Infection en cours Rançongiciel, que doit-on faire ?

[ZUT]

Bonjour à tous,

Il y a encore une heure on ne savait pas ce qu'était un rançongiciel, je viens de surfer sur le net pour comprendre.
Sur la clé USB que nous avons récupéré il y avait un dossier inconnu nommé porn.exe qui a sans doute infecté notre ordinateur avec un rançongiciel. On a vu les documents se renommer un à un en 'llymond' et on a trouvé un document expliquant que nos dossiers ont été cryptés et qu'on doit payer pour les récupérer. L'ordinateur a redémarré et semblait continuer à crypter les fichiers donc on l'a éteint.

A votre avis de quel virus s'agit-il ? Et comment peut on le supprimer sans risquer de continuer à perdre nos documents en rallumant l'ordinateur ?

Merci de votre aide !

[Malekal_morte]

Salut,

Tu peux envoyer ce porn.exe sur http://upload.malekal.com ?

Effectivement, tu as été infecté par un Ransomware chiffreurs de fichiers - d'après la description, CTB-Locker.

Il n'y a pas de solution pour récupérer les documents.

Tu peux faire un nettoyage Malwarebytes pour supprimer les potentielles malwares restants :


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

[ZUT]

Bonjour Malekal_morte,

Merci de ta réponse rapide. J'ai essayé le Malewarebytes ce matin sur un autre ordinateur car ie se lançait seul, ça a fonctionné super il a trouvé 4 items infectés (trojan), mais ça a duré 40 minutes. Si on rallume l'ordinateur infecté par le rançongiciel, le temps de télécharger Malewarebytes et de le faire tourner, le virus va continuer à détruire nos dossiers ? (quant il s'est rallumé on entendait le disque dur travailler encore). Juste pour savoir à quoi on doit s'attendre..... :-(

J'ai vu sur google image l'impression d'écran du CTB-locker, ça semble correspondre à ce que j'ai vu sur notre ordinateur, ça renvoyait à un site .org sur lequel il fallait payer. Est-ce que ce virus ne fait que détruire les informations ou il les télécharge également ? J'ai débranché le câble réseau mais je ne sais pas combien de temps il est resté connecté.....

Merci encore de ton aide !

[Malekal_morte]

Il n'y a pas de solution pour récupérer les documents.

Fais des analyses Malwarebytes ces prochains jours.

[ZUT]

Bonjour,
je vais lancer la désinfection aujourd'hui. J'ai téléchargé Malwarebytes sur une clé USB (saine). Je vais tenter de lancer le mode sans echec avec la touche F8. Comme j'y connais rien je voulais savoir si on mode sans echec je pourrai bien accéder à ma clé usb. Je voulais savoir aussi si en mode sans echec le randsomware continue à crypter. On a une sauvegarde qui date de 6 mois, je voudrais juste sauver quelques photos des loulous.
Merci beaucoup

stressée moi ? non non ..........

[Malekal_morte]

Je ne pense pas qu'il soit encore actif.

[ZUT]

Bonjour,

J'ai suivi guide suppression-virus.com, résultats :

- adw cleaner a tourné, m'a obligé à rebooter, pas pu récupérer le compte rendu, rien de probant
- roguekiller a tourné, a trouvé un malware, probablement ctb-locker car installé exactement au moment où on a vu nos fichiers commencer à se détruire, m'a obligé à rebooter pour le supprimer, mais il s'était copier à un autre endroit que roguekiller n'avait pas détecté, je l'ai supprimé manuellement
- malewarebytes ne se lance pas, malgré avoir renommé le fichier, caché l'extension...
- spyhunter ne se lance pas, error 4. Tentative de réparation avec reimagerepair, ca fonctionne sur mon ordi travail qui est sain, pas sur l'ordi perso car pas de connection internet malgré mode sans échec avec prise en charge réseau

Au final ctb-locker a tourné une bonne demi-heure et a flingué beaucoup de documents, et je suis même pas sûre qu'il soit pas encore là..... pouvez-vous m'aider à lancer malewarebytes ou spyhunter ?

Merci beaucoup

Merci de votre aide

[ZUT]

Bonjour,

Je voudrais essayer de faire tourner Malwarebytes ce soir, je ne sais pas si c'est nécessaire après roguekiller mais je préfère la sécurité. Avira ne tourne pas en mode sans échec, mais malewarebytes ne se lance pas, il y a donc encore quelque chose qui le gène : virus encore présent ? ou le virus a crypté des fichiers système nécessaires à malwarebytes ? Le message d'erreur pointe le dossier msvcp100.dll

merci

[Malekal_morte]

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[ZUT]

Bonjour,

Trouvé origine du virus je crois, un dossier snapshot.etl qui s'est lancé 3h avant qu'on ne branche la clé usb avec le porn.exe. Il a commencé par crypter avira je crois puis s'est attaqué à l'ordinateur pendant 1h. Et il s'est relancé losqu'on a branché la clé usb. Comment est arrivé ce snapshot.etl ?

Voiçi liens sur rapports FRST, Mdp en MP.

http://pjjoint.malekal.com/files.php?id ... 5r8r5u9l15
http://pjjoint.malekal.com/files.php?id ... e12t6u15k9
http://pjjoint.malekal.com/files.php?id ... 13q9r14y12

Encore merci

[Malekal_morte]

y a des merdouilles.

Si tu peux envoyer ces fichiers sur http://upload.malekal.com ou par mail à [email protected] (en le zippant).
C:\Users\Ben\AppData\Local\Temp\tbvfpxa.exe
C:\653dba26\653dba26.exe


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-935325670-2072564736-331354558-1000\...\Run: [653dba2] => C:\653dba26\653dba26.exe
HKLM\...\Run: [CrashReportSaver] => L:\porn.exe
Task: {B2D3D416-8D8F-43F6-9E4C-20A370D50070} - System32\Tasks\higcmuk => C:\Users\Ben\AppData\Local\Temp\tbvfpxa.exe [2015-01-26] (loplkjyhtg) <==== ATTENTION


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[ZUT]

merci

J'ai envoyé le fichier 653dba26 mais en version .pf zipé sur http://upload.malekal.com, la version .exe avait été détectée et supprimée par roguekiller.

On n'a plus le fichier tbvfpxa.exe car il a été supprimé par super-anti spyware que monsieur a lancé cet après-midi (je vois le dossier dans les mises en quarantaines). Super anti-spyware a trouvé 7 trojans sur l'ordinateur, le virus avait du neutraliser aussi cet anti-virus....

Fix effectué, rapport envoyé comme précédemment, même mot de passe.
http://pjjoint.malekal.com/files.php?id ... m12s5m12s7

Le malwarebytes ne se lance toujours pas, monsieur dit que windows est foutu. N'empêche je suis pas sûre que tout est OK sur l'ordi, je connaissais le nom du fichier corrompu 653dba26 et pourtant je n'ai pas trouvé le .pf qui était caché. Et ni adw cleaner ni roguekiller n'ont détectés les 7 trojans.

Bref, merci de votre aide, encore

[Malekal_morte]

Désinstalle Malwarebytes.
Passe ce fix : http://downloads.malwarebytes.org/file/mbam
Réinstalle le.