Bonjour,
Nous nous somme chopé un crypteur sur un Windows Serveur en TSE.
NOD32 ne trouve pas le fichier .exe meme quand on fait un scan sur celui ci.
J'ai le fichier en .rar, mais je n'ai plus le lien, ou, l'adresse mais pour l'envoyer a l'admin du site.
Aussi j'aimerais savoir comment bien viré ce truks ... Il semble que nous l'avons viré manuellement ...
Mais on préfaire etre sur ...
Merci a vous.
[Résolu] Windows Serveur infecté par CryptoWall
Modérateurs : Mods Windows, Helper
- Messages : 104
- Inscription : 21 avr. 2012 13:27
- Messages : 113189
- Inscription : 10 sept. 2005 13:57
Re: Crypteur sur TSE
Salut,
Faut voir lequel est-ce :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Faut voir lequel est-ce :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 104
- Inscription : 21 avr. 2012 13:27
Re: Crypteur sur TSE
Voici :
Par contre, il ne me daunne que 2 fichier.
En 3eme, le .exe maliceux !
http://pjjoint.malekal.com/files.php?id ... x15k1111v9
http://pjjoint.malekal.com/files.php?id ... 111015w7w6
http://pjjoint.malekal.com/files.php?id ... 11u14y8f12
Tout les 3 ont comme mot de pace
Par contre, il ne me daunne que 2 fichier.
En 3eme, le .exe maliceux !
http://pjjoint.malekal.com/files.php?id ... x15k1111v9
http://pjjoint.malekal.com/files.php?id ... 111015w7w6
http://pjjoint.malekal.com/files.php?id ... 11u14y8f12
Tout les 3 ont comme mot de pace
Dernière modification par sbx59 le 13 janv. 2016 21:05, modifié 1 fois.
- Messages : 104
- Inscription : 21 avr. 2012 13:27
- Messages : 113189
- Inscription : 10 sept. 2005 13:57
Re: Crypteur sur TSE
quel est le mot de passe ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 104
- Inscription : 21 avr. 2012 13:27
Re: Crypteur sur TSE
sbx59 a écrit :
Tout les 3 ont comme mot de passe :
Dernière modification par sbx59 le 13 janv. 2016 21:04, modifié 1 fois.
- Messages : 113189
- Inscription : 10 sept. 2005 13:57
Re: Crypteur sur TSE
Ca semble être CryptoWall et il ne semble plus être actif, il y a le clef Run.
Donc les fichiers ne sont pas récupérables.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3378730224-3457913240-3834903819-1211\...\Run: [c791a23] => C:\Users\aduvillier\AppData\Roaming\c791a23\a2446dc7.exe
2013-03-18 08:39 - 2013-03-18 08:39 - 4126720 _____ () C:\Program Files (x86)\GUT57B.tmp
2013-03-18 08:45 - 2013-03-18 08:45 - 4126720 _____ () C:\Program Files (x86)\GUT9772.tmp
2013-03-18 08:45 - 2013-03-18 08:45 - 4126720 _____ () C:\Program Files (x86)\GUTAE74.tmp
2013-03-18 08:38 - 2013-03-18 08:38 - 4126720 _____ () C:\Program Files (x86)\GUTFB1.tmp
2016-01-13 16:41 - 2016-01-13 16:41 - 0047773 _____ () C:\Users\aduvillier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2016-01-13 16:40 - 2016-01-13 16:40 - 0047773 _____ () C:\Users\aduvillier\AppData\Local\HELP_YOUR_FILES.PNG
2016-01-13 16:39 - 2016-01-13 16:39 - 0047773 _____ () C:\ProgramData\HELP_YOUR_FILES.PNG
C:\Users\aduvillier\AppData\Roaming\c791a23
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Faudrait redémarrer le serveur.
