Ransomware Zeppelin (Buran)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Alex
Messages : 12
Inscription : 26 août 2021 16:14

Ransomware Zeppelin (Buran)

par Alex »

Bonjour,

Je sollicite votre aide, je viens de m'apercevoir que j'ai le même soucis mes fichiers sont cryptés avec demande de rançon.
J'ai analysé mon PC avec FRST voici les 3 différents rapports :

https://pjjoint.malekal.com/files.php?i ... c15j8o9o14

https://pjjoint.malekal.com/files.php?i ... q9r15y12o9

https://pjjoint.malekal.com/files.php?i ... 3j11q8i5p8

Merci d'avance pour votre aide,

Alex
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin

par Alex »

Bonjour,

Pour compléter mon message, j'ai un fichier .zeppelin ainsi qu'un fichier texte qui apparait plusieurs fois avec ce message:


!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

PAY FAST 500$=0.013 btc
or the price will increase tomorrow

bitcoin address

bc1qqxnp9z0ff8x852dyflp5r9r6rzse8jl5hzmqz8

To be sure we have the decryptor and it works you can send an email: [email protected]om and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
[email protected]
TELEGRAM @ payfast290

Your personal ID: 11C-498-263

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Toutes mes vidéos, photos,etc...sont inaccessibles et finissent comme cela (Fortnite 2021.07.02 - 13.37.24.25.DVR.mp4.payfast290)

A savoir qu'hier soir des commandes ont été faites sur mon compte Amazon, je suppose qu'ils ont accès à plusieurs de mes identifiants.

Je viens de nettoyer mon pc avec Spybot ainsi que Malwarebytes, de nombreux éléments ont été placés en quarantaine mais le problème d'accès à mes fichiers persiste.

Alex
Malekal_morte
Messages : 108915
Inscription : 10 sept. 2005 13:57

Re: Ransomware Zeppelin (Buran)

par Malekal_morte »

Bonjour,

Plein de trojan donc mots de passe volés.
Tout cela est probablement venu après le téléchargement d'un cracks pris sur un site au hasard.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2713170065-3388332135-812177229-1001\...\Run: [Mechvibes] => "C:/Users/Alexa/AppData/Local/\Mechvibes.exe"
HKU\S-1-5-21-2713170065-3388332135-812177229-1001\...\Run: [spoolsv.exe] => -start <==== ATTENTION
HKU\S-1-5-21-2713170065-3388332135-812177229-1001\...\Policies\system: [shell] explorer.exe <==== ATTENTION
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
Startup: C:\Users\Alexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\exe.lnk [2021-08-23] <==== ATTENTION
ShortcutTarget: exe.lnk -> C:\ProgramData\Microsoft Network\System.exe (Pas de fichier)
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {42718244-87BA-4A35-853D-97408A6854D3} - System32\Tasks\Firefox Default Browser Agent 5F24469D007F97BE => C:\Users\Alexa\AppData\Roaming\hscvhui.exe <==== ATTENTION
Task: {5FE23D91-9951-448E-A51E-4A511FF2415A} - \smss -> Pas de fichier <==== ATTENTION
Task: {6416ED2A-999E-4E73-B4CE-143E9A91FAB6} - \StreamDeck -> Pas de fichier <==== ATTENTION
Task: {66F476E1-0C65-46DE-B03D-1EBA499D6B03} - System32\Tasks\Updates\pxDeESyj => C:\Users\Alexa\AppData\Roaming\pxDeESyj.exe <==== ATTENTION
Task: {95CF6CA7-27F6-43C7-A0EE-4CE9F0D54A57} - \steam -> Pas de fichier <==== ATTENTION
Task: {988D8C86-12AA-4CDE-B5DE-BBC11B696438} - System32\Tasks\Memory Compression => C:\Users\Alexa\Application Data\Memory Compression.exe
Task: {AD47B360-9D92-48A2-BD22-4591675920DE} - \csgo -> Pas de fichier <==== ATTENTION
Task: {C10DC607-6A7A-4CFA-82F0-624C464480D3} - \audiodg -> Pas de fichier <==== ATTENTION
Task: {C20B7F08-3E7E-4162-92A3-04982B0BA88F} - \CrashReportClient -> Pas de fichier <==== ATTENTION
Task: {D00AC2EA-2EF3-48D8-89F1-0069B7DFB5A2} - System32\Tasks\Mechvibes => C:\Users\Alexa\AppData\Local\\Mechvibes.exe
Task: {DBBC239A-69D4-4C0A-A882-990F03E6642D} - \conhost -> Pas de fichier <==== ATTENTION
Task: {F37956BB-2C45-4D26-BC1E-48D7E00967CC} - \dllhost -> Pas de fichier <==== ATTENTION
Task: {F4DBDB45-FE0B-41E4-B0E3-CB9D2EDDF73C} - \servicehost -> Pas de fichier <==== ATTENTION
Task: {FA70A42C-BBDF-484C-96DF-EF432479E150} - \nvcontainer -> Pas de fichier <==== ATTENTION
Task: {FAC04CFA-DB1E-44D6-83E4-78CD09AB3D65} - \fontdrvhost -> Pas de fichier <==== ATTENTION
S2 AppServicea; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicea; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceb; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceb; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicec; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicec; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiced; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiced; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicee; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicee; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicef; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicef; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceg; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceg; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceh; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceh; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicei; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicei; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicej; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicej; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicek; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicek; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicel; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicel; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicem; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicem; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicen; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicen; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceo; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceo; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicep; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicep; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceq; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceq; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicer; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicer; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServices; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServices; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicet; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicet; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceu; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServiceu; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicev; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicev; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicew; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicew; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicex; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicex; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicey; C:\Windows\System32\svchost.exe [57360 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
S2 AppServicey; C:\Windows\SysWOW64\svchost.exe [47016 2021-01-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (pas de ServiceDLL)
2021-08-24 11:58 - 2021-08-26 14:47 - 000000000 ___HD C:\ProgramData\Mgigyj
2021-08-23 21:17 - 2021-08-23 21:17 - 011957376 _____ C:\Users\Alexa\Downloads\RansomwareFileDecryptor 1.0.1668 MUI.zip
2021-08-23 20:13 - 2021-08-23 20:14 - 000003822 _____ C:\RakhniDecryptor.1.27.0.0_23.08.2021_20.13.42_log.txt
2021-08-23 20:05 - 2021-08-23 20:08 - 000000000 _RSHD C:\ProgramData\Key-Base
2021-08-23 20:05 - 2021-08-23 20:05 - 000000000 ____D C:\ProgramData\{2D7AFB2D-CBF7-F7A1-CBFC-E4A6DC8F0DF9}
2021-08-23 20:03 - 2021-08-23 20:03 - 004969032 _____ (Stellar Information Technology Pvt Ltd. ) C:\Users\Alexa\Downloads\StellarDataRecoveryProfessionalWindows.exe
2021-08-23 20:02 - 2021-08-23 20:02 - 002527040 _____ (Wiper Software, UAB) C:\Users\Alexa\Downloads\WiperSoft-installer.exe
2021-08-23 20:01 - 2021-08-23 20:01 - 000002634 _____ C:\RakhniDecryptor.1.27.0.0_23.08.2021_20.01.02_log.txt
2021-08-23 20:00 - 2021-08-23 20:00 - 005594791 _____ C:\Users\Alexa\Downloads\RakhniDecryptor.zip
2021-08-23 19:50 - 2021-08-23 19:50 - 000000000 ____D C:\Users\Alexa\AppData\Roaming\WeMod
2021-08-23 14:35 - 2021-08-23 14:35 - 000000000 ____D C:\Users\Public\Speedup Sessions
2021-08-23 14:00 - 2021-08-23 14:00 - 000001046 _____ C:\Users\Public\Downloads\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:58 - 2021-08-23 13:58 - 000001046 _____ C:\Users\Alexa\OneDrive\Documents\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ C:\Users\Alexa\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ C:\Users\Alexa\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ C:\Users\Alexa\AppData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ C:\Users\Alexa\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 13:47 - 2021-08-23 13:47 - 011020736 _____ (Logitech) C:\Windows\system32\logi_audio_dts_clearvoice_2_capture_apo.dll
2021-08-23 13:47 - 2021-08-23 13:47 - 002040296 _____ (Logitech) C:\Windows\system32\logi_audio_hx2e_render_apo.dll
2021-08-23 13:47 - 2021-08-23 13:47 - 000044496 _____ (Logitech) C:\Windows\system32\Drivers\logi_audio_surround.sys
2021-08-23 13:22 - 2021-08-23 13:53 - 000001046 _____ C:\ProgramData\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-23 12:28 - 2021-08-23 13:54 - 000000000 ____D C:\ProgramData\CNS7NTR6PBK917BRIRB2QSIRI
2021-08-23 12:26 - 2021-08-25 19:06 - 000000000 ____D C:\ProgramData\Microsoft Network
2021-08-23 12:26 - 2021-08-25 16:59 - 000000000 ____D C:\Users\Alexa\AppData\Roaming\KraLOAQBfz
2021-08-23 12:26 - 2021-08-23 13:56 - 000000000 ____D C:\ProgramData\Systemd
2021-08-23 12:26 - 2021-08-23 13:55 - 000000000 ____D C:\ProgramData\Data
2021-08-23 12:26 - 2021-08-23 13:53 - 000000000 ____D C:\ProgramData\46
2021-08-23 12:26 - 2021-08-23 12:28 - 000003728 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 5F24469D007F97BE
2021-08-23 12:26 - 2021-08-23 12:26 - 004660856 _____ C:\Users\Alexa\OneDrive\Documents\gO56b_slXqMX9Vz8A1hIEmc9.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 003018648 _____ C:\Users\Alexa\OneDrive\Documents\RD8U10w30MbZtKOv1JThZUBX.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 001566438 _____ C:\ProgramData\4649.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 001564823 _____ C:\ProgramData\4649
2021-08-23 12:26 - 2021-08-23 12:26 - 001396736 ____H C:\Users\Alexa\OneDrive\Documents\53NLQ0~1.EXE.dll
2021-08-23 12:26 - 2021-08-23 12:26 - 001189967 _____ C:\Users\Alexa\OneDrive\Documents\53nlQ0qFT4QVMrM3x6fjWtVZ.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 001156688 _____ C:\Users\Alexa\OneDrive\Documents\FbQL9iBvFitEzZS8J1B_LOcu.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000923728 _____ C:\Users\Alexa\OneDrive\Documents\UFth7UtXtMZ4oEc4EiOx5xLV.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000625231 _____ C:\Users\Alexa\OneDrive\Documents\6cxSNJvIDEVlr9XMgnYtyQsa.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000392364 _____ C:\Users\Alexa\OneDrive\Documents\ZMZnkCFcSg9XEAH80pW8u9bs.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000283183 _____ C:\Users\Alexa\OneDrive\Documents\aOfq3LkvJ8nuri9ATWzYhBtW.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000282159 _____ C:\Users\Alexa\OneDrive\Documents\0qs4oNzlxvCBv75Kpz_vpi6q.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000168991 _____ C:\Users\Alexa\OneDrive\Documents\LP1Fx_WQSkReAG09jqI1Oezp.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000013335 _____ C:\Users\Alexa\OneDrive\Documents\R8pWMyVROhQmFR5A4fFPlIS3.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000001831 _____ C:\Users\Alexa\OneDrive\Documents\6zf74UPsVsiheqRl171dJhbC.exe.payfast290.11C-498-263
