[Résolu] Problème GandCrab 5.2

[celine12200]

Bonjour,

la réinitialisation s'était bien passé, jusqu'au moment ou ma page de bureau se remet avec la demande rançon. J'ai regardé dans le lecteur  C mais tout les fichiers cryptés avait disparu, donc j'ai passé SEAF comme la dernière fois et en fait il y en a encore mais dans l'emplacement D recovery, celui qui sert de restauration système. Cela veut dire que si je veut faire une restauration complète cela ne changera rien puisque les mauvais fichiers y sont. La question est comment les supprimer de cet emplacement, j'ai mis le rapport ci dessous, il y en a beaucoup moins que la dernière fois.

https://cjoint.com/c/IDnjvQe03lS

A +

 

[ab-web]

Bonjour

coriace la bête

Normalement la partition recovery sers a remettre le PC a l'état d'usine ? je suppose que le PC n'était pas en windows 10 a l'achat?
elle n'est donc , pas a privilégier en cas de soucis .dans le cas d'un PC migré .
mais on remarque qu'aucun fichiers vraiment important n'est chiffré , on remarque surtout l'ajout du manuel (SJJKKNR-MANUAL.txt)
on va donc tenter de les supprimer avec FRST

1. Copie la totalité du script contenu dans la boite code ci dessous
2. Lance FRST en tant qu'administrateur > puis clic sur corriger , donne le résultat .

Start::
Createrestorepoint:
Closeprocesses:
Hosts:
Removeproxy:
D:\EFI\Microsoft\SJJKKNR-MANUAL.txt
D:\EFI\SJJKKNR-MANUAL.txt
D:\preload\FactoryUpdate\SJJKKNR-MANUAL.txt
D:\preload\FactoryUpdate\UserDLSoftpaq\SJJKKNR-MANUAL.txt
D:\preload\RM_PATCH\SJJKKNR-MANUAL.txt
D:\preload\RM_Reserve\OA3.Trace.xml.sjjkknr
D:\preload\RM_Reserve\OA3ChkEdt.log.sjjkknr
D:\preload\RM_Reserve\Reserve.log.sjjkknr
D:\preload\RM_Reserve\ReturnFile.vbs.sjjkknr
D:\preload\RM_Reserve\RevFile.vbs.sjjkknr
D:\preload\RM_Reserve\SJJKKNR-MANUAL.txt
D:\preload\RM_Reserve\system.sav\Logs\INSTALL_PASS1.log.sjjkknr
D:\preload\RM_Reserve\system.sav\Logs\SJJKKNR-MANUAL.txt
D:\preload\RM_Reserve\system.sav\SJJKKNR-MANUAL.txt
D:\preload\RM_Reserve\system.sav\util\INSTALL.LOG.sjjkknr
D:\preload\RM_Reserve\system.sav\util\SJJKKNR-MANUAL.txt
D:\preload\SJJKKNR-MANUAL.txt
D:\Recovery\lang.ini.sjjkknr
D:\Recovery\SJJKKNR-MANUAL.txt
D:\Recovery\WindowsRE\SJJKKNR-MANUAL.txt
D:\SJJKKNR-MANUAL.txt
D:\sources\SJJKKNR-MANUAL.txt
Emptytemp:
End::

• Tu devras certainement remplacer ton image de bureau , comme tu l'avais déjà fait .
• je suis présent jusqu'a 14h30 , je ne sais pas si je pourrais suivre pendant le week end .

 

Modifié le 14 avril 2019 par ab-web

[celine12200]

Re,

Ha ça oui il est coriace, il veut pas me quitter😥

j ai acheter le pc avec windows 10, ce n'est pas une migration, Recovery sert bien a remettre le pc en état usine. Je dois m absenter, je ferai les analyses ce soir. 

Bon weekend.

 

[celine12200]

Bonjour ab-web,

alors j'ai copier le texte du précédent post et lancer FRST. Rapport Fix log : https://cjoint.com/c/IDooensBGPS

Dans mon lecteur D, le fichier SJJKKNR manuel n'y est plus mais j'ai quand même passé SEAF. Dans le rapport, les manuels apparaissent dorénavant dans le lecteur C, dans quarantaine, le voici : https://cjoint.com/c/IDookacdI4S

On a l'air sur la bonne voie de ce côté là, mais c'est pas finit … parce que  j'ai eu la mauvaise surprise que McAfee m'alerte par rapport à 2 chevaux de Troie qui s'appelle Artémis. C'est quand même un comble car je reconfigure mon ordi hier, donc McAfee que j'avais désinstallé à l'achat de mon pc se réinstalle automatiquement, normal et là il me trouve 2 virus tout à l'heure. C'est vraiment la poisse. 

A très vite

Modifié le 14 avril 2019 par celine12200

[ab-web]

 hello

OUI ça semble tout bon , SEAF les retrouvent tous dans la quarantaine de FRST
il ne faut pas s'inquiéter de ce que trouve mcaffe , cela peu être un faut positif , certains logiciels utilisés en désinfection , sont considérés comme malwares , par certains antivirus .
Bon , refait moi quand même un Scan ZHPDIAG .

Modifié le 14 avril 2019 par ab-web

[celine12200]

Bonsoir,

voici le rapport zhpdiag  https://cjoint.com/c/IDpr5VmfD4S

J'espère que c'est bon.

Bonne soirée

 

[ab-web]

Bonsoir

il ne faut qu'un logiciel de sécurité
je te recommande d'utiliser plutôt Windows defender.

Désisntalle AVAST et McAfee , la présence de plusieurs logiciels de sécurité peu provoquer des conflits .

Après les désinstallations windows defender devrait se réactiver.

Comment désisnstaller MCAfee
https://www.malekal.com/supprimer-antivirus-mcafee/

Désinstaller Avast a l'aide de l'outil désisntalleur d'avast.
https://support.avast.com/fr-fr/article/10

ensuite fait ceci

Télécharge ZHPFIX 2019 sur le bureau> ZHPFIX2019

Copie tout le texte dans la boite code  ci dessous
 

Script ZHPFix
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
EmptyRecycle
O87 - FAEL: "{2CA442A0-12E1-4A29-BDB8-018EB94D47A4}" [In-None-P6-TRUE] .(...) -- c:\Program Files\CyberLink\PowerDirector12\PDR10.EXE
O43 - CFD: 13/04/2019 - [] D -- C:\Users\delte\AppData\Local\OneDrive

Colle le texte puis clic sur le balai ( voir ci dessous)

Un rapport "ZHPFix.txt" sera placé sur le bureau .
Héberge le rapport sur CJOINT
met le lien vers le rapport dans ta prochaine réponse

 

[celine12200]

Bonjour,

voilà le rapport https://www.cjoint.com/c/IDqqGTRaPLS

J'ai désinstallé les antivirus, il faut aussi que j'enlève des applications remises lors de la réparation. J'utilisais Revo, y a t il un autre logiciel ou celui ci est le mieux ?

a bientôt

[ab-web]

Bonsoir

Revo uninstaller est très bien , tu peu continuer a l'utiliser .
crée un point de restauration avant et après les désinstallations .
Pour accéder rapidement a "protection du système" >  dans exécuter tape ou colle  : SystemPropertiesProtection.exe  > clicOK .

Quelque conseils
le meilleur moyen pour récupérer un PC attaqué par ce type de ransomware , est la sauvegarde régulière de l'image disque complète ( par exemple une fois par mois après les mises a jour windows) garder au moins les deux plus récentes , cela permet aussi , de récupérer l'image disque en cas de changement de disque dur .

• les sauvegardes sont a faire sur un disque dur externe , qui n'est pas connecte en permanence au PC ( sinon les fichiers qu'il contient sont également chiffrés en cas d'attaque )
• un logiciel de sauvegarde gratuit qui va bien ,EASEUS TODO BACKUP 
• faire le disque de récupération qui permet de lancer EASUS , même si le système est dans l'impossibilité de démarrer .

téléchargement de Easeus todo  backup > https://www.easeus.fr/logiciel-de-sauvegarde/todo-backup-free.html

Attention aux surf : sur certains site il faut être très vigilant , certains sites sont piégés , tu est sur un site que tu crois sur , tu clic sur un lien pour ouvrir une fonction du site , et c'est fait .
- en règle générale ce genre d'infection est véhiculé par des exploit web( sites ackés) ou par des pièces jointes ou des liens dans des mails que l'on peu croire légitimes .
il faut tenir a jour le système , et plus généralement toutes les applications installées ( surtout les logiciels a risque comme tous les logiciel adobe et java ) car très utilisés par les ackers , pour mener des attaques .
Toujours privilégier les sites des éditeurs de logiciels ( attention aux sites de téléchargements qui repack les installeurs en y joignant des logiciels tiers inutiles et parfois des malwares !

pour finaliser
KPRM

Télécharge KPRM sur le bureau > KPRM

laisse la case cochée par défaut ne coche rien d'autre > clic sur Exécuter , un rapport sera placé sur le bureau
héberge le sur CJOINT

 

 

 

 

 

Modifié le 16 avril 2019 par ab-web

[celine12200]

Bonsoir ab-web,

rapport KPRM https://cjoint.com/c/IDrr7seU5oS

Windows defender m'a alerter sur un trojan :

win32/Bearfoos.A!ml 

file: C:\Users\delte\Desktop\kprm-006.exe

Je pense que c'est normal avec le passage de KPRM mais ...

Bonne soirée