Donc les fichiers ne sont pas récupérables.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3378730224-3457913240-3834903819-1211\...\Run: [c791a23] => C:\Users\aduvillier\AppData\Roaming\c791a23\a2446dc7.exe
2013-03-18 08:39 - 2013-03-18 08:39 - 4126720 _____ () C:\Program Files (x86)\GUT57B.tmp
2013-03-18 08:45 - 2013-03-18 08:45 - 4126720 _____ () C:\Program Files (x86)\GUT9772.tmp
2013-03-18 08:45 - 2013-03-18 08:45 - 4126720 _____ () C:\Program Files (x86)\GUTAE74.tmp
2013-03-18 08:38 - 2013-03-18 08:38 - 4126720 _____ () C:\Program Files (x86)\GUTFB1.tmp
2016-01-13 16:41 - 2016-01-13 16:41 - 0047773 _____ () C:\Users\aduvillier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2016-01-13 16:40 - 2016-01-13 16:40 - 0047773 _____ () C:\Users\aduvillier\AppData\Local\HELP_YOUR_FILES.PNG
2016-01-13 16:39 - 2016-01-13 16:39 - 0047773 _____ () C:\ProgramData\HELP_YOUR_FILES.PNG
C:\Users\aduvillier\AppData\Roaming\c791a23
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Faudrait redémarrer le serveur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 104
- Inscription : 21 avr. 2012 13:27
Re: Crypteur sur TSE
C'est fait.
Les Fichiers non pas étais supprimé.
et je n'ai pas de rapport qui c'est ouvert apres le redemarage du serveur.
Edit : C'est bon ... Je ne l'avais pas fait en admin.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-01-13 21:18:40)
==> ATTENTION: Le système n'a pas redémarré.
C:\Program Files (x86)\GUT57B.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUT9772.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUTAE74.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUTFB1.tmp => déplacé(es) avec succès
==== Fin de Fixlog 21:18:40 ====
Les Fichiers non pas étais supprimé.
et je n'ai pas de rapport qui c'est ouvert apres le redemarage du serveur.
Edit : C'est bon ... Je ne l'avais pas fait en admin.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-01-13 21:18:40)
==> ATTENTION: Le système n'a pas redémarré.
C:\Program Files (x86)\GUT57B.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUT9772.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUTAE74.tmp => déplacé(es) avec succès
C:\Program Files (x86)\GUTFB1.tmp => déplacé(es) avec succès
==== Fin de Fixlog 21:18:40 ====
- Messages : 113189
- Inscription : 10 sept. 2005 13:57
Re: Crypteur sur TSE
Vérifie si ce dossier existe : C:\Users\aduvillier\AppData\Roaming\c791a23
ça te donne le nom de la session source de l'infection au passage.
ça te donne le nom de la session source de l'infection au passage.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 104
- Inscription : 21 avr. 2012 13:27
Re: Crypteur sur TSE
Oui, nous connaisont la saisson, l'utilisateur nous avais prévenue.
Nous avons toute de suite supprimer ce ficheir ...
Mais je n'aivais pas fait attention qu'il s'étais aussi mis dans program files ...
Alors que l'utilisateur n'a pas le droit d'ecriture sur ce dossier ...
Donc sujet résolue ? Aussi pourquoi l'anti-virus ne la pas detecter ?
Nous avons toute de suite supprimer ce ficheir ...
Mais je n'aivais pas fait attention qu'il s'étais aussi mis dans program files ...
Alors que l'utilisateur n'a pas le droit d'ecriture sur ce dossier ...
Donc sujet résolue ? Aussi pourquoi l'anti-virus ne la pas detecter ?
- Messages : 113189
- Inscription : 10 sept. 2005 13:57
Re: Crypteur sur TSE
oui plus actif. Les antivirus ne sont pas capables de prévenir toutes les menaces existantes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 167 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 367 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 190 Vues
-
Dernier message par Malekal_morte
-
- 11 Réponses
- 150 Vues
-
Dernier message par Parisien_entraide
-
- 6 Réponses
- 159 Vues
-
Dernier message par Malekal_morte