Se connecter / S'enregistrer
Votre question
Résolu

Infecté par cryptolocker transformant les fichiers en .mp3

Tags :
  • Informatique
  • ransomware
  • Tesla
  • Antivirus
  • Virus
  • Crypter
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Mars 2016 09:44:58

Bonjour,

Je suis sur un poste qui a été infecté par la nouvelle variante de Tesla. J'ai déjà nettoyer la machine avec RogueKiller, Adwcleaner, j'ai supprimé pas mal de chose à la main.

Maintenant j'en suis à l'analyse FRST. Je joint les deux rapports à mon message. Quelqu'un pourrais m'aider avec ces rapports... J'avoue ne pas trop savoir quoi en faire ;) 

Autre point, les données sont cryptée sur la machine. Je crois que pour le moment il n'y a pas grand chose à faire mais si vous avez une info je suis preneur....

Merci par avance.

Fichier txt FRST:
http://

Fichier txt Addition:
http://

Ps: je n'ai pas vu de fonction directement sur le forum pour partager le rapport. Si ce partage ne convient pas je peux copier l'intégralité du rapport sur le forum ou suivre une autre procédure de votre choix.

Autres pages sur : infecte cryptolocker transformant fichiers mp3

Meilleure solution

a c 578 8 Sécurité
9 Mars 2016 08:35:50

Bonjour,

Effectivement, infection par ransomware crypteur.

Aucune solution actuellement pour la récupération des données.

Par contre, attention à ne pas lancer des outils non adaptées sans connaissances.
Adwcleaner est réservé aux infection par PUP/LPI/Adware
Roguekiller, n'est pas non plus adapté pour ce type d'infection, et peut se révéler dangereux si mal utilisé.

Pour me fournir les rapport FRST et Addition, merci d'utiliser ceci :

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    partage
    9 Mars 2016 14:07:56

    Merci pour le retour,

    Voici les liens
    FRST
    http://up.security-x.fr/file.php?h=Rc662d5c668899105743...

    Addition
    http://up.security-x.fr/file.php?h=Rc76336e25cdaf777221...

    J'ai réussi a récupérer quelques fichiers mais pas l'intégralité. Après plusieurs tests, je pense que le virus n'a pas eu le temps de réaliser son œuvre jusqu'au bout. Il doit renommer l'ensemble des fichiers puis les cryptés. J'ai quelques dossiers qui ont été renommé mais pour lesquelles les fichiers sont a nouveau accessible après les avoirs renommés. Pour renommés l'intégralité des fichiers... Si ça peut servir a quelqu'un...


    m
    0
    l
    Contenus similaires
    a c 578 8 Sécurité
    9 Mars 2016 20:53:01

    Re,

    Effectivement, on voit que le processus a était stoppé en cours, il reste quelques traces qu'on va nettoyer, mais à priori, plus rien d'actif :

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [qqhcnbgggenn] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [nyvdtycqrpri] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [ticylsqnaisn] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [hgivgqrtxssm] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [givgqrtxxssm] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [uwujpmelqgcg] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [rcjfhnedoyde] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [cxjfnveoytdb] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      HKU\S-1-5-21-986847966-409222426-4262061009-1002\...\Run: [cjfhnedoydeb] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe"
      C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe
      AlternateDataStreams: C:\ProgramData\TEMP:D3A8AA31 [298]
      EmptyTemp:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
    • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    a c 578 8 Sécurité
    10 Mars 2016 21:11:28

    Re,

    C'est pas vraiment ce qui aurait été attendu, donc pour vérifier :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Analyser.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    10 Mars 2016 21:22:22

    Ok je fais ça, si l'inquiétude viens de la ligne

    "C:\Users\BOGAERT JEROME\Documents\ulppomninpqy.exe" => non trouvé(e).

    Je l'ai trouvé et supprimé à la main après avoir arrêté le process (c'est probablement ce qui à sauver une partie des fichiers).

    Je poste la réponse dès que j'ai fait la manipe. Je ne pourrais probablement la réaliser que demain car je n'ai pas accès au poste infecté en permanence.

    Cordialement
    m
    0
    l
    a c 578 8 Sécurité
    11 Mars 2016 19:12:45

    Re,

    C'est toi qui a désactivé le compte administrateur ?
    Citation :
    Administrateur (S-1-5-21-986847966-409222426-4262061009-500 - Administrator - Disabled)
    m
    0
    l
    11 Mars 2016 19:22:54

    L'ordinateur a été installé avec le compte que tu vois dans les log. C'est donc lui le compte administrateur. Quand tu fais comme ca le compte administrateur est désactivé par défaut. Mais on peut le réactiver si nécessaire. Ce poste n'est pas le miens et c'est le gars qui l'a installer comme ça :(  généralement j'utilise un compte installe que je supprime ensuite apres avoir créer un compte utilisateurs avec le moins de droit possible et activé le compte admin avec un mot de passe fort. Bref... Tous ca pour dire ca ne me semble pas illogique qu'il soit désactivé.
    m
    0
    l
    a c 578 8 Sécurité
    12 Mars 2016 08:14:33

    Re,

    Il semble que ce compte a été aussi touché,
    Normalement l'outil aurait dû pouvoir traiter les éléments de registre de ce compte, mais cela ne semble pas le cas.
    Maintenant, comme le fichier cible était sur le compte actuel, cela ne sera donc pas dangereux.

    Au niveau infection active, ce sera donc tout ce que nous pouvons faire.

    Reste les fichiers cryptés, qui devront être mis de côté dans l'espoir qu'une solution puisse être trouvée.

    :jap: 
    m
    0
    l
    12 Mars 2016 09:20:05

    ok super merci. J' ai graver les fichiers récupèré sur DVD et mis en place un autre système de sauvegarde qui permet de gérer le versioning. Merci beaucoup pour votre aide !!! Un grand bravo à l'équipe de donner un peu de temps pour faire profiter de vos connaissances :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS