Infection Ransomware (extension en .ccc) sur Windows 7

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

urel

Infection Ransomware (extension en .ccc) sur Windows 7

par urel »

Bonjour,

Je viens vers vous pour avoir de l'aide sur une infection qui me prend pas mal de temps et qui commence à me souler ... C'est sur le PC de l'un de mes parents qui utilise le système d'exploitation Microsoft Windows 7 64Bits. Mon père a eu une super mauvaise expérience, Windows s'est fait atomiser par un Ransomware et sans doute d'autres trucs en tout genre vu ce que j'ai trouvé.

Au final l'ordinateur s'est retrouvé avec des fichiers cryptés (en .ccc) et des fichiers .txt dans tous les dossiers ( how_to_recover.txt ) et pleins d'applications installées, il y a aussi un pilote signé 'chirimoya.sys'

J'ai lancé AdWare, RogueKiller, j'ai également voulu lancer Malwarebyte mais impossible de le lancer, je pense que l'infection a du bloquer certaines choses ( dll manquantes 'dnsapi.dll' et suite à l'ajout manuel de la dll, messages d'erreur, impossible également de réinstaller Malwarebyte.

J'ai réussi tant bien que mal a virer les logiciel, refaire le registre, mais j'ai toujours un problème avec les fichiers en .ccc, je pense qu'ils sont perdu, mais également un problème avec les navigateurs, impossible d'ouvrir une page.

J'ai vérifié tout ce qui était DNS, mais cela viens d'ailleurs, car en faisant un ping http://www.google.fr depuis CMD, ça passe. Sur Chrome, j'ai un joli 'DNS_PROBE_FINISHED_NXDOMAIN', sur IE j'ai juste un message d'erreur, et sur FireFox, il plante, tout comme Thunderbird, du même éditeur. J'ai testé les reset de navigateur, l'ancienne version de Chrome, rien n'y fait.

Du coup, je bloque, je pense qu'il reste une vacherie quelque part, et j'aimerai tester d'autres solutions avant d'en arriver au formatage du PC ... mais là, je crois rêver vu que tout est corrompu, l'infection a l'air d'être allée grave loin en profondeur jusqu'à tout ronger jusqu'à l'OS.

Je n'ai pas pu faire de restauration du système, je pense que je me suis fait nettoyer les dates également.

Merci d'avance pour vos idées.
Je tiens à préciser que je suis dans le domaine de l'info.
Donc allez y avec le jargon, je maîtrise.

Urel.
Malekal_morte
Messages : 113189
Inscription : 10 sept. 2005 13:57

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par Malekal_morte »

Salut,

C'est la totale \o


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
urel

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par urel »

Bonjour,

voici les fichiers demandés :

Addition.txt : http://pjjoint.malekal.com/files.php?id ... 4z8b7z15s8
FRST.txt : http://pjjoint.malekal.com/files.php?id ... 0x12q14t15
Shortcut : http://pjjoint.malekal.com/files.php?id ... j14r6k9n13

Pensez vous que l'infection peut se propager ou bien la connexion d'un disque dur est sans risque ?
Je pense que ça devrait être bon avec ce que j'ai nettoyé, mais je demande.

Merci
Malekal_morte
Messages : 113189
Inscription : 10 sept. 2005 13:57

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par Malekal_morte »

Le ransomware n'a plus l'air d'être actif.
Y a des restes d'adwares.




Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Task: {0AF38B00-0D16-45F7-8B0F-27598E9855D4} - System32\Tasks\kol3015 => C:\PROGRA~2\FAST-S~1\kol3015.exe <==== ATTENTION
Task: {20FED3CF-98B3-4469-83BF-89ED7A36231A} - System32\Tasks\Sasbavje => C:\PROGRA~1\SHOPPE~1\Yvekip.bat
Task: {C43E0740-5B25-4064-B56E-3C4C65A07A94} - System32\Tasks\Iosnibeahsah => C:\ProgramData\Iosnibeahsah\1.0.1.0\ueeiofis.exe <==== ATTENTION
C:\ProgramData\Iosnibeahsah
2015-11-26 13:11 - 2015-11-26 13:12 - 00000862 _____ C:\Windows\SysWOW64\${LOGFILE}
2015-11-24 18:03 - 2015-11-26 12:11 - 00004672 _____ C:\Windows\SysWOW64\Ixaelopaec.ini
2015-11-24 18:03 - 2015-11-26 12:11 - 00002384 _____ C:\Windows\SysWOW64\IxaelopaecOff.ini
2015-11-24 18:03 - 2015-11-26 12:11 - 00002384 _____ C:\Windows\system32\IxaelopaecOff.ini
2015-11-24 18:02 - 2015-11-24 18:04 - 00000000 ____D C:\Users\Michel.Michel-PC\AppData\Local\Tempfolder
2015-11-24 18:02 - 2015-11-24 18:02 - 00003340 _____ C:\Windows\System32\Tasks\Sasbavje
2015-11-24 18:02 - 2015-11-24 18:02 - 00000000 ____D C:\Windows\system32\nyk
2015-11-24 18:01 - 2015-11-24 18:01 - 00000000 ____D C:\Users\Michel.Michel-PC\AppData\LocalLow\Company
2015-11-24 18:01 - 2015-11-24 18:01 - 00000000 ____D C:\uninst
2015-11-23 19:47 - 2015-11-23 19:47 - 00003090 _____ C:\Windows\System32\Tasks\kol3015
2015-11-23 19:46 - 2015-11-23 19:46 - 00003850 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1448304396
2015-11-23 19:44 - 2009-06-10 22:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-11-23 19:42 - 2015-11-27 18:47 - 00000000 ____D C:\Users\Public\Documents\Baidu



Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/


~~

Fais une recherche de fichiers sur _how_recover_ et supprime tous les fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
urel

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par urel »

Merci,

Je vais pouvoir relancer Malwarebyte après ça ? car impossible de le lancer ou le réinstaller...
en plus des navigateurs bloqués
Malekal_morte
Messages : 113189
Inscription : 10 sept. 2005 13:57

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par Malekal_morte »

yep, supprime Malwarebytes en suivant ce guide : Supprimer Malwarebytes Anti-malware.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
urel

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par urel »

Bonjour,

Je reviens aux nouvelles, j'ai lancé le script FRST, mais je reste toujours bloqué sur le problème DNS (DNS_PROBE_FINISHED_NXDOMAIN), je pense que cela peut venir du fait que j'ai ajouté manuellement la dll 'dnsapi.dll'.

J'ai lancé un 'sfc /scannow' il m'a remonté des erreurs et corrections, dont dnsapi.dll, mais pas d'amélioration, je n'arrive toujours pas à ouvrir un site internet depuis n'importe quel navigateur avec reset, même si les ping fonctionnent...

Je vous met à disposition le log suite au script : http://pjjoint.malekal.com/files.php?id ... n89j7q6s14

Et je remet de nouveaux log, suite à une nouvelle analyse avec FRST, des fois que quelque chose soit passé au travers du filet:

Addition: http://pjjoint.malekal.com/files.php?id ... q14l12u7v9
FRST : http://pjjoint.malekal.com/files.php?id ... i13s8w11j6
Shortcut : http://pjjoint.malekal.com/files.php?id ... 10k7k13x12

ET je ne peut toujours pas réinstaller Malwarebyte, je pense toujours du au problème de la dll

Merci
Avatar de l’utilisateur
angelique
Messages : 31842
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par angelique »

Ton systeme est gravement compromis, franchement et personnellement tu devrais repartir sur une base saine de ton Microsoft Ѡindows ....
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
urel

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par urel »

Si faut faire ça ... au moins je sais que les fichiers ne sont plus dangeureux et que je peux les conserver avant formatage... sauf les encryptés :depressed:

A moins de les retrouver avec un outils de fichiers supprimés
Malekal_morte
Messages : 113189
Inscription : 10 sept. 2005 13:57

Re: Infection Ransomware (extension en .ccc) sur Windows 7

par Malekal_morte »

C'est vrai que plein d'adwares + ransomware, tu as un souci de sécurité.

~~

Tu as donc été infecté par un Rançongiciels chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

~~


Le reste de la sécurité pour sécuriser ton PC, voir : Comment sécuriser son ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »