[Résolu] Windows 8.1 a été infecté par CryptoWall 4.0

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

bidib

[Résolu] Windows 8.1 a été infecté par CryptoWall 4.0

par bidib »

Bonjour à tous et à toutes

Tout d'abord un gros gros merci à Malekal, dont je lis attentivement les publications depuis des années et qui s'avère être une de mes principales références en matière de malware. Je suis prestataire informatique à mon propre compte, et les ressources apportées par ce site, le forum et ses contributeurs sont juste extraordinaires. Voilà pour les fleurs, d'ailleurs je viens de voir le bouton "soutenir malekal", et hop ;)

D'habitude je me débrouille tout seul avec les infos glanées ici, mais là je sèche un peu, et puis j'aimerai bien comprendre le fonctionnement de FRST sur un cas pratique. J'ai un client dont le Windows vient de se faire véroler par Cryptowall (v4 me semble-t-il). J'ai retrouvé la source, il s'agit d'un fichier .js, contenu dans un zip, lui-même joint dans un email.

Son antivirus (Mc Afee...) semble l'avoir supprimé (RansomCwall mis en quarantaine)
Ma question : comment être sûr que Cryptowall est bien absent de la machine ?

Ci-joint le rapport FRST64 :

FRST.txt - http://pjjoint.malekal.com/files.php?id ... 7t9v9l6l10
addition.txt - http://pjjoint.malekal.com/files.php?id ... 0q7v7y5i14
shortcut.txt - http://pjjoint.malekal.com/files.php?id ... h12f15r6o7

Bon évidemment, j'ai repéré les lignes qui ouvraient les fichiers INSTRUCTIONS_F57FEC7C.html, dans le registre, ça je peux les virer à la main. Ca reste que de l'affichage, ce n'est pas l'exécutable d'ou la whitelist je pense. Mais je voudrais être sûr qu'il ne reste pas d'autres trucs.

Voilà, un grand merci pour votre aide ;)
Dernière modification par bidib le 11 févr. 2016 17:15, modifié 1 fois.
Malekal_morte
Messages : 112084
Inscription : 10 sept. 2005 13:57

Re: Cryptowall 4.0 - crypto-ransomware

par Malekal_morte »

Hello,

Merci pour le message, c'est sympa ! PDT_008


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.


Il y a des restes.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 
Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\INSTRUCTIONS_F57FEC7C.html [2016-01-28] () 
Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\INSTRUCTIONS_F57FEC7C.png [2016-01-28] () 
Startup: C:\Users\Philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\INSTRUCTIONS_F57FEC7C.txt [2016-01-28] () 
 2016-01-28 14:33 - 2016-01-28 14:33 - 00027922 _____ C:\Users\Philippe\Desktop\INSTRUCTIONS_F57FEC7C.html 
 2016-01-28 14:33 - 2016-01-28 14:33 - 00018956 _____ C:\Users\Philippe\Desktop\INSTRUCTIONS_F57FEC7C.txt  
 2016-01-28 14:31 - 2016-01-28 14:31 - 00419468 _____ C:\Users\Philippe\Documents\6cc35.3s 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00077788 _____ C:\Users\Philippe\Documents\xdsgp6w.6v0 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00025868 _____ C:\Users\Philippe\Documents\22uhi18952.5aoz 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00019532 _____ C:\Users\Philippe\Documents\81kxfx39.5chf 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00019404 _____ C:\Users\Philippe\Documents\nn02j.y2699 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00013468 _____ C:\Users\Philippe\Documents\8i3dl5j.c0fpq 
 2016-01-28 14:31 - 2016-01-28 14:31 - 00010428 _____ C:\Users\Philippe\Documents\n5d45wioz.h5k 
 2016-01-28 14:29 - 2016-01-28 14:29 - 24180260 _____ C:\Users\Philippe\Desktop\xryxi3.022c 
 2016-01-28 14:29 - 2016-01-28 14:29 - 00048684 _____ C:\Users\Philippe\Desktop\g1wxbpsu.t2b 
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire (<ital> pas obligatoire </ital>)
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.



Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur INSTRUCTIONS_ et supprime les fichiers trouvés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
bidib

Re: Cryptowall 4.0 - crypto-ransomware

par bidib »

Merci :) je la passe dès que possible.

Bizarre qu'il y ait quelques fichiers chiffrés dans la correction.
Apparemment les exécutables du virus ont bien été supprimés, la machine peut être utilisée ?
Malekal_morte
Messages : 112084
Inscription : 10 sept. 2005 13:57

Re: Windows 8.1 infecté par CryptoWall 4.0 - crypto-ransomwa

par Malekal_morte »

Ce sont des fichiers typiques de CryptoWall.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
bidib

Re: Windows 8.1 infecté par CryptoWall 4.0 - crypto-ransomwa

par bidib »

Le fix a été appliqué
Encore merci pour ton aide et longue vie au site !
Malekal_morte
Messages : 112084
Inscription : 10 sept. 2005 13:57

Re: Windows 8.1 infecté par CryptoWall 4.0 - crypto-ransomwa

par Malekal_morte »

PDT_008

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »