analyse farbar suite infection cryptowall

[Web09]

Bonjour,
suite à une infection cryptowall, apres desinfection par malwarebyte, j'ai effectué une analyse par farbar Recovery Scan Tool (FRST)
voici le rapport :
http://pjjoint.malekal.com/files.php?id ... 14c6l13z13
et aussi le rapport addition :
http://pjjoint.malekal.com/files.php?id ... _e97f5q7u9

Quelqu'un si je dois continuer une desinfection ?
svp
Merci

[Malekal_morte]

Salut,

Des petits restes.
J'ai vu que tu as lancé le programme des versions précédentes.
Tu peux aussi faire une recherche de fichiers et supprimés tous les fichiers DECRYPT_INSTRUCTION

Pense aussi à changer tous tes mots de passe.


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

Code : Tout sélectionner

Winlogon\Notify\lonkmoj: C:\Documents and Settings\Utilisateur\Local Settings\Application Data\lonkmoj.dll [X] 
 SearchScopes: HKLM - {b0441a0e-a49a-4e16-afc1-74ecced1921f} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^UX^xdm063^S08435^fr&si=CNK_lKO4xLwCFfLHtAodW3EAVA&ptb=48951F86-E0AD-4B0E-A757-FEFC2E3A965F&ind=2014021110&n=780b85f6&psa=&st=sb&searchfor={searchTerms} <b>[Pays - ]</b> 
SearchScopes: HKCU - {b0441a0e-a49a-4e16-afc1-74ecced1921f} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^UX^xdm063^S08435^fr&si=CNK_lKO4xLwCFfLHtAodW3EAVA&ptb=48951F86-E0AD-4B0E-A757-FEFC2E3A965F&ind=2014021110&n=780b85f6&psa=&st=sb&searchfor={searchTerms} <b>[Pays - ]</b> 
2014-09-29 13:48 - 2014-09-29 13:48 - 00000761 _____ () C:\WINDOWS\system32\Drivers\etc\hosts.txt 
2014-09-29 13:33 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Viuqehat 
2014-09-29 13:33 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Asipysd 
2014-09-29 10:56 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Piukerqe 
2014-09-29 10:55 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Quavwe 
2014-09-29 10:42 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Ehewib 
2014-09-29 10:41 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Nunagoa 
2014-09-29 10:18 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Xeroazxy 
2014-09-29 10:18 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Idilke 
2014-09-29 10:18 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Cooduh 
2014-09-29 10:10 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Ihmopi 
2014-09-29 10:09 - 2014-10-02 17:33 - 00000000 ____D () C:\Documents and Settings\Utilisateur\Application Data\Ohpeuwne 
2014-09-29 09:52 - 2014-09-29 09:52 - 00008648 _____ () C:\Documents and Settings\Utilisateur\Local Settings\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:52 - 2014-09-29 09:52 - 00008648 _____ () C:\Documents and Settings\Utilisateur\Local Settings\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:52 - 2014-09-29 09:52 - 00008648 _____ () C:\Documents and Settings\Utilisateur\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:52 - 2014-09-29 09:52 - 00008648 _____ () C:\Documents and Settings\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:52 - 2014-09-29 09:52 - 00008648 _____ () C:\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:52 - 2014-09-29 09:52 - 00004610 _____ () C:\Documents and Settings\Utilisateur\Local Settings\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:52 - 2014-09-29 09:52 - 00004610 _____ () C:\Documents and Settings\Utilisateur\Local Settings\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:52 - 2014-09-29 09:52 - 00004610 _____ () C:\Documents and Settings\Utilisateur\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:52 - 2014-09-29 09:52 - 00004610 _____ () C:\Documents and Settings\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:52 - 2014-09-29 09:52 - 00004610 _____ () C:\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:52 - 2014-09-29 09:52 - 00000254 _____ () C:\Documents and Settings\Utilisateur\Local Settings\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:52 - 2014-09-29 09:52 - 00000254 _____ () C:\Documents and Settings\Utilisateur\Local Settings\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:52 - 2014-09-29 09:52 - 00000254 _____ () C:\Documents and Settings\Utilisateur\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:52 - 2014-09-29 09:52 - 00000254 _____ () C:\Documents and Settings\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:52 - 2014-09-29 09:52 - 00000254 _____ () C:\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:22 - 2014-09-29 09:22 - 00008648 _____ () C:\Documents and Settings\Utilisateur\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:22 - 2014-09-29 09:22 - 00004610 _____ () C:\Documents and Settings\Utilisateur\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:22 - 2014-09-29 09:22 - 00000254 _____ () C:\Documents and