Cryptolocker variante cryptowall 3.0

Cryptolocker variante cryptowall 3.0 - Virus/Spywares - Windows & Software

Marsh Posté le 05-06-2015 à 16:57:21    

Bonjour,  
Ben oui, j'ai une collègue qu s'est fait chopper par ce truc (moi, j'suis sous Linux ;) mais là n'es pas la discussion) Il y avait par ailleurs un tas de malwares (pubs intempestives à gogo).
Elle tourne sous Vista sur un acer :o q6600.
J'ai fait:
Passage malwarbyte => dégagement de certains indésirables
Passage d'Avira complet sur une freshinstall (ça bugait à l'origine) dégagement de 3-4 virus dont je n'ai retenu le nom.
J'ai voulu passer zhp... échec lamentable un problème de droit d'écriture (!) sur une adresse bien que lancé en mode administrateur. Ça pue le bloquage d'un malware ou c'es un bug sous Vista?
Après test prolongé de la machine il ne semble plus y avoir d'activité de cryptowall 3.0..mais je n'ai aucune certitude sur la propreté de la "désinfection".
Vaut-il mieux réinstaller cette bouse de Vista (je lui ait aussi proposé de passer à W7...)

Reply

Marsh Posté le 05-06-2015 à 16:57:21   

Reply

Marsh Posté le 05-06-2015 à 17:35:46    

chinois02 a écrit :

Bonjour,  
Ben oui, j'ai une collègue qu s'est fait chopper par ce truc (moi, j'suis sous Linux ;) mais là n'es pas la discussion) Il y avait par ailleurs un tas de malwares (pubs intempestives à gogo).
Elle tourne sous Vista sur un acer :o q6600.
J'ai fait:
Passage malwarbyte => dégagement de certains indésirables
Passage d'Avira complet sur une freshinstall (ça bugait à l'origine) dégagement de 3-4 virus dont je n'ai retenu le nom.
J'ai voulu passer zhp... échec lamentable un problème de droit d'écriture (!) sur une adresse bien que lancé en mode administrateur. Ça pue le bloquage d'un malware ou c'es un bug sous Vista?
Après test prolongé de la machine il ne semble plus y avoir d'activité de cryptowall 3.0..mais je n'ai aucune certitude sur la propreté de la "désinfection".
Vaut-il mieux réinstaller cette bouse de Vista (je lui ait aussi proposé de passer à W7...)


 
 
Windows vista fonctionne très bien depuis le SP2, si les composants suivent.  

Reply

Marsh Posté le 07-06-2015 à 10:22:08    

Pour Vista, c'est mort elle n'a pas les DVD de restauration usine (et pas de partition recovery). Pour Windows 7 c'est mort aussi, il n'y a que des versions OEM à installer sur système neuf, pas un PC de 2007 :/
W$ 8.1 elle va faire la gueule!

Reply

Marsh Posté le 07-06-2015 à 10:26:14    

Elle aura moins de chances d'attraper des virus avec un Windows 8.1.

Reply

Marsh Posté le 07-06-2015 à 11:50:26    

chinois02 a écrit :

Pour Vista, c'est mort elle n'a pas les DVD de restauration usine (et pas de partition recovery). Pour Windows 7 c'est mort aussi, il n'y a que des versions OEM à installer sur système neuf, pas un PC de 2007 :/
W$ 8.1 elle va faire la gueule!


 
Pas forcément. J'en ai installé et on peut le relooker pour qu'il ressemble à windows 7 à l'usage (pas de tuiles, menu démarrer, ...) J'ai vu des personnes qui n'ont pas vu la différence (amies notamment)

Reply

Marsh Posté le 07-06-2015 à 14:35:07    

Bonjour chinois02,
 
 
Le mieux c'est effectivement de regarder s'il reste des traces du cryptoware.  
 
Je redonne la procédure de ZHPDiag mais s'il y a un problème, on utilisera un autre outil. Bien penser à désactiver Avast car il bloque parfois le téléchargement de ZHPDiag.  
 
