[Résolu] Infecté par CBT-Locker

[ALSCO]

Bonjour à tous,

 

Je crie Help en urgence.

 

Voici d'abord la config :

 

Windows Server 2003 avec 7 utilisateurs en mode terminal serveur.

Antivirus AVG version payante

Office 2003

Autres programmes (Bob (compta), logiciels propres à la société).

 

Sur ordre du patron, l'antivirus est désactivé depuis 10 jours car il ralenti trop les sessions.

Malgré un Scan complet tous les soirs, il est arrivé ce qui devait arriver.

 

Après un redémarrage du serveur hier, tous les types de documents accessibles à partir d'une des sessions se sont retrouvé avec l'extension supplémentaire "umyjqll" (ex : mondoc.xls est devenu mondoc.xls.umyjqll).

 

En supprimant l'extension "umyjqll", le document est illisible (peut-être crypté ?).

 

D'autres utilisateurs ont essayé d'ouvrir un de ces documents et se sont retrouvés dans leur session avec leurs documents corrompus aussi.

 

J'ai tenté cette nuit de faire un scan MalwareByte + un scan complet AVG.

 

J'ai aussi tenté d'exécuter XoristDécryptor de Kaspersky pour tenter de remette en état les documents, mais il n'a pas pu remettre les documents dans leur état normal.

 

Pourriez vous m'apporter une aide urgente en sachant que ZHPDiag ne fonctionne pas sur Windows serveur 2003.

 

Merci beaucoup.

 

 

 

 

 

Modifié le 5 février 2015 par ALSCO

[pear]

Bonjour,

 

Essayez l'Utilisation de : Shadow Explorer

vous pouvez soit utiliser l'installation complète ou télécharger la version portable
Lorsque vous démarrez le programme, vous verrez un écran listant tous les disques et les dates que le cliché a été créé.

Sélectionnez le lecteur (flèche bleue) et la date (flèche rouge) que vous souhaitez restaurer.
Ceci est illustré dans l'image ci-dessous.


Pour restaurer un dossier entier, cliquez-droit sur ??un nom de dossier et sélectionnez Exporter .
Vous serez alors invité à indiquer l'endroit où vous souhaitez restaurer le contenu du dossier

[ALSCO]

Merci pour votre réponse,

 

J'ai installé la dernière version de Shadow Explorer (0.9) sur le serveur 2003, mais à l'éxécution, il n'indique aucun disque et donc aucune date.

 

De toute façon, je ne pense pas que ce soit la solution au problème.

 

La première étape serait d'éradiquer le virus avec certitude et dans une seconde étape, décrypter les documents pour les remettre à leur état original.

[pear]

Vous n'avez pas tout à fait tort mais si le premier problème est d'identifier le virus , l'éradiquer, c'est une autre affaire!

Certains ransomwares sont intouchables.

 

Télécharger
Farbar Recovery Scanner(FRST)
Choisissez la version 32 ou 64 bits en fonction de votre système

Installez FRST sur le Bureau et pas ailleurs
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST.exe et sur Oui pour accepter le Disclaimer]
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal,
Cochez tous les options et cliquez sur le bouton Scan

A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé

Il y aura 2 rappots à poster.

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[ALSCO]

Toujours merci pour votre réponse.

 

Voici les 2 rapports générés par FRST.

 

Addition.txt : http://cjoint.com/?0AuoHAHLyaL

 

FRST.txt :http://cjoint.com/?0AuoKwj031s

[ALSCO]

Je viens de recevoir un message en néerlandais provenant de CBT Locker demandant de payer.

[pear]

Ne payez surtout pas.Ce serait une dépense inutile.

ATTENTION: System Restore is disabled.Check "winmgmt" service or repair WMI.

Restauration à une date antérieure n'est donc pas possible !

 

Nettoyage
Dans le Bloc-notes (Démarrer -> Tous les programmes -> Accessoires -> Bloc-notes)
Copier/coller le textei ci-dessous :

start
CloseProcesses:
HKLM\...\Run: [jotgnfc] => C:\Documents and Settings\Comptoir-XL1\Local Settings\Temp\2\qlstslg.exe [700928 2015-01-19] () <===== ATTENTION
Winsock: Catalog5 03 C:\WINDOWS\system32\mswsock.dll [258560] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [midlumeaganw] => C:\Documents and Settings\Comptoir-XL1\midlumeaganw.exe
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [mofcyzrulroq] => C:\Documents and Settings\Comptoir-XL1\mofcyzrulroq.exe
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [Efma] => "C:\Documents and Settings\Comptoir-XL1\Application Data\Alzyzo\efma.exe"
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [towywehygsoh] => C:\Documents and Settings\Comptoir-XL1\towywehygsoh.exe
2015-01-19 21:00 - 2015-01-19 21:00 - 00052440 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\pdkojahi.sys
2015-01-19 16:29 - 2015-01-20 11:55 - 02304490 _____ () C:\Documents and Settings\All Users\Application Data\tztcabc.html
C:\Documents and Settings\Comptoir-XL1\Local Settings\Temp\2\qlstslg.exe
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
end


Enregistrer le fichier sur le Bureau (au même endroit que FRST) sous fixlist.txt
Fermer toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, cliquer une seule fois sur Fix et patienter le temps de la correction

L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.

[ALSCO]

J'ai effectué la procédure, et bien sur je ne paye pas.

 

Par contre, le bureau avait changé indiquant en fond d'écran un lien pour décrypter les fichiers.

 

Hélas, je n'ai pas noté le lien et après avoir appliqué la procédure, le bureau est redevenu normal après reboot automatique.

 

voici le fixlog.txt :

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 19-01-2015
Ran by Administrateur2 at 2015-01-20 16:15:24 Run:1
Running from C:\Documents and Settings\Administrateur2\Bureau
Loaded Profiles: Administrateur2 & Administrateur (Available profiles: Alain & Hammad & Laura & Amende & Comptoir-UC & Comptoir-XL1 & Comptoir-XL2 & Popsy & Comptoir-Li & Philippe & majda & Popsy2 & Admin & Rajae & InviteCompta & Manu & Fouad2 & Margot & InviteCompta2 & Yvon & Rodrigue & Selda & BOB & Fabrice & FouadK & Administrateur2 & Administrateur)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
start
CloseProcesses:
HKLM\...\Run: [jotgnfc] => C:\Documents and Settings\Comptoir-XL1\Local Settings\Temp\2\qlstslg.exe [700928 2015-01-19] () <===== ATTENTION
Winsock: Catalog5 03 C:\WINDOWS\system32\mswsock.dll [258560] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [midlumeaganw] => C:\Documents and Settings\Comptoir-XL1\midlumeaganw.exe
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [mofcyzrulroq] => C:\Documents and Settings\Comptoir-XL1\mofcyzrulroq.exe
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [Efma] => "C:\Documents and Settings\Comptoir-XL1\Application Data\Alzyzo\efma.exe"
HKU\S-1-5-21-923028988-818112267-1660738998-1127\...\Run: [towywehygsoh] => C:\Documents and Settings\Comptoir-XL1\towywehygsoh.exe
2015-01-19 21:00 - 2015-01-19 21:00 - 00052440 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\pdkojahi.sys
2015-01-19 16:29 - 2015-01-20 11:55 - 02304490 _____ () C:\Documents and Settings\All Users\Application Data\tztcabc.html
C:\Documents and Settings\Comptoir-XL1\Local Settings\Temp\2\qlstslg.exe
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
end
*****************

Processes closed successfully.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\jotgnfc => value deleted successfully.
Winsock: Catalog5 entry 000000000003\\LibraryPath was set successfully to %SystemRoot%\system32\NLAapi.dll
HKU\S-1-5-21-923028988-818112267-1660738998-1127\Software\Microsoft\Windows\CurrentVersion\Run\\midlumeaganw => Value not found.
HKU\S-1-5-21-923028988-818112267-1660738998-1127\Software\Microsoft\Windows\CurrentVersion\Run\\mofcyzrulroq => Value not found.
HKU\S-1-5-21-923028988-818112267-1660738998-1127\Software\Microsoft\Windows\CurrentVersion\Run\\Efma => Value not found.
HKU\S-1-5-21-923028988-818112267-1660738998-1127\Software\Microsoft\Windows\CurrentVersion\Run\\towywehygsoh => Value not found.
C:\WINDOWS\system32\Drivers\pdkojahi.sys => Moved successfully.
C:\Documents and Settings\All Users\Application Data\tztcabc.html => Moved successfully.
"C:\Documents and Settings\Comptoir-XL1\Local Settings\Temp\2\qlstslg.exe" => File/Directory not found.
"C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!." => File/Directory not found.


The system needed a reboot.

==== End of Fixlog 16:15:25 ====

Modifié le 20 janvier 2015 par ALSCO

[pear]

 

Par contre, le bureau avait changé indiquant en fond d'écran un lien pour décrypter les fichiers.

 

Hélas, je n'ai pas noté le lien et après avoir appliqué la procédure, le bureau est redevenu normal après reboot automatique.

Dommage d'avoir loupé ce lien !

Qu'entendez-vous par bureau normal ?

Les fichiers seraient-ils décryptés ?

 

Sinon, vous devriez retenter Shadow Explorer

Modifié le 20 janvier 2015 par pear

[ALSCO]

Non, en fait après la fenêtre de message de CBT-Locker, le fond du bureau était changé, avec sur le bureau et non plus dans une fenêtre le message m'indiquant un lien pour rétablir les documents.

 

Mais c'est surement du bidon et sans doute contre payement.

 

Sinon, que donne le fixlist ?

 

Suis je débarassé du Virus et y a t'il un moyen de décripter les documents ?

 

Encore mille fois merci.