Ransomware Coinvault

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

g88005
Messages : 40
Inscription : 05 août 2008 21:24

Ransomware Coinvault

par g88005 »

Bonjour,
En lançant mon PC j'ai eu un message en fond d'écran se signifiant que celui-ci était encrypté et un popup me demandant de payer environ 150 $ qui augmentent dans le temps (voir PJ). J'ai suivi vos conseils dans le forum pour m'en débarrasser avec Malewarebytes et apparemment c'est ok. Par contre tous les fichiers sont cryptés le sont toujours. Y a t'il une solution pour qu'ils reprennent leurs aspects initiaux ?
D'avance merci.

Image
Malekal_morte
Messages : 107600
Inscription : 10 sept. 2005 13:57

Re: Rogue Coinvault

par Malekal_morte »

Salut,


Suis ce tutorial : https://www.malekal.com/tutorial-farbar- ... tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Malekal_morte
Messages : 107600
Inscription : 10 sept. 2005 13:57

Re: Ransomware Coinvault

par Malekal_morte »

Supprime les proxys : supprimer-proxy-sur-les-navigateurs-web-t47404.html

~~


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

S2 rcores; C:\WINDOWS\rcore.exe [X]
2014-11-01 11:12 - 2014-11-01 11:12 - 02043824 _____ () C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe
2014-11-01 11:12 - 2014-11-01 11:12 - 01551792 _____ () C:\Users\Patrick\AppData\Roaming\XIF.exe
SearchScopes: HKCU - URL http://www.trovigo.com/Results.aspx?gd= ... rms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe



Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Si FRST ne l'a pas fait, redémarre l'ordinateur.


~~


Essaye de récupérer les documents avec les versions antérieures: windows-versions-precedentes-fichiers-t46739.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Voici le contenu de fixlog.txt

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-11-2014 02
Ran by Patrick at 2014-11-14 18:42:46 Run:1
Running from C:\Users\Patrick\Desktop
Loaded Profile: Patrick (Available profiles: UpdatusUser & Patrick & pems4_000)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
S2 rcores; C:\WINDOWS\rcore.exe [X]
2014-11-01 11:12 - 2014-11-01 11:12 - 02043824 _____ () C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe
2014-11-01 11:12 - 2014-11-01 11:12 - 01551792 _____ () C:\Users\Patrick\AppData\Roaming\XIF.exe
SearchScopes: HKCU - URL http://www.trovigo.com/Results.aspx?gd= ... DE0DC22&q={searchTerms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
*****************

rcores => Service deleted successfully.
C:\Users\Patrick\AppData\Roaming\ILUPSTSQ.exe => Moved successfully.
C:\Users\Patrick\AppData\Roaming\XIF.exe => Moved successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\URL http://www.trovigo.com/Results.aspx?gd= ... => Value not found.
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe => Moved successfully.

==== End of Fixlog ====
Avatar de l’utilisateur
angelique
Messages : 30943
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Ransomware Coinvault

par angelique »

  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
    Copie/colle dedans ce qui suit :

    Code : Tout sélectionner

    HKLM-x32\...\Run: [mbot_fr_219] => [X]
    HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\...\Winlogon: [Shell] C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\consolehost.exe [90112 2014-11-07] () <==== ATTENTION 
    ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
    ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
    ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    Toolbar: HKU\S-1-5-21-3511606225-2815828862-3854751459-1002 -> No Name - {896E616A-3278-4FF3-83D6-3C0E2ADF10AE} -  No File
    S2 rcores; C:\WINDOWS\rcore.exe [X]
    S1 b786bdb3c67d; system32\drivers\b786bdb3c67d.sys [X]
    C:\ProgramData\SetStretch.exe
    C:\ProgramData\SetStretch.VBS
    C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
    C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe
    C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll
    C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe
    C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe
    C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe
    C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll
    C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe
    
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

----------------------
Par contre tous les fichiers sont cryptés le sont toujours. Y a t'il une solution pour qu'ils reprennent leurs aspects initiaux ?

