52:56;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
27/05/2017 22:52:22;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:52
8/05/2017 21:15:43;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 21:15:21;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 13:47:38;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\wrsd.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;01DA491D2DDA19CEC22F93A16CD453B036404FB5;8/05/2017 13:47:36
4/05/2017 19:57:09;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\CCLEANER.EXE;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;0D7EF11DDD737BF9780A48A1D6D66CBA540230D7;4/05/2017 19:57:03
Ce que je trouve inquiétant, c'est que le dossier CEF est horodaté de 2015, cela peut-il être un virus dormant (bien réveillé pour le coup)
Steam n'est pas installé sur le poste
Date et heure;Analyseur;Type d'objet;Objet;Menace;Action;Utilisateur;Informations;Hachage;Dernière détection
28/05/2017 09:51:50;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
28/05/2017 09:51:49;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\GWX\WzgNCjsN.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 22:52:23
27/05/2017 22:53:28;Analyseur au démarrage;fichier;Mémoire vive = C:\Users\melanie\Pictures\Winamb.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:19
27/05/2017 22:52:56;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
27/05/2017 22:52:22;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:52
8/05/2017 21:15:43;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 21:15:21;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 13:47:38;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\wrsd.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;01DA491D2DDA19CEC22F93A16CD453B036404FB5;8/05/2017 13:47:36
4/05/2017 19:57:09;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\CCLEANER.EXE;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;0D7EF11DDD737BF9780A48A1D6D66CBA540230D7;4/05/2017 19:57:03
Re: chromstar12@gmail.com - nouveau ransomware?
j'ai aussi eu le logiciel desktop lock express qui s'est ouvert à l'ouverture, mais pas à chaque fois (sur PC-DE-BUREAU3).
J'en suis où au niveau de l'infection, c'est clean?
J'en suis où au niveau de l'infection, c'est clean?
-
- Site Admin
- Messages : 98260
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: chromstar12@gmail.com - nouveau ransomware?
ha yes :
C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C
NOD32 les a supprimé, je pense, mais trop tard pour les documents.
Supprime les dossiers en question.
Si tu ne sais pas ce que sont les dossiers sur C:\
Supprime les aussi.
Supprime aussi le raccourci dans le dossier démarrage.
Et ça devrait être bon.
C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C
NOD32 les a supprimé, je pense, mais trop tard pour les documents.
Supprime les dossiers en question.
Si tu ne sais pas ce que sont les dossiers sur C:\
Supprime les aussi.
Supprime aussi le raccourci dans le dossier démarrage.
Et ça devrait être bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Re: chromstar12@gmail.com - nouveau ransomware?
ok, merci pour tout.
Les autres postes sont ok?
l'infection est passée malgré la détection?
Nod32 a été mis à jour "trop tard" ?
C'est bizarre, non?
Les autres postes sont ok?
l'infection est passée malgré la détection?
Nod32 a été mis à jour "trop tard" ?
C'est bizarre, non?
-
- Site Admin
- Messages : 98260
- Inscription : 10 sept. 2005 13:57
- Contact :
Re: chromstar12@gmail.com - nouveau ransomware?
oui les autres ordis sont bons.
les antivirus ne sont pas infaillibles.
les antivirus ne sont pas infaillibles.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Sécuriser son ordinateur (version courte)
Tutoriels Logiciels - Tutoriel Windows - Windows 10
Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares
Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.
Re: chromstar12@gmail.com - nouveau ransomware?
ok
Mille merci pour le suivi.
Bonne journée.
Mbh
Mille merci pour le suivi.
Bonne journée.
Mbh