Dirty decrypt.exe méga virus [Résolu/Fermé]

Signaler
Messages postés
28
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
29 juin 2020
-
 DERKA1 -
Bonjour a tous, depuis hier, certaines photos ne s afiche plus quand je click sur la photo
il y a un fond noir avec écrit

File is encrypted

this file can be decrypted using the program dirty decrypt.exe blablabla

j ai lancer l anti vurus, le ccleaner, adwcleaner, malwarebyte anti malware, et du nettoyage de auslogics, bref plein de choses et ça n a rien changer a ça :(
je suis perdu aider moi svp, merci.

7 réponses

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
Salut,

yep pas une bonne nouvelle.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT


2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

http://pjjoint.malekal.com/files.php?id=20130713_l8o1115j13y15
http://pjjoint.malekal.com/files.php?id=20130713_o14q11f10e12f10
http://pjjoint.malekal.com/files.php?id=OTL_20130724_q14n13r6r11z9

http://pjjoint.malekal.com/files.php?id=OTL_Extras_20130724_y8v7f13d5k8


Après Correction et Redémarrage du pc sous Windows, voici le rapport :

========== OTL ==========
Error: No service named bsyxvrp was found to stop!
Service\Driver key bsyxvrp not found.
File System32\drivers\sost.sys not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn\ not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr\ not found.
Folder C:\Program Files\Dirty\ not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty\ not found.
File C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6 not found.
File C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg not found.
File C:\Documents and Settings\rafael\auth.exe not found.

OTL by OldTimer - Version 3.2.69.0 log created on 07242013_142605



J'ai créé le dossier compressé OTL_cosmos.zip et l'ai envoyé sur http://upload.malekal.com
Merci bien.

Faut-il attendre ou faire quelque chose d'autre?
Je n'arrive toujours pas à ouvrir mes photos, certains doc word et pdf...
http://pjjoint.malekal.com/files.php?id=OTL_20131127_z5n12c9c118
Messages postés
28
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
29 juin 2020
3
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sost.sys -- (bsyxvrp)
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Program Files\Dirty
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty
[2013/05/12 22:16:10 | 000,000,102 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6
[2013/05/12 22:16:10 | 000,000,028 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg
[2013/05/07 23:16:38 | 000,039,424 | ---- | C] () -- C:\Documents and Settings\rafael\auth.exe

* redemarre le pc sous windows et poste le rapport ici

~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Sur ce fichier _OTL.zip - clic droit / renommer et nomme le OTL_cosmos.zip
Envoie ce fichier OTL_cosmos.zip sur http://upload.malekal.com

Messages postés
28
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
29 juin 2020
3
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
faut faire correction et non scan.
Hello,
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: http://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: http://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914

Qu'est ce que je fait après ça ?
MERCI.

Cedric
Messages postés
8
Date d'inscription
mercredi 24 juillet 2013
Statut
Membre
Dernière intervention
16 avril 2015
2
Hello,
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: https://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: https://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914

Qu'est ce que je fait après ça ?
MERCI.

Cedric/Dairine
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
Si c'est pour récupérer tes documents, pour le moment, il n'y a pas de solution.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
Simplement pour confirmer qu'il n'y a pas de solution.
J'avais contacté Kaspersky (dont voici la réponse plus bas).

Apparemment le programme stocke les clefs (différentes?) pour chaque fichier de manière crypté.
Il n'y a pas de possibilité de cr*cker le cryptage.

The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked.

Messages postés
1
Date d'inscription
vendredi 9 août 2013
Statut
Membre
Dernière intervention
9 août 2013

J'ai eu le problème...

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe

If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

ATTENTION! tous vos fichiers ne sont pas "encore" cryptés !, le programme crypte méthodiquement répertoire par répertoire et fichier par fichier, il faut donc éteindre immédiatement le pc et l'amener chez un réparateur ou accéder au disque dur infecté via un autre pc.

en effet, le virus s'arrange pour pour que vous ne soyez plus reconnu comme "administrateur" et vous ne pouvez pas détruire un des répertoires ci-dessus ce qui lui permet de tout réinstaller dès le redémarrage.

Modifier les programmes de démarrage dans "msconfig" ne sert à rien.

Aujourd'hui, mes fichiers infectés/modifiés sont toujours inutilisables; je pense qu'ils sont perdus, mais j'ai éliminé le virus sans formater:

1°) j'ai installé un second disque dur vierge, sur lequel j'ai réinstallé Windows (7), de sorte, je repasse administrateur et le disque infecté est accessible.
=> redémarrage de windows sur la nouvelle installation (F8 au démarrage pour choisir sur quel disque vous voulez démarrer)
2°) j'ai effacé tous les répertoires ci-dessus + tout ce qui fait références à "dirty" suite à une recherche de ce terme sur le disque.
3°) j'ai nettoyé le disque et le registre avec CCLEANER gratuit (paramètres de base) + Glarys Utilities gratuit + Malwarebytes Anti-Malware gratuit + Microsoft Security Essential gratuit.
Malwarebytes retrouve le virus sur le disque et dans le registre et le nettoie.
4°) redémarrage sur l'ancien disque, tout normal sauf les fichiers modifiés par le virus.

Bon courage à ceux qui sont ou vont être infectés...
Bonjour
Je rencontre le même problème aujourd'hui le Virus est supprimé mais mes fichiers sont toujours cryptés et donc illisibles. Avez-vous trouvé une solution pour les décrypter?
Merci d'avance.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 050
Il n'y a pas de solution pour récupérer les fichiers.