Pas d'autre solution que la version précédente ( shadowexplorer > windows-versions-precedentes-fichiers-t46739.html )
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Et voilà le log :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-11-2014 02
Ran by Patrick at 2014-11-14 19:11:17 Run:2
Running from C:\Users\Patrick\Desktop
Loaded Profile: Patrick (Available profiles: UpdatusUser & Patrick & pems4_000)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM-x32\...\Run: [mbot_fr_219] => [X]
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\...\Winlogon: [Shell] C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\consolehost.exe [90112 2014-11-07] () <==== ATTENTION
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3511606225-2815828862-3854751459-1002 -> No Name - {896E616A-3278-4FF3-83D6-3C0E2ADF10AE} - No File
S2 rcores; C:\WINDOWS\rcore.exe [X]
S1 b786bdb3c67d; system32\drivers\b786bdb3c67d.sys [X]
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe
C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe
C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll
C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe
C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe
C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe
C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll
C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\mbot_fr_219 => value deleted successfully.
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
"HKCR\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
"HKCR\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
"HKCR\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}" => Key not found.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\S-1-5-21-3511606225-2815828862-3854751459-1002\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{896E616A-3278-4FF3-83D6-3C0E2ADF10AE} => value deleted successfully.
"HKCR\CLSID\{896E616A-3278-4FF3-83D6-3C0E2ADF10AE}" => Key not found.
rcores => Service not found.
b786bdb3c67d => Service deleted successfully.
C:\ProgramData\SetStretch.exe => Moved successfully.
C:\ProgramData\SetStretch.VBS => Moved successfully.
"C:\Users\Patrick\AppData\Local\Temp\184244.exe.exe" => File/Directory not found.
C:\Users\Patrick\AppData\Local\Temp\BackupSetup.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\dllnt_dump.dll => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\gusetup1.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\gusetup4.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\Quarantine.exe => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\sqlite3.dll => Moved successfully.
C:\Users\Patrick\AppData\Local\Temp\updater_service_install.exe => Moved successfully.

==== End of Fixlog ====
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

J'ai vu la solution restauration du système pour les récupérer. Par contre il n'y a pas l'onglet "Versions précédentes" dans les propriétés, malgré le fait que le disque C: est bien positionné à "Activée". Comment cela est t'il possible ? J'ai un autre PC sous Windoxs 8.1 et c'est pareil.
Merci.
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Bonjour,
Les manips avec FRST64 sont t'elles terminées ?
Sinon avez vous une explication à mon post précédent ?
D'avance merci.
Avatar de l’utilisateur
angelique
Messages : 30943
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Ransomware Coinvault

par angelique »

Utilise shadowexplorer > windows-versions-precedentes-fichiers-t46739.html

Oui c'est OK pour FRST, supprime FRST.EXE, ses rapports et c:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

OK pour FRST. Sinon j'ai pris shadowexplorer et récupéré des fichiers des dernières versions restaurés, mais la plupart sont illisibles malgré le fait que le pc était stable et sain à ces dates. Y a t'il des problèmes connus à ce niveau ?
D'avance merci.
Malekal_morte
Messages : 107600
Inscription : 10 sept. 2005 13:57

Re: Ransomware Coinvault

par Malekal_morte »

Ton malware est nouveau, donc je ne peux pas dire avec certitude ce qu'il faut.
Mais il peut très bien faire en sorte de pourrir les versions précédentes pour que tu ne puisses pas récupérer les fichiers.

S'il wipe pas, faudrait tenter avec un logiciel de récupération, style Recuva : http://www.commentcamarche.net/download ... 403-recuva
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Que veux-tu dire par "s'il ne wipe pas" ?
Sinon en regardant bien RECUVA, je ne vois que des fonctions pour retrouver des fichiers effacés, ce qui n'est pas mon cas.
Encore merci.
Malekal_morte
Messages : 107600
Inscription : 10 sept. 2005 13:57

Re: Ransomware Coinvault

par Malekal_morte »

Essaye Recuva tout de même.
Ca coûte rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
g88005
Messages : 40
Inscription : 05 août 2008 21:24

Re: Ransomware Coinvault

par g88005 »

Bonjour,
J'essaye avec RECUVA sur l'option "Clichés instantanés" mais les premiers résultats sont identiques : non lisibles.
En parallèle j'essaie avec des programmes de décryptage de style xorint (ne se passe rien), te94decrypt (non adapté) et rannohdecryptor (ce dernier bouble en me demandant le path des encrypted et celui des originaux sans lancer de recherche.
Connaîtrais-tu un logiciel de ce type qui serait efficace ?
D'avance merci.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »