Netoyage

[azzerty]

La date est l'heure sont OK.

 

Pour le moment je ne remarque rien de particulier, mais je ne voit l'ordi ...

 

J'ai essayé de récupérer quelques infos mais...

Apparemment il y a environs 1 mois l'ordi affiché l'écran bleu est redémarré, peut être un problème de mise à jour mais pas plus d'info

 

Je vais essayer d'un peu le titiller

Modifié le 19 mai 2011 par azzerty

[Apollo]

Hum un écran bleu, si on n'a pas le code d'erreur, c'est difficile de savoir ce qui s'est passé.

 

Cela ne doit pas être dû à un problème d'infection car le rapport RSIT ne montre rien de bien affolant.

 

Ce que tu peux faire (la nuit car c'est très long) pour vérifier s'il reste des saletés sur la machine, c'est de faire l'analyse avec le virus removal tool de Kasper dont tu trouveras lien et explications via ma signature.

 

Le rapport étant parfois énorme, il convient de l'héberger.

 

Les mises à jour d'applications diverses devront également être faites: Apollo Et Compagnie A vérifier de temps en temps, important!

 

@++

[azzerty]

Je vais voir pour lancer ça de ce soir.

 

Je ne sais pas si ça vaut quelque chose,

 

mais dans le dossier racine de C il y a 9 de fichier .txt nommé eula.1028, eula.1031... et il y a le même nombre de fihcierc.dll nommé install.res.1028, install.res.1031 ...

 

Dans le menu démarrer il y a deux dossier Accessoires dont un qui est vide.

 

Chaque fois qu'on utilise la barre d'outil google pour faire une recherche il y a une petite barre qui s'affiche avec marqué "Come here often? Make Google your homepage. Sure Nothanks "

 

 

Je me doutais que ça allais être le bordel, mais pas à ce point

 

 

Modifié le 19 mai 2011 par azzerty

[Apollo]

Ohoh!

 

ça ressemble vachement à un ransomware. (xorist)

 

ThreatExpert Report: Trojan.Gen, Trojan-Ransom.Win32.Xorist.ar, Generic.dx!tja, Mal/Generic-L..

 

Je vais voir s'il y a un tool dédié à cette saleté chez Kaspersky.

 

@++

[Apollo]

Ouaip, il y en a un mais je n'ai rien de préparé d'avance pour ce tool.

 

How to confront malware of the family Trojan-Ransom.Win32.Xorist?

 

En fait, il suffit de le télécharger sur le bureau, de le décompresser puis de le lancer; si Norton s'interpose, accorde l'autorisation afin que l'outil puisse faire son boulot.

 

Tu peux cocher la case: "Delete crypted files after decryption" avant de lancer le tool.

 

Un rapport sera fourni à la fin de l'analyse; poste-le stp. ce rapport sera également là: C:\XoristDecryptor.2.0.0.0_15.02.2011_15.31.43_log.txt (exemple car la date varie en fonction de l'utilisation de l'outil)

Modifié le 19 mai 2011 par Apollo

[azzerty]

Au moment de lancer le scan il me demande d'ouvrir un fichier "Specify the path to one of encrypted files " c'est le fichier eula qui était aussi dans l'archive ?

[Apollo]

Oui, c'est ça, il te demande ça: Spécifiez le chemin d'accès à l'un des fichiers cryptés

 

je n'ai encore jamais utilisé cet outil mais j'imagine qu'il a besoin d'un répère pour débusquer les fichiers cryptés par le maître-chanteur qui a infecté la machine.

 

Car il s'agit bien d'un chantage...

 

@++

[azzerty]

Une fois que j'ai choisie le fichier, le scan se termine aussitôt 0 Processed, 0 found, 0 decrypted. Je ne comprend pas trop.

 

Quand je lit les .txt ça à l'air des des truc de microsoft concernant visual C++, sauf un où il y a marqué "VC Redist EULA - JPN RTM

Unicode

puis un truc en Japonais"

 

et si j'essaie de le scanner rien ne se passe.

 

Je suis désolé mais je ne vais pas pouvoir continuer ce soir.

 

Est ce que je lance quand même l'analyse cette nuit avec virus removal tool en mode sans echec, ou ça on laisse tomber ?

Modifié le 19 mai 2011 par azzerty

[Apollo]

Ce sont peut-être les dll qu'il faut lui montrer, pourtant les "eula" que tu as cité sont bien dans les définitions données par threat expert.

 

Je suis quand-même étonné que l'outil ne cherche pas ça de lui-même comme TDSSKiller cherche les rootkits.

 

Les textes sont peut-être normaux mais les appli concernées bloquées par le pirate qui demande une rançon pour les "débloquer"; tu penses bien qu'il ne le fera jamais! C'est juste une façon pour lui de voler les gens.

 

Oui lance le VRT, comme cet outil anti-xorist appartient à Kaspersky, je pense qu'il est évidement compris dans l'antivirus.

 

Je me demande bien comment Symantec peut laisser passer de telles infections; tu vas bien faire en le remplaçant va...

 

C'est vraiment une nullité.

 

Bonne nuit

[azzerty]

Heureusement que je ne l'ai pas acheté (non je ne l'est pas non plus piraté, il était fournie avec un PC et ses deux autres licence aussi )

 

Bonne nuit à toi aussi, enfin si tu as le temps de dormir