CTB Locker et autres

[DouDou9455]

Hello les amis,

Voila un amis ma contacté pour un soucis sur son pc, infection CTB locker.
Après quelque recherche sur internet, je trouve que la solution est Mbam donc un petit coup de Mbam pour régler le soucis, mais rien n'y fait le virus persiste.

J'en appel donc à votre aide. Je pense qu'il y a autre chose que CTB locker mais je n'ai pas les connaissances nécessaires.

Ci-joint les deux rapports OTL.
Sachez que je prends le pc à distance donc compliqué pour moi de faire des redémarrages en mode sans échec ou autre chose de ce style.
Merci d'avance pour votre aide, pour le moment seul Mbam a été lancé sur le PC.


PS : rapports à venir

[guugues]

Hello Doudou !

Sachez que je prends le pc à distance donc compliqué pour moi de faire des redémarrages en mode sans échec ou autre chose de ce style.

Il serait plus simple que la personne concernée vienne elle-même sur le forum pour qu'on la prenne en charge.

Voila un amis ma contacté pour un soucis sur son pc, infection CTB locker.
Après quelque recherche sur internet, je trouve que la solution est Mbam donc un petit coup de Mbam pour régler le soucis, mais rien n'y fait le virus persiste.

J'espère que la personne concernée a des sauvegardes de ses docs , parce que sinon, impossible de récupérer les fichiers chiffrés ...

[DouDou9455]

Hello guugues,

Merci pour ta réponse.
Disons que la personne n'est pas très doué, cependant si y a besoin de support sur place ou autre je pourrais faire en sorte de l'avoir

Pour les fichiers c'est bien se que je l'ai sur le net, de plus pas de restauration système donc impossible de récupérer une version antérieur des fichiers. Je viens de l'avoir au téléphone visiblement rien de bien important sur le PC donc ça ne devrait pas poser de soucis.

C'est long un scan OTL

[guugues]

Ok ! J'attends donc les rapports.

[DouDou9455]

Ci-joint les logs OTL.

Impossible de récupérer le log MBam ...

[guugues]

Re !

Tu transmettras mes recommandations au propriétaire du PC.


Le PC est infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge donc pas tes logiciels sur des sites comme Clubic, Softonic ou 01.net.

Prends connaissance de ce qui est indiqué lors de l'installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

A lire impérativement : Stop les publicités intempestives
A lire impérativement : S'entraîner à ne plus infecter son PC de PUP/Adwares


----------------------------------------------------------------------------------------


Pour le rapport de Malwarebytes :

• Dans l'onglet Historique, clique sur la catégorie Journaux de l'application.
• Double-clique sur le journal du type Journal d'examen le plus récent.
• Une fenêtre s'ouvre : en bas à gauche, clique sur Exporter puis sur Fichier texte (*.txt) :

• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------------------------------------------------


1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Boxore Client (Adware)
• Driver Detective (Inutile)
• File Opener Pro (Adware)
• ShadowExplorer 0.9
• Shopping Helper Smartbar (Adware)
• Shopping Helper Smartbar Engine (Adware)

Si certains ne veulent pas se désinstaller, ce n'est pas grave, passe aux suivants.


2- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

Script.txt

• Ouvre le fichier Script.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

3- VirusTotal :

• Rends-toi sur le site suivant : VirusTotal.
• Clique sur Choisir un fichier :

• Une fenêtre s'ouvre : dans la partie basse de la fenêtre, dans le cadre Nom du fichier, colle la ligne suivante :

Code: Tout sélectionner

C:\Windows\system32\dxtmsft.dll

• Puis clique sur le bouton Ouvrir :

• Clique ensuite sur le bouton Analyser!.
• Si une fenêtre Fichier déjà analysé apparaît, clique sur le bouton Réanalyser.
• Patiente le temps de l'analyse, jusqu'à ce que les 57 antivirus aient analysé le fichier.
• Copie le lien de la page puis colle-le dans ta prochaine réponse :

Recommence la même manipulation pour les fichiers suivants :

Code: Tout sélectionner

C:\Windows\system32\dxtrans.dll

Code: Tout sélectionner

C:\Windows\system32\iepeers.dll

----------------------------------------------------------------------------------------

Sont donc attendus les rapports de Malwarebytes, OTL et les liens VirusTotal.

[DouDou9455]

Hello,

Alors voila :

Mbam : J'ai bien été voir là et justement non je n'ai pas les logs des scan juste les logs.
J'ai juste des rapports de type "Journal de protection"
Veux-tu que je relance un scan ?

Ci-joint le rapport OTL.

Et voici le résultat des 3 scan virustotal, visiblement rien :

https://www.virustotal.com/fr/file/6a9e ... 422903754/

https://www.virustotal.com/fr/file/ad3a ... 422903853/

https://www.virustotal.com/fr/file/6c31 ... 422903930/


Concernant l'ordinateur il n'y a plus le fond d'écran CTB Blocker

Edit :
Seul Shopping Helper Smartbar (Adware) & Shopping Helper Smartbar Engine (Adware) n'ont pas pu être supprimé.
Pour le premier il ne localise pas le dossier d'installe, j'ai regardé par moi même j'ai rien trouvé, pour le deuxième rien ne se passe quand on clique sur la désinstallation.

[guugues]

Hello !

OK pour le rapport ! Applique les procédures suivantes :


1- Malwarebytes Anti-Malware :

• Lance Malwarebytes.
• Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
• Dans l'onglet Détection et protection, configure le logiciel comme ci-dessous :

• Dans l'onglet Examen, coche la case Examen « Menaces » :

• Clique alors sur Examiner maintenant :

• Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

• Le logiciel se met à jour et l'analyse commence. Cela peut prendre un certain temps.
• Laisse travailler l'outil sans l’interrompre, jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

• Si l'outil t'a demandé de redémarrer le PC, fais-le de suite.
• Au redémarrage, relance Malwarebytes.
• Dans l'onglet Historique, clique sur la catégorie Journaux de l'application.
• Double-clique sur le journal du type Journal d'examen le plus récent.
• Une fenêtre s'ouvre : en bas à gauche, clique sur Exporter puis sur Fichier texte (*.txt) :

• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.

2- Eset Online Scanner :

• Télécharge Eset Online Scanner sur ton bureau.
• Lance le fichier.

Sous Windows Vista/Seven/8, clique droit sur le fichier puis Exécuter en tant qu'administrateur

• Coche la case OUI, j'accepte les conditions d'utilisation, puis clique sur Démarrer.

• Laisse le logiciel télécharger ses mises à jour.
• Assure-toi que la case Supprimer les menaces détectées soit bien cochée et coche la case Analyser les archives.
• Puis clique sur Paramètres avancés : coche les cases Rechercher les applications potentiellement indésirables et Rechercher les applications potentiellement dangereuses.
• Assure-toi que la case Activer la technologie Anti-Stealth (anti-furtivité) soit cochée.

Désactive ton antivirus afin de ne pas ralentir l'analyse et de ne pas afficher des messages d'alerte

• Ferme Internet.
• Clique sur Démarrer pour lancer l’analyse. Cela peut durer longtemps. Laisse l’outil travailler sans l’interrompre.
• Si aucune menace n'est détectée dis le moi simplement dans ta prochaine réponse.
• Si des menaces sont trouvées, elles seront supprimées automatiquement.
• Dans ce cas, génère le rapport en cliquant sur Liste des menaces détectées puis Exporter dans un fichier texte...
• Enregistre ce fichier sous le nom de Eset sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------------------

Sont attendus les rapports de Malwarebytes et Eset.

[DouDou9455]

Hello l'ami,

Dans un premier temps voila le rapport Mbam (vide).
Scan Eset en cours, 28% déjà 102 fichiers infectés ...

Edit : voici le Scan ESET

[guugues]

Hello !

C'est OK pour les rapports ! Tu diras à la personne concernée de changer tous ses mots de passe : banque, réseaux sociaux, sites de musique, sites de jeux etc ... Les Ransomwares de type CTB Locker ont en effet la capacité de les dérober.


On continue :


1- AdwCleaner – Nettoyage :

• Télécharge AdwCleaner sur ton bureau.
• Lance AdwCleaner.

Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu'administrateur

• Clique sur le bouton Scanner.

• Une fois le scan terminé, clique sur le bouton Nettoyer.
• Accepte le message d'informations en cliquant sur OK.
• Il te sera demandé de redémarrer l'ordinateur : accepte en cliquant sur OK.
• Une fois le PC redémarré, un rapport s'ouvrira automatiquement.
• Celui-ci est disponible ici : C:\AdwCleaner\AdwCleaner[S0].txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

2- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------------------

Sont attendus les rapports de AdwCleaner et JRT.

[DouDou9455]

Hello,

Voici le tout en piéce jointe.

Encore merci pour le temps passer

[guugues]

C'est OK pour les rapports ! Comment se comporte le PC désormais ?


Adobe Reader et Adobe Flash Player sont complètement obsolètes et c'est très certainement par le biais d'une exploitation d'une faille de sécurité de ces logiciels non à jour que le Ransomware a infecté le PC. Pour info :

Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu'ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

Il faut donc les maintenir à jour très régulièrement.

Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Adobe Reader 8.1.2 (obsolète, constitue une faille de sécurité)
• Adobe Flash Player 11 ActiveX (obsolète, constitue une faille de sécurité)

Puis :

• Lance Internet Explorer.
• Télécharge et installe la dernière version de Adobe Flash Player via cette page.

Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :





Puis télécharge la dernière version de Adobe Reader via le site officiel.


Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :





--------------------------------------------------------------


Une fois ceci fait, applique la procédure suivante :


SFTGC – Nettoyage des fichiers temporaires :

• Télécharge SFTGC sur ton bureau.
• Lance SFTGC.exe.

Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

A l'issue de cette manipulation, clique-droit sur la Corbeille et sélectionne Vider la Corbeille.

--------------------------------------------------------------

Est donc attendu le rapport de SFTGC.

[DouDou9455]

Hello,

J'ai bien mis à jour les deux softs.
Par contre pour SFTGC je ne comprends pas, je le lance, il reste toujours sur le même dossier, rien ne bouge tout reste figer. Je l'ai laissé tourner pratiquement 2 heures ... j'ai finalement du tuer la tache sinon impossible de faire quoi que ce soit.

[guugues]

Hello !

D'abord, plus de soucis particuliers ? Sinon, on peut finaliser.

Pas grave pour SFTGC, tu peux passer cet autre outil si tu veux :


1- TFC – Nettoyage des fichiers temporaires :

• Télécharge TFC sur ton bureau.
• Lance TFC.exe.

Sous Windows Vista/Seven/8, clique droit sur TFC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'ouvre : clique alors sur le bouton Start pour supprimer les fichiers temporaires inutiles :

• Si le logiciel demande de redémarrer le PC, accepte.

2- Purge de la restauration système / Suppression des outils de désinfection :

• Télécharge DelFix sur ton bureau.
• Lance Delfix.

Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu'administrateur

• Coche la case Réactiver l'UAC (grisée sous Windows XP).
• Coche la case Supprimer les outils de désinfection.
• Coche la case Purger la restauration système.
• Coche la case Réinitialisation des paramètres système.
• Enfin, clique sur Exécuter :

• Le rapport est ici : C:\Delfix.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------

Est attendu le rapport de DelFix.


=====================================================================================================


La procédure de désinfection est désormais terminée. Je te remercie de l'avoir suivie jusqu'au bout.
Je t'invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.


=====================================================================================================


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Tenir à jour Windows, les navigateurs et les programmes installés

• Prendre connaissance de ce tutoriel

Analyser régulièrement l'ordinateur

• Avec Malwarebytes Anti-Malware
• Avec ton Antivirus

Bloquer les publicités, potentiellement dangereuses

• AdBlockPlus pour Google Chrome
• AdBlockPlus pour Mozilla Firefox
• AdBlockPlus pour Internet Explorer
• AdBlockPlus pour Opera

Savoir si un site web possède une bonne ou mauvaise réputation

• Pour tous les navigateurs : Web Of Trust (WOT)

Éviter d'être de nouveau infecté

• Pourquoi et comment je me fais infecter
• Sécuriser son ordinateur et connaître les menaces
• Les toolbars, c'est pas obligatoire
• Dossier Prévention et Sécurité
• Comment éviter les Ransomware
• Module interactif : Principes essentiels de la sécurité informatique

Les pratiques à éviter

• Les dangers du Peer-to-Peer
• Le danger des cracks

Si tu as des questions, n'hésite pas !

[DouDou9455]

Je finis ça dés que je peux et c'est nikel.

Pas de question particulière, merci en tout cas pour ta patience