 
 
:) Tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport :
 

  • Se rendre sur le site http://www.cjoint.com/
  • Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
  • Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
  • Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien.  
  • Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.


 
 
Rappel sur les envois des rapports:  
Les fichiers générés par ce programme peuvent inclure des données personnelles (nom d'utilisateur par exemple). Assurez-vous de les nettoyer si vous ne souhaitez pas qu'elles soient accessibles à tous.
 
 
 
 
==> ZHPDiag - programme de diagnostic
 
 

  • Télécharger et installer ZHPDiag (de Nicolas Coolman).


  • Fermer tous les programmes en cours d'utilisation.


  • Lancer ZHPDiag en faisant un clic droit de la souris sur son icône (qui est sur le bureau), puis en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8)


  • Cliquer sur Complet


    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
http://nsa34.casimages.com/img/2015/03/24/150324092234906054.png
 

  • Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

Reply

Marsh Posté le 07-06-2015 à 17:54:46    

Bonjour, ZHP diag bloque sur:
"violation d'accès à l'adresse 77D73F26 dans le module ntdll.dll écriture de l'adresse 00408090".
Bref ça ne veut pas tourner :( , fait en dehors du Net et zhpdiag lancé en mode administrateur et avira désactivé


Message édité par chinois02 le 07-06-2015 à 17:55:39
Reply

Marsh Posté le 07-06-2015 à 17:55:56    

OK, essaie avec ce tool.
 
 
 
==> Farbar Recovery Scanner Tool :
 
 


  • Le programme est enregistré par défaut dans la rubrique Téléchargements de ton gestionnaire de fichiers (appelé aussi Explorateur)
  • Copier le fichier FRST.exe et le coller sur le bureau et pas ailleurs.


  • Fermer tous les programmes ouverts


  • Lancer FRST en faisant un clic droit de la souris sur l'icône du programme, puis "Exécuter en tant qu'administrateur".
  • Le programme met à jour sa base de donnée
  • Sous "Optional Scan", cocher les cases suivantes :


     - Addition.txt
     - Drivers MD5
     - List BCD
 

  • Cliquer sur Scan


 
http://nsa37.casimages.com/img/2015/04/21/150421043410934569.png
 
 

  • Une fois le scan terminé, 2 rapports sont créés sur le bureau FRST.txt et Addition.txt.


 

  • Héberge les 2 rapports sur www.Cjoint.com, puis copie/colle les liens fournis dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 07-06-2015 à 18:44:15    

Bonsoir,  
FRST.txt:  http://www.cjoint.com/c/EFhqPRNQS5P
Addition.txt: http://www.cjoint.com/c/EFhqRx6QnAP
Cordialement.

Reply

Marsh Posté le 07-06-2015 à 20:34:52    

Il restait quelques traces du cryptoware mais non actives, Avira l'a bien dégagé.
 
Le malware a créé beaucoup de fichiers HELP_DECRYPT sur le PC. Ils sont sans danger mais tu peux les supprimer en faisant une recherche sur le terme dans l'explorateur de fichier.  
 
 
 
Dans un premier temps, désinstalle les programmes suivants:  
 
- Boxore Client
- LookThisUp
- McAfee Security Scan Plus
 
 
 
Puis applique ce qui suit:
 
 
 
==> FRST Correction
 
 

  • Appuyer simultanément sur les touches du clavier Windows et R
  • Une fenêtre va s'ouvrir, taper ceci : notepad
  • Cliquer sur OK


Note : Le bloc-notes va s'ouvrir
 
   http://nsa34.casimages.com/img/2015/01/25/150125094941770486.png
 

  • Copier toutes les lignes en gras ci dessous :


