Trojan.FileCryptor.Trace - virus-encoder sur Windows XP

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

thorfenn

Trojan.FileCryptor.Trace - virus-encoder sur Windows XP

par thorfenn »

Bonjour,

suite à une infection sur un poste sur notre réseau, le ransomware a attaqué plusieurs disques durs partagés.

Je crois avoir trouvé le poste fautif puisqu il cryptait le fichier sur le bureau.

Je vous joins les liens pour les fichiers demandés.

addition
http://pjjoint.malekal.com/files.php?id ... 15t8f710w8

FRST
http://pjjoint.malekal.com/files.php?id ... h15d7q15k7

shorcut.Txt
http://pjjoint.malekal.com/files.php?id ... i5n6d12t14

Merci d avance de votre aide.

Il faut de plus que je trouve l email delictueux, car s il est reouvert, les soucis réapparaitront.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Salut,

Si tu peux envoyer C:\Documents and Settings\BrunetE\Menu Démarrer\Programmes\Démarrage\3ED.tmp sur http://upload.malekal.com
je suis preneur.

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM\...\Run: [Sweetpacks Communicator] => C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
Startup: C:\Documents and Settings\BrunetE\Menu Démarrer\Programmes\Démarrage\3ED.tmp [2015-11-12] ()
Startup: C:\Documents and Settings\BrunetE\Menu Démarrer\Programmes\Démarrage\recovery.bmp [2015-11-12] ()
2015-11-12 16:29 - 2013-03-15 11:09 - 00000292 _____ C:\WINDOWS\Tasks\BrowserProtect.job
C:\Program Files\SweetIM\
Task: C:\WINDOWS\Tasks\BrowserProtect.job => C:\WINDOWS\system32\sc.exe
Task: C:\WINDOWS\Tasks\GoforFilesUpdate.job => C:\Program Files\GoforFiles\GFFUpdater.exehxxp:/www.goforfiles.com <==== ATTENTION
C:\WINDOWS\system32\sc.exe

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Bonjour,

merci de la réponse.

J ai envoyé le fichier .tmp en cause surement.


Par contre comment se lance t il ?

Le fait de passer le script, remet les fichiers locaux en place?
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Bonjour,

les liens pour un second pc.


http://pjjoint.malekal.com/files.php?id ... 5d7g6c14k7

http://pjjoint.malekal.com/files.php?id ... e105v10e15

http://pjjoint.malekal.com/files.php?id ... 3e15j11f11

je l ai lui aussi déconnecté du réseau.

Mais la je n arrive pas a comprendre comment il a été affecté.
J etais parti de l hypothese que la personne precedente avait soit installé un logiciel, soit une piece jointe délictueuse, mais sur ce poste la...

dans l intervalle ca m a niqué tous les fichiers qu il a pu trouver dans les partages réseaux et auxquels cette personne avait le droit....
Donc restauration des fichiers (qq millions).

Merci de votre site, et de l aide.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Bonjour,

j ajoute ici comme demandé le fichier log du premier poste infecté

http://pjjoint.malekal.com/files.php?id ... 9r14m13u14

Merci/
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Le second poste a l'air ok,

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC


Les ransomwares ont essentiellement deux méthodes de propagation : La détection est bonne :
SHA256: a0eee977237ba0cc6361ed9af228a38eadfcd933e73f78e602d17c5535460e55
Ratio de détection : 16 / 54
Date d'analyse : 2015-11-13 13:45:58 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Antiy-AVL Trojan/Win32.Yakes 20151113
Arcabit Trojan.Kazy.DBB3BF 20151113
Avast Win32:Rootkit-gen [Rtk] 20151113
Avira TR/Crypt.ZPACK.207543 20151113
BitDefender Gen:Variant.Kazy.766911 20151113
ESET-NOD32 Win32/Filecoder.DG 20151113
Emsisoft Gen:Variant.Kazy.766911 (B) 20151113
F-Secure Gen:Variant.Kazy.766911 20151113
GData Gen:Variant.Kazy.766911 20151113
K7AntiVirus Trojan ( 004a92751 ) 20151113
K7GW Trojan ( 004a92751 ) 20151113
Malwarebytes Ransom.FileLocker 20151113
MicroWorld-eScan Gen:Variant.Kazy.766911 20151113
Qihoo-360 QVM20.1.Malware.Gen 20151113
Rising PE:Malware.Obscure/Heur!1.9E03 [F] 20151112
VIPRE Trojan.Win32.Generic!BT 20151113
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Ok , merci de ta réponse.

Donc mettons un webexploit, sachant que je peux avoir acces a l historique de navigation de ce pc.

Qu est ce que je cherche ? Ou comment savoir si un site est piégé ou non ? j ai lu ton article sur les exploits, et vais donc prendre qq mesures supplémentaires.

POur le second poste, je ne comprends pas comment les fichiers de son bureau ont été attaqués ?
Ou alors la premiere personne c est connecté sur son nom de domaine sur ce second poste, et donc le partage par defaut de c$ permet cela...? mais pourquoi alors que sur le bureau...
Mystère.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Bon,
ca continue,
j ai un nombre d utilisateurs importants qui ont perdu les documents sur leurs bureaux.

Ca, je n arrive pas a comprendre, car comment ce virus encoder, peut atteindre des postes sans partage ? par le c$ ?

Merci d avance de votre retour, car c est vraiment une plaie, entre les utilisateurs mécontents, la restitution de données, la perte d info et de temps de tout le monde, j aimerai vraiment en finir et comprendre.

Et aussi avec la peur de n avoir isoler qu une partie du problème...
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Il doit rester un PC infecté dans ce cas.
Et sinon le malware peut faire ce qu'il veut s'il tourne sur un PC du réseau, il peut probablement récupérer des mots de passe pour ensuite attaquer d'autres postes par le partage.
et si c'est un mot de passe administrateur du domaine, il peut effectivement passer par les partages $
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Bonjour,

Ok.... donc faut que je passe les machines une par une ?

On va commencer par celles où j ai des fichiers remplacées sur le bureau, je suppose.

Que dois je chercher dans les fichiers résultats ?

Merci d avance.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Un fichier anormal dans Startup soit donc Menu Démarrer / Tous les programmes / Démarrage
Startup: C:\Documents and Settings\BrunetE\Menu Démarrer\Programmes\Démarrage\3ED.tmp [2015-11-12] ()
Startup: C:\Documents and Settings\BrunetE\Menu Démarrer\Programmes\Démarrage\recovery.bmp [2015-11-12] ()
comme plus haut : http://forum.malekal.com/topic53461.html#p409221
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Pas infecté, la seconde vague a l'air d'avoir été faite le 12/11
2015-11-12 13:35 - 2015-10-14 07:56 - 00075780 _____ C:\Users\chevallierg\Desktop\Table fiche_identité_salarié.[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-10-07 13:42 - 00175621 _____ C:\Users\chevallierg\Downloads\IT 6 2 003 [email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-10-06 14:54 - 00000000 ____D C:\Users\chevallierg\Desktop\simulation annualisation
2015-11-12 13:35 - 2015-10-05 13:29 - 00075644 _____ C:\Users\chevallierg\Downloads\accords06062006 (1).[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-10-05 13:28 - 00081172 _____ C:\Users\chevallierg\Downloads\accords3132000 (1).[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-10-05 10:22 - 00075644 _____ C:\Users\chevallierg\Downloads\[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-10-05 10:21 - 00081172 _____ C:\Users\chevallierg\Downloads\[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
2015-11-12 13:35 - 2015-09-29 07:20 - 00014852 _____ C:\Users\chevallierg\Desktop\Compétences à éché[email protected][email protected]_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112100
Inscription : 10 sept. 2005 13:57

Re: Trojan.FileCryptor.Trace - virus-encoder

par Malekal_morte »

Comme dit plus haut, il se met dans le dossier Démarrage/Startup, donc c'est rattaché à la session.
il faut vérifier ce dossier de chaque session et sur chaque PC (sauf si profil itinérant).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
thorfenn

Re: Trojan.FileCryptor.Trace - virus-encoder

par thorfenn »

Ok ca va pas être une mince affaire ce truc.

Par contre, comment je peux savoir sur le poste 0 d où est venu l infection ?

J ai regardé dans les emails sans trouvé, sur les sites parcourus, mais je n ai trouve qu un site d agence de voyage que j ai passé dans les sites d estimations de danger d un site internet....

des pistes à me donner?

Merci.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »