Ransomware Coinvault

[g88005]

Bonjour,
En lançant mon PC j'ai eu un message en fond d'écran se signifiant que celui-ci était encrypté et un popup me demandant de payer environ 150 $ qui augmentent dans le temps (voir PJ). J'ai suivi vos conseils dans le forum pour m'en débarrasser avec Malewarebytes et apparemment c'est ok. Par contre tous les fichiers sont cryptés le sont toujours. Y a t'il une solution pour qu'ils reprennent leurs aspects initiaux ?
D'avance merci.

[Malekal_morte]

Salut,


Suis ce tutorial : https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[g88005]

Merci de votre réponse rapide. Voici les 2 liens de fichiers :
http://pjjoint.malekal.com/files.php?id ... 2d7y12o8e5
http://pjjoint.malekal.com/files.php?id ... y159z10e10

[Malekal_morte]

Supprime les proxys : http://forum.malekal.com/supprimer-prox ... 47404.html

~~


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

S2 rcores; C:\WINDOWS\rcore.exe [X]
2014-11-01 11:12 - 2014-11-01 11:12 - 02043824 _____ () C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe
2014-11-01 11:12 - 2014-11-01 11:12 - 01551792 _____ () C:\Users\Patrick\AppData\Roaming\XIF.exe
SearchScopes: HKCU - URL http://www.trovigo.com/Results.aspx?gd= ... rms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe



Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Si FRST ne l'a pas fait, redémarre l'ordinateur.


~~


Essaye de récupérer les documents avec les versions antérieures: http://forum.malekal.com/windows-versio ... 46739.html

[g88005]

Voici le contenu de fixlog.txt

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-11-2014 02
Ran by Patrick at 2014-11-14 18:42:46 Run:1
Running from C:\Users\Patrick\Desktop
Loaded Profile: Patrick (Available profiles: UpdatusUser & Patrick & pems4_000)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
S2 rcores; C:\WINDOWS\rcore.exe [X]
2014-11-01 11:12 - 2014-11-01 11:12 - 02043824 _____ () C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe
2014-11-01 11:12 - 2014-11-01 11:12 - 01551792 _____ () C:\Users\Patrick\AppData\Roaming\XIF.exe
SearchScopes: HKCU - URL http://www.trovigo.com/Results.aspx?gd= ... DE0DC22&q={searchTerms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
*****************

rcores => Service deleted successfully.
C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe => Moved successfully.
C:\Users\Patrick\AppData\Roaming\XIF.exe => Moved successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\URL http://www.trovigo.com/Results.aspx?gd= ... => Value not found.
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe => Moved successfully.

==== End of Fixlog ====

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  HKLM-x32\...\Run: [mbot_fr_219] => [X]
  HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\...\Winlogon: [Shell] C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\consolehost.exe [90112 2014-11-07] () <==== ATTENTION 
  ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
  ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
  ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-3511606225-2815828862-3854751459-1002 -> No Name - {896E616A-3278-4FF3-83D6-3C0E2ADF10AE} -  No File
  S2 rcores; C:\WINDOWS\rcore.exe [X]
  S1 b786bdb3c67d; system32\drivers\b786bdb3c67d.sys [X]
  C:\ProgramData\SetStretch.exe
  C:\ProgramData\SetStretch.VBS
  C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
  C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe
  C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll
  C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe
  C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe
  C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe
  C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll
  C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

----------------------

Par contre tous les fichiers sont cryptés le sont toujours. Y a t'il une solution pour qu'ils reprennent leurs aspects initiaux ?

Pas d'autre solution que la version précédente ( shadowexplorer > http://forum.malekal.com/windows-versio ... 46739.html )

[g88005]

Et voilà le log :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-11-2014 02
Ran by Patrick at 2014-11-14 19:11:17 Run:2
Running from C:\Users\Patrick\Desktop
Loaded Profile: Patrick (Available profiles: UpdatusUser & Patrick & pems4_000)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM-x32\...\Run: [mbot_fr_219] => [X]
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\...\Winlogon: [Shell] C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\consolehost.exe [90112 2014-11-07] () <==== ATTENTION
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3511606225-2815828862-3854751459-1002 -> No Name - {896E616A-3278-4FF3-83D6-3C0E2ADF10AE} - No File
S2 rcores; C:\WINDOWS\rcore.exe [X]
S1 b786bdb3c67d; system32\drivers\b786bdb3c67d.sys [X]
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe
C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe
C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe
C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe
C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll
C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mbot_fr_219 => value deleted successfully.
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
"HKCR\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
"HKCR\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
"HKCR\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}" => Key not found.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{896E616A-3278-4FF3-83D6-3C0E2ADF10AE} => value deleted successfully.
"HKCR\CLSID\{896E616A-3278-4FF3-83D6-3C0E2ADF10AE}" => Key not found.
rcores => Service not found.
b786bdb3c67d => Service deleted successfully.
C:\ProgramData\SetStretch.exe => Moved successfully.
C:\ProgramData\SetStretch.VBS => Moved successfully.
"C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe" => File/Directory not found.
C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe => Moved successfully.

==== End of Fixlog ====

[g88005]

J'ai vu la solution restauration du système pour les récupérer. Par contre il n'y a pas l'onglet "Versions précédentes" dans les propriétés, malgré le fait que le disque C: est bien positionné à "Activée". Comment cela est t'il possible ? J'ai un autre PC sous Windoxs 8.1 et c'est pareil.
Merci.

[g88005]

Bonjour,
Les manips avec FRST64 sont t'elles terminées ?
Sinon avez vous une explication à mon post précédent ?
D'avance merci.

[angelique]

Utilise shadowexplorer > http://forum.malekal.com/windows-versio ... 46739.html

Oui c'est OK pour FRST, supprime FRST.EXE, ses rapports et c:\FRST

[g88005]

OK pour FRST. Sinon j'ai pris shadowexplorer et récupéré des fichiers des dernières versions restaurés, mais la plupart sont illisibles malgré le fait que le pc était stable et sain à ces dates. Y a t'il des problèmes connus à ce niveau ?
D'avance merci.

[Malekal_morte]

Ton malware est nouveau, donc je ne peux pas dire avec certitude ce qu'il faut.
Mais il peut très bien faire en sorte de pourrir les versions précédentes pour que tu ne puisses pas récupérer les fichiers.

S'il wipe pas, faudrait tenter avec un logiciel de récupération, style Recuva : http://www.commentcamarche.net/download ... 403-recuva

[g88005]

Que veux-tu dire par "s'il ne wipe pas" ?
Sinon en regardant bien RECUVA, je ne vois que des fonctions pour retrouver des fichiers effacés, ce qui n'est pas mon cas.
Encore merci.

[Malekal_morte]

Essaye Recuva tout de même.
Ca coûte rien.

[g88005]

Bonjour,
J'essaye avec RECUVA sur l'option "Clichés instantanés" mais les premiers résultats sont identiques : non lisibles.
En parallèle j'essaie avec des programmes de décryptage de style xorint (ne se passe rien), te94decrypt (non adapté) et rannohdecryptor (ce dernier bouble en me demandant le path des encrypted et celui des originaux sans lancer de recherche.
Connaîtrais-tu un logiciel de ce type qui serait efficace ?
D'avance merci.