Victime de ransomware [email protected]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

jackalaw

Victime de ransomware [email protected]

par jackalaw »

Bonjour à toutes et à tous.
J'ai été victime, ce week end sur mon poste de travail d'un ransomware.
J'ai suivi la procédure frst et voici les liens pjjoint :

FRST
https://pjjoint.malekal.com/files.php?i ... 9n11t5z7r7

Addition
https://pjjoint.malekal.com/files.php?i ... 8c13q15y15

Shortcut
https://pjjoint.malekal.com/files.php?i ... 14v12m7j14

A dispo pour plus de renseignements.
Merci d'avance pour votre aide.
Malekal_morte
Messages : 116198
Inscription : 10 sept. 2005 13:57

Re: Victime de ransomware [email protected]

par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares


Ce ransomware se nomme Scarab Ransomware

~~

Envoie le fichier C:\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe sur https://upload.malekal.com
puis :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-919728424-3248774722-3786533029-1000\...\Run: [WXMon] => C:\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe [47104 2018-04-21] () 
HKU\S-1-5-21-919728424-3248774722-3786533029-1000\...\Run: [XRboRdRtvNgt] => C:\Users\VEOLIA\HOW TO RECOVER ENCRYPTED [email protected] [1341 2018-04-21] () 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\SQLSERVER\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:33 - 2018-04-21 20:33 - 000001341 _____ C:\Users\VEOLIA\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:33 - 2018-04-21 20:33 - 000001341 _____ C:\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 21:10 - 000001341 _____ C:\Users\VEOLIA\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 21:10 - 000001341 _____ C:\Users\VEOLIA\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 20:27 - 000001341 _____ C:\Users\VEOLIA\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
Hosts:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
jackalaw

Re: Victime de ransomware [email protected]

par jackalaw »

Bonjour,
Le lien https://upload.malekal.com me dirige vers une page 404 not found.
Sinon voici le fixlog

Code : Tout sélectionner

 Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 22.04.2018 01
Exécuté par VEOLIA (23-04-2018 11:44:07) Run:1
Exécuté depuis C:\Users\VEOLIA\Desktop
Profils chargés: VEOLIA & basis (Profils disponibles: VEOLIA & basis & SQLSERVER & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************

*****************


==== Fin de Fixlog 11:44:07 ====
Avatar de l’utilisateur
angelique
Messages : 32262
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Victime de ransomware [email protected]

par angelique »

Ici alors http://upload.malekal.com/

Le contenu du fixlist.txt est vide, il faut copier/coller le contenu du cadre précédent, relis les instructions.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
jackalaw

Re: Victime de ransomware [email protected]

par jackalaw »

Bonjour Angelique
Voici la nouvelle capture

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 22.04.2018 01
Exécuté par VEOLIA (23-04-2018 13:38:48) Run:2
Exécuté depuis C:\Users\VEOLIA\Desktop
Profils chargés: VEOLIA & basis & SQLSERVER (Profils disponibles: VEOLIA & basis & SQLSERVER & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-919728424-3248774722-3786533029-1000\...\Run: [WXMon] => C:\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe [47104 2018-04-21] () 
HKU\S-1-5-21-919728424-3248774722-3786533029-1000\...\Run: [XRboRdRtvNgt] => C:\Users\VEOLIA\HOW TO RECOVER ENCRYPTED [email protected] [1341 2018-04-21] () 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\SQLSERVER\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\basis\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 21:08 - 2018-04-21 21:08 - 000001341 _____ C:\Users\Administrateur\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:33 - 2018-04-21 20:33 - 000001341 _____ C:\Users\VEOLIA\Downloads\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:33 - 2018-04-21 20:33 - 000001341 _____ C:\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 21:10 - 000001341 _____ C:\Users\VEOLIA\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 21:10 - 000001341 _____ C:\Users\VEOLIA\Desktop\HOW TO RECOVER ENCRYPTED [email protected] 
 2018-04-21 20:27 - 2018-04-21 20:27 - 000001341 _____ C:\Users\VEOLIA\Documents\HOW TO RECOVER ENCRYPTED [email protected] 
Hosts:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-919728424-3248774722-3786533029-1000\Software\Microsoft\Windows\CurrentVersion\Run\\WXMon" => non trouvé(e)
"HKU\S-1-5-21-919728424-3248774722-3786533029-1000\Software\Microsoft\Windows\CurrentVersion\Run\\XRboRdRtvNgt" => non trouvé(e)
C:\Users\SQLSERVER\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Public\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\basis\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\basis\Downloads\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\basis\Documents\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\basis\Desktop\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Administrateur\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Administrateur\Downloads\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Administrateur\Documents\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\Administrateur\Desktop\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\VEOLIA\Downloads\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\VEOLIA\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\VEOLIA\Desktop\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Users\VEOLIA\Documents\HOW TO RECOVER ENCRYPTED [email protected] => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-919728424-3248774722-3786533029-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-919728424-3248774722-3786533029-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 13:39:19 ====
Par contre je ne trouve pas le fichier wxmon.exe. Un collègue a tenté une restauration systèmes pendant que j'étais ailleurs.
Malekal_morte
Messages : 116198
Inscription : 10 sept. 2005 13:57

Re: Victime de ransomware [email protected]

par Malekal_morte »

Le fichier a envoyé est dans C:\FRST\quarantine\C\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe faut l'envoyer sur http://upload.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
jackalaw

Re: Victime de ransomware [email protected]

par jackalaw »

Je ne trouve toujours pas ce maudit fichier.
Désolé
Image
jackalaw

Re: Victime de ransomware [email protected]

par jackalaw »

Avatar de l’utilisateur
angelique
Messages : 32262
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Victime de ransomware [email protected]

par angelique »

Rends toi sur ce site ➯ https://www.virustotal.com/#/home/upload

Analyse ce fichier C:\Windows\system32\jcmqjs.dll et donne le lien du résultat complet d'analyse
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Malekal_morte
Messages : 116198
Inscription : 10 sept. 2005 13:57

Re: Victime de ransomware [email protected]

par Malekal_morte »

il doit être encore sur C:\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe
%APPDATA% dans la barre d'adresse > Roaming > Microsoft
tu dois le voir.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
jackalaw

Re: Victime de ransomware [email protected]

par jackalaw »

Malekal_morte a écrit : 23 avr. 2018 13:47 il doit être encore sur C:\Users\VEOLIA\AppData\Roaming\Microsoft\wxmon.exe
%APPDATA% dans la barre d'adresse > Roaming > Microsoft
tu dois le voir.
Non désolé, je ne le vois pas.
J'ai réussi à faire marcher quelques truc sur le pc.
J'ai utilisé un anti malware en mode sans echec, puis restauration système, puis restauration fichiers à l'aide de shadow explorer.
Travail de fourmi mais ça fonctionne pour le moment (on a retrouvé une supervision)
Je vous remercie pour votre aide.
Bonne journée
Malekal_morte
Messages : 116198
Inscription : 10 sept. 2005 13:57

Re: Victime de ransomware [email protected]

par Malekal_morte »

de rien.
Le ransomware est probablement arrivé par mail.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
angelique
Messages : 32262
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Victime de ransomware [email protected]

par angelique »

Tu as quand même un autre truc suspect :

S2 jatnwttsb; C:\Windows\system32\jcmqjs.dll [156691 2007-04-18] ()
NETSVC: jatnwttsb -> C:\Windows\system32\jcmqjs.dll ()

Tu as analysé la dll comme demandé ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Malekal_morte
Messages : 116198
Inscription : 10 sept. 2005 13:57

Re: Victime de ransomware [email protected]

par Malekal_morte »

ha oui effectivement, ça pue cette DLL =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »