Trojan crypteur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Xaar
Messages : 4
Inscription : 06 août 2012 12:10

Re: Trojan crypteur

Message par Xaar » 07 août 2012 09:44

Voici les messages qu'affichent le trojan suite à l'infection si cela peu aider.
1.jpg
2.jpg




Malekal_morte
Site Admin
Site Admin
Messages : 95764
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan crypteur

Message par Malekal_morte » 07 août 2012 12:59

Si vous voulez avoir un fix, il faut un dropper.
Donc soit l'envoyer.
Soit eventuellement indiquer sur quel site vous pensez avoir choppé l'infection que je tente de la récupérer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Pi-Wi
newbie
newbie
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

Message par Pi-Wi » 07 août 2012 13:19

Je pense avoir chopé ça sur
http://rarbg.com/torrents.php?category=18;19

a+
Pi-Wi

Xaar
Messages : 4
Inscription : 06 août 2012 12:10

Re: Trojan crypteur

Message par Xaar » 07 août 2012 13:42

Pour moi malheureusement je ne sais pas sur quel site on l'a attrapé, l'historique à été vidé.
La il faudrait "juste" un programme pour remplacer les deux premières lettres hexadécimales d'un doc,docx,xls,xlsx,jpeg par celles correspondants à la vraie nature du fichier

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 07 août 2012 16:55

Le problème c'est que sans savoir comment sont modifiés les premiers octets, on peut "juste" pas deviner quoi remettre :)

Merci d'envoyer quelques fichiers modifiés


Malekal_morte
Site Admin
Site Admin
Messages : 95764
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan crypteur

Message par Malekal_morte » 07 août 2012 16:56

Pas de malware sur ce site.

Vous pouvez zipper un ou deux fichiers cryptés (pas trop volumineux svp) sur http://upload.malekal.com
pour essayer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 07 août 2012 17:05

Dans le pire des cas je peux faire un programme qui regarde l'extension et vérifie la signature en relation, mais s'il y a des faux positifs ça risque de faire du dégât en faisant un recherche sur tout le disque... PDT_007

Faudrait que je teste.
Merci de dresser la liste COMPLETE des extensions touchées

Pi-Wi
newbie
newbie
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

Message par Pi-Wi » 08 août 2012 08:49

bonjour,

la liste a déjà été donné par fab :

Pour moi les fichiers touchés sont JPG, XLS, DOC XLSX etDOCX

un JPG doit avoir en 2 premier caractères FF ( les 2 ont été modifiées pour moi)

un doc ou xls : D0 (juste le D a modifier pour moi)
un docx ou xlsx : 50 (juste le 5 a modifier pour moi)

c'est assez simple pour une fois comme modification à faire et cela ne changera en rien les fichiers non "cryptés"

merci pour ton aide
Pi-Wi

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 08 août 2012 08:57

oui les signatures je les connait, c'est bon http://www.garykessler.net/library/file_sigs.html
PDT_007

Seulement j'espère juste que sur ton disque dur tu n'as pas des fichiers de ces formats qui sont "dans la mauvaise extension". Le problème n'est pas la modification de la signature, mais le fait d'automatiser un traitement sur tout le disque dur

Xaar
Messages : 4
Inscription : 06 août 2012 12:10

Re: Trojan crypteur

Message par Xaar » 08 août 2012 09:21

Dans la mauvaise extension?

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 08 août 2012 11:19

Si quelqu'un veut tester.

Merci de commencer par un petit dossier, et sans mettre le flag "-f" (qui réécrit le fichier)
Dans le cas d'un "scan", la ligne "CORRUPTED" apparait en dessous du fichier en question
dans le cas d'une réparation (avec le flag -f donc), la ligne "FIXED" apparait en dessous

PDT_015

http://tigzy.geekstogo.com/Tools/ExtSigChecker.exe


EDIT: il s'utilise en ligne de commande, il faut donc ouvrir une invite cmd.exe, naviguer jusqu'à l'emplacement du programme, et le lancer avec les paramètres requis (voir "usage")

EDIT2: Modification du binaire => Bug sur JPEG.
Ajout du flag -a (par défaut on affiche que les fichiers corrompus)

EDIT3: Lien officiel sur mon ftp
Dernière édition par tigzy le 08 août 2012 18:23, édité 1 fois.

Xaar
Messages : 4
Inscription : 06 août 2012 12:10

Re: Trojan crypteur

Message par Xaar » 08 août 2012 11:58

Ça marche pour moi, merci beaucoup !

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 08 août 2012 12:16

Merci du retour.
Tu as passé le flag -f ?
Tu as récupéré tous tes fichiers? pas de faux positifs?

Pi-Wi
newbie
newbie
Messages : 7
Inscription : 06 août 2012 14:45

Re: Trojan crypteur

Message par Pi-Wi » 08 août 2012 13:17

test en cours... tous mes fichiers excel word et jpg sont "corrupted" !

j'ai une erreur à la fin :
[.XLSX] C:WINDOWS/ShellNew/EXCEL12.XLSX
----------------[CORRUPTED]----------------
Invalid file Handle for filter 0060BBF0. Error is 5

Avatar de l’utilisateur
tigzy
Amateur
Amateur
Messages : 119
Inscription : 06 mars 2010 17:17

Re: Trojan crypteur

Message par tigzy » 08 août 2012 13:27

Erreur 5 = Accès refusé :)
C'est rien

Les documents remarchent après fix?


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »