[Résolu] Infection Cryptowall DD externe

[Sebest]

RogueKiller V10.11.5.0 (x64) [Nov 9 2015] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : Seb [Administrateur]
Démarré depuis : C:\Users\Seb\Desktop\RogueKillerX64.exe
Mode : Scan -- Date : 11/11/2015 13:03:25

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 2 ¤¤¤
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-438700012-334028598-3849664603-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve -> Trouvé(e)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-438700012-334028598-3849664603-1000\Software\Microsoft\Internet Explorer\Main | Search Bar : Preserve -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 1 ¤¤¤
[PUP][Répertoire] C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001} -> Trouvé(e)

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 01a508c2db6e3eae5da28d0d15f234b3
[bSP] 736e265f882964abfb10af1f197ee61d : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 715403 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

[Pierre13]

Ok.

 

Relance RogueKiller

Patiente le temps du scan.

Ensuite:

 

Onglet Registre: Tout sélectionner

Onglet Fichiers idem

 

Cliquer sur Suppression.

Poster le rapport.

 

Ensuite, on va faire un scan/réparation général avec le disque dur externe connecté.

Attention:

 

Ne pas ouvrir quoi que ce soit sur le disque externe ! juste le connecter.

 

Je te donnerai la procédure après le rapport de suppression de RogueKiller

[Sebest]

RogueKiller V10.11.5.0 (x64) [Nov 9 2015] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : Seb [Administrateur]
Démarré depuis : C:\Users\Seb\Desktop\RogueKillerX64.exe
Mode : Scan -- Date : 11/11/2015 14:11:03

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 1 ¤¤¤
[PUP][Répertoire] C:\ProgramData\{93E26451-CD9A-43A5-A2FA-C42392EA4001} -> Trouvé(e)

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 01a508c2db6e3eae5da28d0d15f234b3
[bSP] 736e265f882964abfb10af1f197ee61d : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 715403 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

[Pierre13]

Tu n'as pas fait la suppression ?

[Sebest]

Si avant mais j'ai redemarré avant d'avoir enregistré le rapport. J'ai voulu aller chercher le rapport après le redemarrage, il m'a dit qu'il fallait etre sur la version prenium pour pouvoir gerer les rapports.

Doc j'ai refait un scan, c'est le rapport de celui, après suppression et redemarrage donc.

[Pierre13]

Bon..Ok.

 

Alors, pour cette manip, bien lire le tuto jusqu'au bout.

 

Dans l'ordre :

 

Télécharger l'outil comme expliqué.

Installer l'outil

Connecter le disque dur externe sans ouvrir quoi que ce soit.

Lancer l'outil comme expliqué dans le tuto.

 

Poster le rapport.

 

Aller sur cette pagepour télécharger KVRT de Kaspersky
Voir ce tutoriel de Labougiepour utiliser KVRT.

Poster le rapport sur cjoint.
Me donner le lien obtenu.

Modifié le 11 novembre 2015 par Pierre13

[Sebest]

ça a été très long. Et je sais pas si ça a fonctionner, l'interface 2015 etant tres differente de celle 2011 montrée dans le tuto.

 

http://www.cjoint.com/c/EKlwa7qos4G

[Pierre13]

Oui, je me doute que c'est long...

Bon...J'aurais préféré un fichier texte au lieu de la capture...Tant pis.

 

Pour savoir si c'est Ok, pas simple vu que je ne connais pas le nom du fichier qui infecte le PC..

 

En tous cas, laisser l'outil de BitDefender en service, il va empêcher la propagation du virus.

Faudrait maintenant passer MBAM en ayant fait la mise à jour avant.

Je sais bien que c'est aussi très long...mais c'est le seul moyen pour le moment de vérifier si c'est Ok ou non.

 

J'aurais voulu savoir si le PC se comporte normalement ou pas maintenant ?

 

Note:

 

Il y a un moyen possible sous réserves de la configuration des points de restauration de récupérer des fichiers cryptés.

 

On verra cela une fois que l'on est certain que l'infection est éradiquée.

 

Faire le scan avec MBAM et bien vider la quarantaine.

 

Pour le scan avec MBAM, il faut laisser le DD externe connecté pour qu'il soit aussi analysé.

 

Bon courage...et bon travail pour aujourd'hui !

[Pierre13]

En regardant de plus près la capture, je vois que seul le disque C a été concerné...

Le disque externe était connecté et allumé durant l'analyse ?

[Sebest]

Oui mais il n'a rien trouvé. J'ai refait un scan sur le disque externe car j'avais aussi un doute.

 

Sinon mon PC a toujours fonctionné normalement excepté que ça a cripter une partie de mes fichiers sur le DD externe.

Je fais le scan MBAM. Merci

 

C'est parti pour 5h à mon avis...

Modifié le 11 novembre 2015 par Sebest