2021-08-23 12:26 - 2021-08-23 12:26 - 000001784 _____ C:\Users\Alexa\OneDrive\Documents\eIhUq9rSXu13iMTTq1CfrWFW.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 13:58 - 000000000 ____D C:\Users\Alexa\OneDrive\Documents\VlcpVideoV1.0.1
2021-08-23 12:25 - 2021-08-23 13:56 - 000000000 ____D C:\ProgramData\TD6ORCHN1F7435TUP50PXEYWC
2021-08-23 12:25 - 2021-08-23 13:56 - 000000000 ____D C:\ProgramData\RUVHG7X0R1Y2HMXOZI6YD6EPW
2021-08-23 12:25 - 2021-08-23 13:53 - 000000000 ____D C:\ProgramData\78
2021-08-23 12:25 - 2021-08-23 12:25 - 004660856 _____ C:\Users\Alexa\OneDrive\Documents\s18OLWZOwFnCyUDz4HYwjUYz.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 002719239 _____ C:\Users\Alexa\OneDrive\Documents\0JfvUlbAAmJTZk0XZmujWXeo.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 002084308 _____ C:\Users\Alexa\OneDrive\Documents\1Sn8p0LDLd1Jy9o5UUT28frH.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 001566438 _____ C:\ProgramData\7898.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 001564823 _____ C:\ProgramData\7898
2021-08-23 12:25 - 2021-08-23 12:25 - 001396736 ____H C:\Users\Alexa\OneDrive\Documents\4VX6UF~1.EXE.dll
2021-08-23 12:25 - 2021-08-23 12:25 - 001252067 _____ C:\Users\Alexa\OneDrive\Documents\tIjMrdtd1GfWUnuANw109AuA.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 001156687 _____ C:\Users\Alexa\OneDrive\Documents\oPFlzZ3eiQcJoxGRaQGDdj8X.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 001077328 _____ C:\Users\Alexa\OneDrive\Documents\TYRqPXK7j7jBqZVvJFkcdREM.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000625231 _____ C:\Users\Alexa\OneDrive\Documents\5fKpJS9vghe3_r82zH8caukD.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000282159 _____ C:\Users\Alexa\OneDrive\Documents\arvbkoX4ltQjMAk0LfKpcxlE.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000271920 _____ C:\Users\Alexa\OneDrive\Documents\Wbv2f1CVTEpO_APyHvIKA_Eg.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000168992 _____ C:\Users\Alexa\OneDrive\Documents\Lj2mWXoH_Cuk192Ykr4nYQYZ.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000013335 _____ C:\Users\Alexa\OneDrive\Documents\nr8hdh_yZ_KXtH5PK4p70CRE.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000001832 _____ C:\Users\Alexa\OneDrive\Documents\v5HrhfMS6MH58BmSTMAH5tIP.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000001783 _____ C:\Users\Alexa\OneDrive\Documents\onNV8jQVEkdSG6m9oep7mfhw.exe.payfast290.11C-498-263
2021-08-23 12:25 - 2021-08-23 12:25 - 000000000 ____D C:\Users\Alexa\AppData\Local\Module_Art
2021-08-23 12:25 - 2021-08-23 12:25 - 000000000 ____D C:\Program Files (x86)\GameBox INC
2021-08-23 11:55 - 2021-08-23 19:45 - 000000000 ____D C:\Program Files (x86)\MaskVPN
2021-08-23 11:55 - 2021-08-23 11:55 - 000000000 ____D C:\Users\Alexa\AppData\Local\Weather
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ () C:\Users\Alexa\AppData\Roaming\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-06-19 11:26 - 2021-06-19 11:26 - 000000963 _____ () C:\Users\Alexa\AppData\Roaming\1a5d5b8dcee3d8a3b6605a14fa9489ed752ecd5f
2021-06-10 20:43 - 2021-06-10 20:43 - 000321226 ___SH () C:\Users\Alexa\AppData\Roaming\fwceegj
2021-02-28 13:52 - 2021-03-01 20:17 - 000004701 _____ () C:\Users\Alexa\AppData\Roaming\VoiceMeeterDefault.xml
2021-08-23 13:58 - 2021-08-23 13:58 - 000000000 _____ () C:\Users\Alexa\AppData\Local\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-22 18:07 - 2021-08-22 18:07 - 000000636 _____ () C:\Users\Alexa\AppData\Local\c21e495dab9792159439ae363fcb043bd4ed6ec82021-08-23 11:54 - 2021-08-23 12:26 - 000000000 ____D C:\Users\Alexa\AppData\Roaming\Weather
2021-08-22 18:07 - 2021-08-22 18:07 - 000003320 _____ C:\Windows\system32\Tasks\Mechvibes
2021-08-22 18:07 - 2021-08-22 18:07 - 000000636 _____ C:\Users\Alexa\AppData\Local\c21e495dab9792159439ae363fcb043bd4ed6ec8
21-08-07 16:54 - 2021-08-07 16:54 - 120092703 _____ C:\Users\Alexa\Downloads\Badlion Client Setup 3.3.0.exe.payfast290.11C-498-263
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Microsoft Edge
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4) Désinstaller tout ça, cela sert à rien à part encombrer le PC :
Avira (Laisse Windows Defender, plus léger)
CCleaner (inutile)
Java (sauf si tu penses t'en servir)
Malware Hunter (inutile)
WiperSoft (inutile)
Wondershare Helper Compact
5)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin

par Alex »

Bonjour,

Merci pour votre retour, j'ai effectué un nouveau nettoyage MBAM.

J'ai désinstallé : Java/Malware Hunter/Wiper soft.

J'ai conservé Avira mon antivirus je le pensais plus efficace que Windows Defender ainsi que CCleaner que je trouvais pratique.

Voici les 3 nouveaux rapports:

https://pjjoint.malekal.com/files.php?i ... 9t10l9e5u9
https://pjjoint.malekal.com/files.php?i ... b1411g13z6
https://pjjoint.malekal.com/files.php?i ... 11m10b15g9

Bonne journée,

Alex
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

Bonjour,

Pensez vous qu'un logiciel payant serait efficace pour décrypter et éradiquer ce Ransomwares, que je puisse de nouveau avoir accès à tous mes documents.

Bonne journée,

Alex
Avatar de l’utilisateur
Parisien_entraide
Messages : 9751
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Ransomware Zeppelin (Buran)

par Parisien_entraide »

Bonjour,

Tu es certain que tes rapports ont été générés APRES le fix (correction) proposé par Malekal ? Al la ecture des derniers rapports FRST on voit que le fix n'a pas été appliqué
Du reste au sujet du fix il était demandé de poster le résultat

Tu ne dis pas si tu as viré wondershare
https://www.malekal.com/comment-supprimer-wondershare/ (outre ce qui est décrit, ce truc a un comportement pas net, comme des clés de registre et fichiers cachés, des accès au registre pour voir ce qui traine sur le disque, des programmes annexes qui ne sont pas visibles dans Ajout/Suppression de programme, de la génération de pop up etc
Derrière on a une sté Chinoise dont il faut se méfier

Quant aux programmes payants lis le dernier message :
viewtopic.php?f=98&t=57145&start=15
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Malekal_morte
Messages : 108915
Inscription : 10 sept. 2005 13:57

Re: Ransomware Zeppelin (Buran)

par Malekal_morte »

En plus de cela, Spybot - Search & Destroy a été installé qui est totalement inefficace et Malwarebytes n'est pas présent.
La procédure n'a pas dû être suivi en entier et correctement.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

Parisien_entraide a écrit : 28 août 2021 12:13 Bonjour,

Tu es certain que tes rapports ont été générés APRES le fix (correction) proposé par Malekal ? Al la ecture des derniers rapports FRST on voit que le fix n'a pas été appliqué
Du reste au sujet du fix il était demandé de poster le résultat

Tu ne dis pas si tu as viré wondershare
https://www.malekal.com/comment-supprimer-wondershare/ (outre ce qui est décrit, ce truc a un comportement pas net, comme des clés de registre et fichiers cachés, des accès au registre pour voir ce qui traine sur le disque, des programmes annexes qui ne sont pas visibles dans Ajout/Suppression de programme, de la génération de pop up etc
Derrière on a une sté Chinoise dont il faut se méfier

Quant aux programmes payants lis le dernier message :
viewtopic.php?f=98&t=57145&start=15
Bonjour,

Effectivement j'ai oublié le fichier Fixlog je l'ai placé en pièce jointe.
J'ai supprimé Wondershare c'est un logiciel de montage ainsi que spybot.
Malwarebytes est bien installé je viens de refaire un scan.

Voici les 3 nouveaux rapports que je viens de réaliser.

FRST:

https://pjjoint.malekal.com/files.php?i ... 4f9p9y11o8

Addition:

https://pjjoint.malekal.com/files.php?i ... 13l14i7t10

Shortcut:

https://pjjoint.malekal.com/files.php?i ... 12m13c14e9

Merci pour votre aide,

Alex
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

En complément d'information mon PC possède deux systèmes d'exploitation, sur deux SSD différents un avec Windows 10 et l'autre avec windows 7.
A savoir que windows 7 est lui aussi infecté.

Je viens de réaliser la même procédure.

FRST :

https://pjjoint.malekal.com/files.php?i ... 1k13k15e14

Addition :

https://pjjoint.malekal.com/files.php?i ... g11t9s6c15

Shortcut :

https://pjjoint.malekal.com/files.php?i ... 6u10f13b13
Avatar de l’utilisateur
Parisien_entraide
Messages : 9751
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Ransomware Zeppelin (Buran)

par Parisien_entraide »

Bonsoir,

Malekal ou Angélique y jettront un oeil mais c'est un "Windows 7 Entreprise ?

et c'était un ransomware puisque je lis "C:\Users\Alex\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT"

Je note une imprimante, donc une utilisation du spooler d'impression, ce qui fait vu la faille existante qui est largement exploitée et recherchée, que tu te feras infecter à nouveau

Cela permet au pirate d'installer des programmes malveillants, obtenir des droits d’administrateur, modifier des données, de créer de nouveaux comptes en utilisant les droits d’administrateur.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

Bonjour,

Oui le Windows 7 est une version entreprise.
Mais je pense, avoir attrapé le virus en utilisant Windows 10, car c'est le SSD qui est le plus souvent utilisé vu que mon fils a tout ses jeux dessus.
Du coup il est rare que je puisse utiliser mon ordi 😁
Il est vrai que je n'ai pas pensé que le virus pouvait passer par notre imprimante et du coup me contaminer l'autre SSD avec Win7.
J'ai du également changer mont mot de passe de mon compte Microsoft pour des mouvements suspects hier soir.
Dans tous les cas, merci pour les infos et votre aide.👍

Alex
Avatar de l’utilisateur
Parisien_entraide
Messages : 9751
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Ransomware Zeppelin (Buran)

par Parisien_entraide »

Je n'ai pas dis que l'infection avait eu lieu du fait de l'imprimante sous Win10 , mais le fait de l'utiliser sous Win7 accroit les risques

Pour l'imprimante sous Win7 il n'y a pas grand chose à faire (sans compter les autres failles)

Sous Win10 il faut appliquer les patches et voir le dernier message de ce lien
viewtopic.php?f=2&t=65629&start=60

Ah tiens sous le PC sous Win10 j'ai noté un Glary Utility... Ce truc est connu pour être une source de problèmes (dont des BSOD en jeu)

L origine de l'infection est surement arrivée via un crack/Jeu/appli
Je ne sais si tous les jeux de ton fils sont légaux, mais il y a de fortes chances qu'il se fasse voler les comptes Origin, Steam, Epic.. et jeux qui sont dessus

Mais de toutes les façons vu que c'est un tricheur (et je n'ai vraiment aucune empathie pour les tricheurs en jeux multi) , il se serait fait banni un jour ou l'autre et aurait perdu les comptes

>Exemple : Usage de "Krunker.io Hacks & Cheats"
Du reste il est fort possible que l'infection soit arrivée avec ce prog de triche pour le jeu krunker https://krunker.io/ qui s'alimente à coup de scripts .js, etc dont certains ne sont pas nets
2021-08-29_165356.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

J'utilise windows 7 depuis un certain nombre d'années je n'ai que rarement eu des virus.

Les jeux pas de soucis ils sont tous officiel, après comme tu le dis il se peut que ça soit par rapport à un script qui a du être téléchargé.

Bonne soirée
Alex
Messages : 12
Inscription : 26 août 2021 16:14

Re: Ransomware Zeppelin (Buran)

par Alex »

Bonjour,

D'après ce que j'ai pu lire sur le Forum, je garde peu d'espoir de pouvoir décrypter mes fichiers.

Je ne souhaitais pas en arriver la mais je pense, devoir formater en profondeur mes deux SSD ainsi que mon disque dur 3.5" qui me sert de stockage.

Heureusement que j'ai sauvegardé la plupart de mes documents sur mon disque externe.

Je laisserai du coup Windows defender ainsi que MBAM en version payante si ça vaut le coup pour protéger mon PC.

Bonne journée,

Alex,
Avatar de l’utilisateur
Parisien_entraide
Messages : 9751
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Ransomware Zeppelin (Buran)

par Parisien_entraide »

Bonjour,

Comme indiqué dans ce que tu as pu lire sur le forum et site, si il reste, hors sauvegarde, des données, tu ne peux que les stocker en attendant la sortie.. OU PAS, d'un décrypteur de fichiers

Pour le reste https://www.malekal.com/securiser-pc-windows-10/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »