Infections multiples (CTB Locker, cacaoweb...)

[MRik59]

Bonjour à tous

Un couple d'amis très peu prévoyant n'utilisait aucune protection sur leur ordinateur portable.
Ni antivirus, ni antimalware, ni rien du tout.

Du coup, patatra, ils ont chopé CTB Locker et tous leurs documents sont cryptés.
Ils m'ont passé leur ordi afin que je nettoie tout ça mais j'ai besoin d'un peu d'aide pour être sûr qu'il n'y a plus rien.

Les détails sur leur ordi :

Ordi portable HP
Intel pentium CPU B950@ 2.10 GHz
4.00 Go de RAM
Système 64bits


Ce que j'ai déjà fait :

J'ai installé et lancé Avast
J'ai installé et lancé Malwarebytes Anti malwares
J'ai installé et lancé Spybot
J'ai installé et utiliser ccleaner pour retirer quelques petits trucs


Mais je ne suis pas sûr que cela soit suffisant :
- En effet, il y a toujours le fond d'écran de ctb locker et je ne sais pas si il a bien disparu
- Les fichiers sont toujours cryptés
- J'ai remarqué qu'il y avait aussi cacaoweb sur cet ordi et qu'il valait mieux le retirer, mais je n'ai rien fait contre ça.
- J'ai un peu peur qu'il reste des bricoles inutiles ou malfaisantes ici ou là

Du coup, je sollicite un peu d'aide de votre part afin de nettoyer complètement cet ordi.

D'avance un grand merci

[bernard53]

Bonjour
Ceci pour voir un peu plus s.t.p.

Dans un premier temps :
Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.
Donc si tu as posté sur un autre forum, choisi ce tu veux mais pas sur plusieurs à la fois s.t.p.
Ne télécharges rien d’autres que ce que je te signale si tu restes ici.

Puis:
Télécharges ZHPDIAG (de Nicolas Coolman) sur ton bureau...
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.

L'installation va créer 2 raccourcis (ZHPDiag et ZHPFix ) sur ton bureau

Double-clique ensuite sur l’icône ZHPDiag puis :




Valide COMPLET

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPDiag.txt

Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/
Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel

Et sache que leurs documents sont HS et irrécupérables hélas.

[MRik59]

Bonjour Bernard53

Merci de prendre le temps de m'aider dans cette démarche.
N'ayant publié que sur PC-InfoPratique, je suivrai méticuleusement tes informations.

Voici donc le rapport ZHPDiag

http://cjoint.com/?0BpkBh3Jyyy

[bernard53]

ok fait ceci s.t.p.
Télécharge ZHPcleaner ici : http://www.nicolascoolman.fr/download/zhpcleaner/
Cet outil -ne nécessite aucune installation.
Ferme bien toutes tes applications et navigateurs.
Valide Réparer à cette fenêtre.

Puis mets le rapport obtenu en validant Rapport à cette autre.


Mets celui-ci sur ton post. Selon ceci.

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.
Ensuite:
* Copie tout le texte présent que tu télécharges dans le lien ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

Rapport ZHP.txt

Puis Lance ZHPFix depuis le raccourci du bureau.
Valides l’icône IMPORTER



puis valide GO dans cette fenêtre.


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPFixReport.txt


Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

Dans mon script je supprime Spybot car tu as installé MalwaresBytes plus performant et suffisant.

[MRik59]

Suite à ZHPCleaner puis ZHPFix, voici mes deux rapports.

Je ne savais pas que spybot et malwarebytes avaient un rôle en doublon.
J'avais l'impression que des fois l'un trouvait des problèmes que l'autre ne trouvait pas.

Du coup, je peux retirer spybot de mon ordi perso aussi?

[bernard53]

Du coup, je peux retirer spybot de mon ordi perso aussi?

Si tu as déjà Malwaresbytes oui.
Comment va le pc cette fois?

[MRik59]

A priori, le PC a l'air d'aller mieux.
J'ai toujours un fond d'écran me prévenant que le pc est infecté par ctb locker.
Est-ce juste un fond d'écran que je peux supprimer manuellement?

Autre question: est-ce que je peux leur désinstaller Norton Internet Security (pour lequel ils n'ont pas pris de licence), vu qu'il y avast ?

[bernard53]

Pour Norton ceci pour une désinstallation propre.
https://support.norton.com/sp/fr/fr/hom ... file_fr_fr

J'ai toujours un fond d'écran me prévenant que le pc est infecté par ctb locker.
[b]Est-ce juste un fond d'écran que je peux supprimer manuellement?[/b]
la je ne sais pas, regarde si tu peux changer ton fond d'écran.

[MRik59]

Ok ça a l'air tout bon...

Impossible de récupérer les documents, mais bon, c'était un peu couru d'avance.

Merci encore pour votre aide

[bernard53]

Très bien donc.
* Télécharge << DelFix >>(d'Xplode) sur ton bureau.
* Lance le, puis coche les cases suivantes :





Supprimer les outils de désinfection
Purger la restauration système



* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.

Puis: Si tu veux avoir toujours une vue des logiciels à mettre à jour pour éviter toutes éventualités de failles qui pourrais profiter à des personnes mal intentionnées.

Télécharge << SECUNIA >> http://secunia.com/vulnerability_scanning/personal/
Laisse l’installation se faire par défaut.
Dés le premier scan un premier descriptif va te signaler ou en est ton pc.





Il te suffit de valider pour mettre à jour. Bien sûr tu peux à ta convenance choisir ou pas d’exclure tel ou tel logiciel du scan de mise à jour.

Bon après midi