Windows 10 Creator - Quel est ce virus ?

[sicca]

Bonjour à tous,

Je suis sous Windows 10 creator officiel parfaitement à jour, Eset Smart security 10 à jour lui aussi ainsi que malwerbyte pro... J'avais suivi les reco de korben pour se protéger de wanacry à savoir installer ramsonfree de cyber reason et blocker les ports 445, 139 et 3389... Mais depuis le 25 mai j'ai des dossiers en mode caché remplis de fichiers qui se place un peu partout, dans document and setting, sur la base du C et me crée même de nouveaux utilisateurs.... http://hpics.li/d8fe08c une idée de ce que c'est ??? Cela à contazminé tous mes PC en réseau sauf le portable en wifi... Ma première réaction est d'avoir tout coupé, débranché mes disques data, débranché le réseau et d'avoir installé linux mint sur un disque vierge... ainsi qu'un backup avec true image de mon system... Mes données n'ont à priori pas été touché... Que faire d'autres ? Est-ce qu'il peu se loger dans un bios EFI ? Merci

[RinDman]

Bonjour,

se loger dans l'UEFI, peu probable

Que faire ... à part avoir Windows 10 à jour ou les anciens OS avec les correctifs intégrés à l'installation. XP est le moins touché. Pour récupérer les données cryptés sans la clé, GL Les utilitaires pour le nettoyer ne devront pas tarder. Enfin s'ils arrivent un jour.

 

 

[sicca]

mais mon windows était complètement à jour, je ne comprends pas... je n'ai pas encore trouvé de fichier corrompu ou crypté, peu être que j'ai été protégé malgré tout... donc un formatage, réinstallation de windows et c'est bon ? mais comment se protéger de cette sal....

[Aloyse57]

En évitant les keygens, patchers, activators, videoplayers, cracks, zips, macros docx, macros xlsx et en affichant toujours les extensions de fichiers (pour écarter les "VotreColis.pdf.exe")

[RinDman]

Et aussi la découverte du réseau, y a une faille pour permet aux virus de se propager à travers un domaine Windows. Windows 7 étant le plus touché, vaut mieux éviter cet "ancien" OS :/

[RFN]

Un petit GSI pour savoir ce qui se passe ?

 

[sicca]

Hum ok pour le GSI (j'ai eu mon PC de sauvegarde lui aussi infecté via le réseau et j'ai isolé le HDD) une fois que je l'aurais monté dans un PC à part déconnecté du réseau et des datas... Par contre merci de me donner des conseils pour éviter les bêtises du genre désinstaller One drive car par défaut avec une nouvelle install de windows 10 il s'active et se synchronise...avec un de ses maudits dossier comme dans ma capture... Par contre le virus ne semble pas s'être activé ? Pour les keygen je pense que je vais vite passer à affinity designer mais dommage qu'il ne soit pas encore sous linux !

 

[sicca]

voilà mon rapport GSI http://www.getsysteminfo.com/read.php?file=fecc11802ffda0027ef8838e93654afb merci pour l'aide

[RFN]

Je ne vois rien d'anormal. Bizarre ton affaire.

[sicca]

oui je n'ai rien trouvé non plus de vraiment suspect... je vais essayer de refaire un GSI avec le premier PC infecté car ma sauvegarde du 22 mai était déjà infecté...

[sicca]

Bon voici un nouveau GIS fait sur l'ordi qui à été infecté en premier :

http://www.getsysteminfo.com/read.php?file=1f853c905681afeaba49bf71390cbce5

je vais scanner le HDD sur une machine isolé avec plusieurs antivirus... Merci de votre aide

[sicca]

Hello, bon nod32 n'as rien trouvé, Malwarbyte non plus et Kaspersky aucunes alertes, juste quelques fichiers suspects :

http://hpics.li/4db09f4

Vous en pensez quoi ? J'ai redémarré le PC avec ce SSD et cette fois il ne m'as pas écris de dossier suspect... Je n'y comprends plus rien...

[RFN]

Tu as deux AV (AVG et ESET) ?

Il y a aussi cela qui m'intrigue : C:\Users\laure\AppData\Local\Discord\app-0.0.297\Discord.exe (lancé au démarrage)

[sicca]

Il y a 6 heures, RFN a écrit :

Tu as deux AV (AVG et ESET) ?

Il y a aussi cela qui m'intrigue : C:\Users\laure\AppData\Local\Discord\app-0.0.297\Discord.exe (lancé au démarrage)

Non, AVG c'est Tuneup utility, pas l'antivirus ^^ et Discord c'est un concurrent de Team speak pour communiquer en live dans les jeux en réseaux...

[RFN]

Alors je ne vois rien d'anormal.

Je comprendrais qu'il y ait eu un dysfonctionnement surtout que tu as des mécanismes de synchro, mais je ne comprends pas que ce dysfonctionnement ait pu contaminé tes autres PC...

[sicca]

oui ce dossier bizarre à été synchronisé sur one drive, au final j'ai tout effacé sur onedrive et je ne vais plus l'utilisé à l'avenir ni aucuns autre cloud... Trop dangereux. Par contre ce qui est vraiment bizarre oui c'est que mes autre PC ai été contaminé en réseaux... Et que l'antivirus ne m'ai donné aucunes alertes... Certes aucuns fichier n'as été corrompu ou modifié mais alors à quoi servent ses dossier qui se retrouve en haut de la liste et en bas à la racine du C mais aussi dans utilisateurs et mes documents... Si eset avait effacé ce virus il me l'aurait dit non ? C'est frustrant de ne pas savoir ce que c'est car comment s'en protéger ? Je vais aussi virer les plugins qui ne me servent pas dans chrome, car la synchro sur tout mes PC peu aussi venir de là... Le remettre à zero ? compliqué car j'ai pas mal de personnalisations... 

[sicca]

petit up, finalement mon pc portable est touché aussi j'ai pourtant scanné le HDD avant de le redémarrer mais écran noir juste avec la flèche... je redémarre et écran bleu avec erreur NTFS... Ma partition est flingué... Coïncidence, je ne crois pas...