[Résolu] Windows Server 2008 infecté, ransomware en .XTBL

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Nimeno

[Résolu] Windows Server 2008 infecté, ransomware en .XTBL

par Nimeno »

Bonjour,

J'ai suivi votre procédure pour analyser mon Windows Server 2008.
Quelqu'un pour m'aider à analyser mes rapports ?

http://pjjoint.malekal.com/files.php?id ... 8m14u14r11
http://pjjoint.malekal.com/files.php?id ... y9d13h14x8
http://pjjoint.malekal.com/files.php?id ... c14j14t5y9

Je vous remercie d'avance pour votre aide

Nimeno
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: ransomware extension XTBL

par Malekal_morte »

Salut,
Platform: Windows Server 2008 R2 Standard (X64) Langue: Français (France)
Une intrusion via RDP à cause de la présence de comptes aux identifiants trop faibles.
La version TeamViewer installée est obsolète et connue pour être vulnérable.
A corriger. Et sinon c'est normal ce programme "inter1008_johny_cr15.exe" ?
Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd)

2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files
Si tu ne sais pas, scan le sur Virustotal et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Nimeno

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Nimeno »

Bonjour et merci pour ton aide

Effectivement, presque tous mes fichiers ont l'extension Johnnycryptor@hakermail.com.xtbl ????
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Malekal_morte »

ok,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd) 
2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Nimeno

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Nimeno »

encore merci pour ton aide, voici le détail fichier log

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-08-2016 01
Exécuté par Administrateur (2016-08-14 10:28:10) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop
Profils chargés: xerox & Administrateur (Profils disponibles: aumarex & jean jacques & christophe & xerox & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe [2016-08-10] (The Qt Company Ltd)
    2016-08-10 22:44 - 2016-08-10 22:44 - 00430592 _____ (The Qt Company Ltd) C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe
    2016-08-10 02:39 - 2016-08-10 02:39 - 00001433 _____ C:\Users\xerox\Downloads\Nouveau message.html
    2016-08-10 02:39 - 2016-08-10 02:39 - 00000000 ____D C:\Users\xerox\Downloads\Nouveau message_files

*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Users\xerox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1008_johny_cr15.exe => déplacé(es) avec succès
C:\Users\xerox\AppData\Roaming\inter1008_johny_cr15.exe => déplacé(es) avec succès
"C:\Users\xerox\Downloads\Nouveau message.html" => non trouvé(e).
C:\Users\xerox\Downloads\Nouveau message_files => déplacé(es) avec succès


Le système a dû redémarrer.

==== Fin de Fixlog 10:28:11 ====
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Malekal_morte »

PDT_008

Pour déchiffrer les fichiers, comme il n'y a pas de sauvegardes, croise les doigts. Lire http://esec-pentest.sogeti.com/posts/20 ... lware.html et regarde ici https://noransom.kaspersky.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Nimeno

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Nimeno »

Heureusement j'ai une sauvegarde. Puis-je considérer que Windows a été désinfecté ? Grâce à toi ?
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Malekal_morte »

Pardon, j'ai zappé le sujet.
Oui. PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Nimeno

Re: Windows Server 2008 infecté, ransomware extension .XTBL

par Nimeno »

Super !!

Merci pour ta précieuse aide
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: [Résolu] Windows Server 2008 infecté, ransomware en .XTBL

par Malekal_morte »

Suivre cette page : DecryptTool : déchiffrer les ransomwares qui énumère tous les outils des éditeurs de sécurité qui permet de récupérer ses fichiers.
Certains visent .XTBL
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 114076
Inscription : 10 sept. 2005 13:57

Re: [Résolu] Windows Server 2008 infecté, ransomware en .XTBL

par Malekal_morte »

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »