[Résolu] Infection Cryptowall DD externe

[Sebest]

Bonjour, j'ai malheureusement constaté que j'ai été infecté par ce ransomware que je viens de découvrir.

J'ai des fichiers inutilisables sur une partie d'un disque dur externe pensant qu'il était à l'abri de ce genre de mésaventure.

Truc incompréhensible, il n'y a qu'une partie des dossiers touchés et le disque C Windows n'a rien non plus. Je sais pas trop le pourquoi du comment mais j'aimerais m'en débarrasser.

 

En espérant récupérer mes fichiers... J'ai lu qu'il copiait le fichier, le cryptait et supprimait ensuite la version originale.

Entre Ransomware Decryptor ,Rakhni decryptor, Rector Decryptor, R-Studio, Ontrack easy recovery, crashplan, shadow explorer j'espère que ça va marcher.

 

En attendant, merci pour votre aide pour la désinfection.

Modifié le 12 novembre 2015 par Sebest

[Pierre13]

Bonsoir,

 

A lire avant de commencer.

A lire également.

 

Quelle est la version de Windows ?

Il faut déconnecter le disque externe pour éviter l'infection du PC et ne plus le reconnecter.

Ensuite, se débarrasser des fichiers récupérés sur ce disque externe.

 

Il faut savoir qu'il n'y a aucun moyen de récupérer les fichiers cryptés.

 

Pour le moment, installer Cryptowall Immunizer

C'est pour éviter la propagation de l'infection.

 

Faire une analyse avec MBAM:

• Télécharger Malwarebytes Anti-Malware et enregistre le sur le Bureau.
• Double-cliquer sur le fichier mbam-setup.exe pour lancer l'installation

  pour vista/W7/W8/10 clique-droit > exécuter en tant qu'administrateur

• A la fin de l'installation, décocher l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium".

  La case Exécuter Malwarebytes Anti-Malware reste cochée.

• Cliquer sur Terminer. Malwarebyte's s'ouvre

  Changer la langue si elle est en anglais

  Sur le Tableau de bord, cliquer en haut sur Setting >> General Settings >> Language : Mettre Français Le changement est immédiat

  Faire un Scan personnalisé avec >> MalwareByte's Anti-Malware avec cette procédure

• Ouvrir MBAM, Sur le Tableau de bord, cliquer en haut sur Analyse
• Après, sélectionner Analyse Personnalisé.>> et Configurer Analyse
• Configurer et Cocher toutes les cases des lecteurs et des examens

   

  

• Lancer l'examen >> Analyse Maintenant
• Quand l'examen est terminé, si des éléments ont été détectés
• Cliquer sur Appliquer les actions pour laisser MBAM nettoyer ce qui a été détecté.

   

  Si besoin, Voir ce tuto de Chantal11.

• Si un redémarrage est demandé, clique sur OUI.
• Attendre l'affichage du message invitant à faire redémarrer le PC, puis cliquer sur Oui.
• Après le redémarrage, ouvrir de nouveau MBAM.

   

  Si besion, Voir ce tuto de Chantal11

• Cliquer sur l'onglet Historique > Journaux de l'application.
• Faire un double clique sur le JOURNAL D'ANALYSE dont l'analyse qui vient d'être effectuée.
• Cliquer sur Exporter.
• Cliquer sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquer sur le Bureau.
• Dans la zone Nom du fichier: saisir un nom pour le journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et annoncer que "Votre fichier a été exporté avec succès".
• Cliquer sur OK
• Héberger le contenu du rapport sur le site ce service de rapport en ligne

  Puis copier/coller le lien fourni dans la prochaine réponse.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

Après cette analyse avec MBAM, faire ceci:

 

Comment lever la protection SmartScreen :

 

Depuis la sortie de sa version 8, Microsoft intègre un système de protection contre les sites malveillants nommé « SmartScreen ».

Mais il s’avère que ce filtre bloque le téléchargement de nombreux logiciels légitimes.

 

 

Téléchargement ZHPDiag :

• Télécharger ZHPDiag sur le site officiel de Nicolas Coolman
• Une icône est créée sur le Bureau.
• Cliquer sur l’icône ZHPDiag pour démarrer le logiciel et faire apparaître l’interface.

 

 

Démarrer la recherche :

• – Cliquer sur « Scanner » pour démarrer la recherche.
• – En cours de recherche, un compteur indique le nombre de détections.

• – Laisser s'effectuer la recherche jusqu’à ce que la barre de progression atteigne le 100%
• – Pour annuler la recherche, cliquer sur la touche « Echap ».
• -- Cliquer sur Rapport à la fin du scan.
• -- Héberger le rapport sur Cjoint (le rapport est sur le bureau)
• -- Poster le lien vers ce rapport.

Modifié le 10 novembre 2015 par Pierre13

[Pierre13]

Re,

 

Explication sur la procédure:

 

=> Déconnecter le disque externe le temps de sécuriser le PC

=> désinfection du PC

=> Tentative de désinfection du disque externe

 

En espérant que ça va marcher...

[Pierre13]

Re,

 

Je répète ma question: Quelle est la version de Windows sur le PC ?

[Sebest]

WINDOWS 7 SP1

 

http://up.security-x.fr/file.php?h=R5b16a711e5fc3df735f549a520a4abf1

http://www.cjoint.com/c/EKligXXZt1G

[Pierre13]

Bonjour,

 

Ça commence mal...

 

PUP.Optional.APNToolBar, C:\Users\Seb\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\14.00\agent\stub_data\askrt_en.cab, Aucune action de l'utilisateur, [a9b6314ba6e52313f4d3c0653ec3da26],

 

Pourquoi ?

 

Je regarde le rapport ZHPDiag.

[Pierre13]

Re,

 

 

---\\ Récapitulatif des éléments trouvées sur votre station (10) - 0s
http://www.nicolascoolman.fr/trojan-autokms/ =>HackTool.AutoKMS
http://www.nicolascoolman.fr/toolbar-conduit/ =>PUP.Optional.Conduit
http://www.nicolascoolman.fr/pup-crossrider/ =>PUP.Optional.CrossRider
http://www.nicolascoolman.fr/toolbar-ask/ =>Toolbar.Ask
http://www.nicolascoolman.fr/blog =>PUP.Optional.ProgSense
http://www.nicolascoolman.fr/blog =>PUP.Optional.Softonic
http://www.nicolascoolman.fr/pup-vshareredir/ =>PUP.Optional.VShareRedir
http://www.nicolascoolman.fr/parasite-pugi/ =>PUP.Optional.Pugi
http://www.nicolascoolman.fr/pup-freecorderextension/ =>PUP.Optional.FreecorderExtension
http://www.nicolascoolman.fr/blog =>PUP.Optional.ClientConnect

 

On continue:

 

 

• Télécharger ZHPCleaner sur le bureau.
• Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur
  
  
• - 1 - Cliquer sur Scanner
• Patienter jusqu'à la fin (100%)
• - 2 - Cliquer sur Nettoyer (Obligatoire si détection..Sinon, faut recommencer)
• Patienter jusqu'à la fin
• - 3 - Cliquer sur Rapport
• -- Heberger le rapport sur Cjoint (le rapport est sur le bureau)
• -- Poster le lien vers ce rapport.

Modifié le 11 novembre 2015 par Pierre13

[Sebest]

Bonjour,

 

Ça commence mal...

 

PUP.Optional.APNToolBar, C:\Users\Seb\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\14.00\agent\stub_data\askrt_en.cab, Aucune action de l'utilisateur, [a9b6314ba6e52313f4d3c0653ec3da26],

 

Pourquoi ?

 

Je regarde le rapport ZHPDiag.

C'est pour mettre à jour Real Player je suppose. Meme si je m'en sert plus....

Je vais l'enlever manuelement et désinstaller Real Player, je passe ZHP cleaner ensuite.

[Pierre13]

Re,

 

Faut bien comprendre que tout que trouve MBAM est infectieux.

Avec une infection comme Cryptowall, pas question de laisser quoi que ce soit d'infectieux..sinon, on fait tout ça pour rien.

 

J'attends le rapport de ZHPCleaner.

 

Note:

 

Si j'ai insisté pour savoir quelle version de Windows est installée, c'est pour proposer les outils qui conviennent à cette version.

[Sebest]

http://www.cjoint.com/c/EKljFYB3PwG