Settings\Utilisateur\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:16 - 2014-09-29 09:16 - 00008648 _____ () C:\Documents and Settings\LocalService\Local Settings\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:16 - 2014-09-29 09:16 - 00008648 _____ () C:\Documents and Settings\LocalService\Local Settings\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:16 - 2014-09-29 09:16 - 00008648 _____ () C:\Documents and Settings\LocalService\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:16 - 2014-09-29 09:16 - 00008648 _____ () C:\Documents and Settings\LocalService\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:16 - 2014-09-29 09:16 - 00008648 _____ () C:\Documents and Settings\Default User\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:16 - 2014-09-29 09:16 - 00004610 _____ () C:\Documents and Settings\LocalService\Local Settings\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:16 - 2014-09-29 09:16 - 00004610 _____ () C:\Documents and Settings\LocalService\Local Settings\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:16 - 2014-09-29 09:16 - 00004610 _____ () C:\Documents and Settings\LocalService\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:16 - 2014-09-29 09:16 - 00004610 _____ () C:\Documents and Settings\LocalService\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:16 - 2014-09-29 09:16 - 00004610 _____ () C:\Documents and Settings\Default User\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:16 - 2014-09-29 09:16 - 00000254 _____ () C:\Documents and Settings\LocalService\Local Settings\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:16 - 2014-09-29 09:16 - 00000254 _____ () C:\Documents and Settings\LocalService\Local Settings\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:16 - 2014-09-29 09:16 - 00000254 _____ () C:\Documents and Settings\LocalService\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:16 - 2014-09-29 09:16 - 00000254 _____ () C:\Documents and Settings\LocalService\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:16 - 2014-09-29 09:16 - 00000254 _____ () C:\Documents and Settings\Default User\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:15 - 2014-09-29 09:15 - 00008648 _____ () C:\Documents and Settings\Default User\Local Settings\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:15 - 2014-09-29 09:15 - 00008648 _____ () C:\Documents and Settings\Default User\Local Settings\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:15 - 2014-09-29 09:15 - 00008648 _____ () C:\Documents and Settings\Default User\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:15 - 2014-09-29 09:15 - 00008648 _____ () C:\Documents and Settings\All Users\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:15 - 2014-09-29 09:15 - 00008648 _____ () C:\Documents and Settings\All Users\Application Data\DECRYPT_INSTRUCTION.HTML 
2014-09-29 09:15 - 2014-09-29 09:15 - 00004610 _____ () C:\Documents and Settings\Default User\Local Settings\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:15 - 2014-09-29 09:15 - 00004610 _____ () C:\Documents and Settings\Default User\Local Settings\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:15 - 2014-09-29 09:15 - 00004610 _____ () C:\Documents and Settings\Default User\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:15 - 2014-09-29 09:15 - 00004610 _____ () C:\Documents and Settings\All Users\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:15 - 2014-09-29 09:15 - 00004610 _____ () C:\Documents and Settings\All Users\Application Data\DECRYPT_INSTRUCTION.TXT 
2014-09-29 09:15 - 2014-09-29 09:15 - 00000254 _____ () C:\Documents and Settings\Default User\Local Settings\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:15 - 2014-09-29 09:15 - 00000254 _____ () C:\Documents and Settings\Default User\Local Settings\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:15 - 2014-09-29 09:15 - 00000254 _____ () C:\Documents and Settings\Default User\Application Data\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:15 - 2014-09-29 09:15 - 00000254 _____ () C:\Documents and Settings\All Users\DECRYPT_INSTRUCTION.URL 
2014-09-29 09:15 - 2014-09-29 09:15 - 00000254 _____ () C:\Documents and Settings\All Users\Application Data\DECRYPT_INSTRUCTION.URL 

Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[Web09]

Bonjour et merci pour votre aide .

voici le nouveau rapport suite au fix
http://pjjoint.malekal.com/files.php?id ... 10c12g7y87

Cordialement

[Malekal_morte]

ok voila peux pas faire mieux ;

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.


Crytowall va principalement par des emails malicieux : https://www.malekal.com/2013/11/22/stea ... -francais/


ou


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~