Sujet: [Ransomware] Besoin d'aide...
25/04/2013 @ 09:49:30: Tang: [Ransomware] Besoin d'aide...
Salut à tous,

En rentrant hier du boulot, j'ai eu la surprise de découvrir que madame avait chopé un sale truc et que le PC fixe sous Windows XP SP3 était bloqué :
http://perso.latribu.com/psycho/ransomware-01.jpg

http://perso.latribu.com/psycho/ransomware-02.jpg


Après quelques recherches avec la tablette sur le site de la Police Fédérale, je choppe leur pdf permettant d'essayer de s'en débarrasser.

Je file chez ma belle-soeur chopper son laptop et retour à la maison (heureusement elle habite à 6 maisons de chez moi).

Voici ce que j'ai essayé :
1°) reboot simple de la machine via bouton reset ==> démarrage, bureau puis écran ci-dessus.

2°) démarrage en mode sans échec ==> démarrage, bureau, redémarrage direct sans possibilité de faire quoi que ce soit.

3°) démarrage sur clé USB avec Windows Defender Offline comme préconisé par la Pol Féd :
- Quick Scan relève 2 trucs qui n'ont rien à voir dans l'histoire;
- Custom Scan sur C relève un ".js" dans le Temporary Internet File ==> suppression
http://perso.latribu.com/psycho/ransomware-03.jpg


4°) démarrage normal ==> pareil qu'au 1°

5°) démarrage USB et lancement Full Scan pour la nuit ==> ce matin il m'indique qu'il n'a pas pu terminer le scan

6°) Quick Scan ce matin et pareil quick scan du 3°

7°) Full Scan lancé pour la journée ==> résultat en rentrant...


Si jamais vous avez une solution efficace pour se débarrasser de ce truc, je suis preneur.

J'ai pas vraiment peur pour le PC car je dirais que 99% des documents importants sont sur le NAS, mais si je pouvais le récupérer sans devoir formater, ça m'arrangerait.


Tang
25/04/2013 @ 10:18:03: Pinou: [Ransomware] Besoin d'aide...
Portable ou fixe ?
25/04/2013 @ 10:22:21: Tang: [Ransomware] Besoin d'aide...
Fixe sous Windows XP SP3.
25/04/2013 @ 10:25:15: Pinou: [Ransomware] Besoin d'aide...
J'ai dépanné un ami dernièrement pour ce genre de truc :
1. HDD de son portable dans un un lecteur externe pour backup (et analyse avec mon antivirus)
2. réinstalle avec l'image faite à l'installation.

Sinon, on me souffle à l'oreil qu'il 'suffit' de démarrer avec un autre user puis de virer le user qui pose problème (après backup des données utiles).
J'ai +/- fait ça sur un autre PC mais en domaine avec rooming profile et c'était encore plus chiant. :ohwell:

Bonne m....
25/04/2013 @ 10:28:18: Tang: [Ransomware] Besoin d'aide...
Le truc c'est que j'ai qu'un user dessus, moi avec les droits d'admin.

Si je ne me trompe, il doit aussi y avoir un compte "admin" par défaut.
Je tenterai ce soir, sinon de fait ce sera du démontage pour essayer via mon Asrock sous Win7 et un lecteur IDE/SATA en USB.

Merci pour les pistes.
25/04/2013 @ 10:36:26: sphinx: [Ransomware] Besoin d'aide...
Sinon moi j'avais contourné cela par une restauration du point de sauvegarde précédent

et sinon si tu atein le mode sans échecs tu teste Malwarebytes Anti-Malware et HitmanPro
25/04/2013 @ 10:37:34: H2G2: [Ransomware] Besoin d'aide...
Il y a pas mal d'info sur ce type d'infection sur un site comme www.malekal.com
Apparemment, si ton scan est bloqué, des programmes comme rkill ou roguekiller devraient t'aider à faire le ménage.
(je dis ça sur la foi de ce que je viens de lire par-ci par-là, hein, je n'ai aucune expérience personnelle avec ce genre de menaces)
25/04/2013 @ 10:49:37: Derdesder: [Ransomware] Besoin d'aide...
:wink: Roguekiller en mode sans échec et le problème sera réglé.
Après tu refais un contrôle quand même.
25/04/2013 @ 10:51:55: Tang: [Ransomware] Besoin d'aide...
Merci à tous, mais le problème est que je ne sais pas resté en mode sans échec car le PC reboot automatiquement quand j'arrive sur le bureau.

En tout cas avec prise en charge du réseau, mais je pense avoir testé le mode sans échec simple aussi.

Réessaierai aussi ce soir.
25/04/2013 @ 10:57:58: H2G2: [Ransomware] Besoin d'aide...
Merci à tous, mais le problème est que je ne sais pas resté en mode sans échec car le PC reboot automatiquement quand j'arrive sur le bureau.

Dans ce cas fais-toi un live CD comme celui-là qui inclut Roguekiller et malewarebyte:
http://www.malekal.com/2013/02/22/malekal-live-cd/
25/04/2013 @ 11:04:12: Tang: [Ransomware] Besoin d'aide...
Apparemment il devrait y avoir moyen de bloquer le "virus" avant qu'il ne se lance : http://www.malekal.com/2012/10/26/ransomware-reveton-variante-ministere-de-linterieur/

Je testerai ce soir et prépare néanmoins une LiveUSBKey au cas où.

Merci.


PS: Je prends note de ce site malekal.com :alarmclock2:
25/04/2013 @ 11:06:25: H2G2: [Ransomware] Besoin d'aide...
Ben, c'est une référence, hein :smile:
25/04/2013 @ 11:31:46: Bross: [Ransomware] Besoin d'aide...
J'utilise à chaque fois cette méthode :
http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Et cela fonctionne à 100% jusqu'à présent...
25/04/2013 @ 12:04:39: Tang: [Ransomware] Besoin d'aide...
Allez, je vais d'abord tester le Kaspersky alors qui me paraît plus automatisé.
25/04/2013 @ 19:32:40: Tang: [Ransomware] Besoin d'aide...
Allez c'est bon, merci à tous.

Pas moyen de booter le Kaspersky RescueDisk, du coup j'ai fait via RogueKiller sur le Malekal Lice CD.


Ca c'est fait. :aboire:
26/04/2013 @ 06:25:16: H2G2: [Ransomware] Besoin d'aide...
Ah ben, tant mieux :smile: .. et dis à madame d'arrêter avec le pr0n :tinostar:
26/04/2013 @ 09:50:36: Tang: [Ransomware] Besoin d'aide...
Ou bien de commencer peut-être, parce que ces sites de faire-part ça a pas l'air très sain...
27/04/2013 @ 15:10:45: Pinou: [Ransomware] Besoin d'aide...
Un ami m'a appelé ce matin pour le même problème.
Du coup j'ai testé RogueKiller sur le Malekal Lice CD.
C'est nickel.
27/04/2013 @ 16:07:31: Tang: [Ransomware] Besoin d'aide...
Et un des PC au bureau (celui de ma soeur) a aussi choper ce truc mais le Windows Live Essentials (ou un truc du style) l'a bloqué à temps.
Retour