 
Start
EmptyTemp:
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe
HKLM\...\Run: [ROC_roc_dec12] => "C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12
C:\Program Files\AVG Secure Search
HKU\S-1-5-21-993196116-623392384-1018098341-1000\...\Run: [vznpoat] => rundll32 ",vznpoat
HKU\S-1-5-21-993196116-623392384-1018098341-1000\...\Run: [bunmima] => C:\Windows\system32\rundll32.exe ",bunmima
HKU\S-1-5-21-993196116-623392384-1018098341-1000\...\Run: [ujkbvnr] => rundll32 ",ujkbvnr
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2010-04-12]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\Laure\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\42A37BDB8.lnk [2015-04-17]
ShortcutTarget: 42A37BDB8.lnk -> C:\ProgramData\8BDB73A24.cpp ()
HKU\S-1-5-21-993196116-623392384-1018098341-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-993196116-623392384-1018098341-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://kogoa.com
URLSearchHook: [S-1-5-21-993196116-623392384-1018098341-1000] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM -> DefaultScope {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL =  
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc.)
Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
Toolbar: HKU\S-1-5-21-993196116-623392384-1018098341-1000 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
Toolbar: HKU\S-1-5-21-993196116-623392384-1018098341-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Toolbar: HKU\S-1-5-21-993196116-623392384-1018098341-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-993196116-623392384-1018098341-1000 -> No Name - {41564952-412D-5637-00A7-7A786E7484D7} -  No File
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml [2012-03-15]
FF Extension: Boxore - C:\Users\Laure\AppData\Roaming\Mozilla\Firefox\Profiles\f0hc44yd.default\Extensions\{E77F341C-F32E-40AA-8829-AA785C7D9316}.xpi [2014-11-19]
FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CHR Extension: (McAfee Security Scan+) - C:\Users\Laure\AppData\Local\Google\Chrome\User Data\Default\Extensions\bopakagnckmlgajfccecajhnimjiiedh [2014-02-25]
CHR Extension: (No Name) - C:\Users\Laure\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba [2014-11-23]
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [235696 2014-04-09] (McAfee, Inc.)
2015-05-08 09:00 - 2015-05-08 09:00 - 00000000 ____D C:\Program Files\Boxore
2015-06-02 16:51 - 2014-11-19 15:41 - 00000000 ____D C:\Users\Laure\AppData\Local\Boxore
2015-06-02 16:51 - 2014-11-16 19:20 - 00000000 ____D C:\Users\Arnaud\AppData\Local\Boxore
2015-04-25 19:31 - 2015-04-25 19:31 - 0000223 _____ () C:\Users\Laure\AppData\Roaming\6453jueywq121aaa
2014-10-02 14:06 - 2014-10-02 14:08 - 0000322 _____ () C:\Users\Laure\AppData\Roaming\aps.uninstall.scan.results
2015-04-17 15:17 - 2015-04-17 15:17 - 0000374 _____ () C:\Users\Laure\AppData\Roaming\hbkai01iajah1
2015-04-17 18:44 - 2015-04-17 18:44 - 0009084 _____ () C:\Users\Laure\AppData\Roaming\HELP_DECRYPT.HTML
2015-04-17 18:44 - 2015-04-17 18:44 - 0047121 _____ () C:\Users\Laure\AppData\Roaming\HELP_DECRYPT.PNG
2015-04-17 18:44 - 2015-04-17 18:44 - 0004730 _____ () C:\Users\Laure\AppData\Roaming\HELP_DECRYPT.TXT
2015-04-17 18:44 - 2015-04-17 18:44 - 0000292 _____ () C:\Users\Laure\AppData\Roaming\HELP_DECRYPT.URL
2014-10-02 15:04 - 2014-11-12 19:04 - 0000125 _____ () C:\Users\Laure\AppData\Roaming\WB.CFG
2008-12-22 23:08 - 2015-04-26 09:00 - 0015504 _____ () C:\Users\Laure\AppData\Local\d3d9caps.dat
2015-04-17 18:43 - 2015-04-17 18:43 - 0009084 _____ () C:\Users\Laure\AppData\Local\HELP_DECRYPT.HTML
2015-04-17 18:43 - 2015-04-17 18:43 - 0047121 _____ () C:\Users\Laure\AppData\Local\HELP_DECRYPT.PNG
2015-04-17 18:43 - 2015-04-17 18:43 - 0004730 _____ () C:\Users\Laure\AppData\Local\HELP_DECRYPT.TXT
2015-04-17 18:43 - 2015-04-17 18:43 - 0000292 _____ () C:\Users\Laure\AppData\Local\HELP_DECRYPT.URL
2014-10-02 14:05 - 2014-10-02 14:05 - 0612125 _____ (ClickMeIn Limited) C:\Users\Laure\AppData\Local\nsw24D0.tmp
2015-04-17 18:43 - 2015-04-17 18:43 - 0009084 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-04-17 18:43 - 2015-04-17 18:43 - 0047121 _____ () C:\ProgramData\HELP_DECRYPT.PNG
2015-04-17 18:43 - 2015-04-17 18:43 - 0004730 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-04-17 18:43 - 2015-04-17 18:43 - 0000292 _____ () C:\ProgramData\HELP_DECRYPT.URL
C:\Users\Arnaud\AppData\Local\Temp\AskSLib.dll
Task: {0245AA14-416E-4026-AFCA-93B609E8C540} - \SoftwareUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {0B6BA7B9-53E6-4023-B2A8-9B539E77EB7D} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION
 C:\Program Files\MyPC Backup\Signup Wizard.exe
Task: {0D5DD64F-7747-48A0-91DE-C326A350693E} - \WSE_Astromenda No Task File <==== ATTENTION
Task: {247BF467-B219-4683-BD75-89AAB96E5E95} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: {4D15DA31-78B8-4CFF-898B-968267CD52AD} - System32\Tasks\0914avtUpdateInfo => C:\ProgramData\Avg_Update_0914avt\0914avt_AVG-Secure-Search-Update.exe [2014-09-14] ()
C:\ProgramData\Avg_Update_0914avt\0914avt_AVG-Secure-Search-Update.exe
Task: {7387B9BE-7804-41A2-979C-2E57613F35EA} - \APSnotifierPP1 No Task File <==== ATTENTION
Task: {8C8F6B54-FDA4-47CF-A44F-D6687064CCB3} - \APSnotifierPP2 No Task File <==== ATTENTION
Task: {91671854-7F8B-4454-AAA9-AD5A9E1E4C83} - \BlockAndSurf Update No Task File <==== ATTENTION
Task: {C278C5AA-600A-4EC6-A89D-758A803AF502} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe <==== ATTENTION
C:\Program Files\RCP\RegCleanPro.exe  
Task: {D8F82EDB-900A-4616-ABDC-A75A68672880} - \ASP No Task File <==== ATTENTION
Task: C:\Windows\Tasks\0914avtUpdateInfo.job => C:\ProgramData\Avg_Update_0914avt\0914avt_AVG-Secure-Search-Update.exe
FirewallRules: [{AA80FF1F-8D80-49C7-8B78-0FEBFB0BE739}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
FirewallRules: [{4E77FAF3-2056-42DC-BFD3-C5702A09EB20}] => (Allow) C:\Program Files\AVG\AVG2015\avgmfapx.exe
C:\Program Files\AVG\AVG2015\avgmfapx.exe
End

 
 

  • Retourner dans le bloc note puis coller les lignes copiées.


  • Cliquer sur la rubrique Fichier du bloc note, puis Enregistrer sous ..., nommer le rapport fixlist et enregistrer le sur le bureau.  


  • A partir du bureau, lancer FRST par un clique droit puis "Exécuter en tant qu'administrateur"
  • Cliquer sur Fix


    Note : Patienter le temps de la suppression
 
 
    http://nsa37.casimages.com/img/2015/04/21/15042104370487791.png
 

  • Une fois le scan terminé, un rapport Fixlog.txt a été créé sur le bureau.


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


 

Reply

Marsh Posté le 07-06-2015 à 20:34:52   

Reply

Marsh Posté le 07-06-2015 à 21:55:37    

Voiçi le fichier fixlog:
 http://www.cjoint.com/c/EFht3kQCsqP
Cordialement.

Reply

Marsh Posté le 08-06-2015 à 06:51:13    

Bonjour,
 
Ok, on fait le point: comment se comporte le PC ?  
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed