7 réponses
Malekal_morte-
- Messages postés
- 180268
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Salut,
yep pas une bonne nouvelle.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
yep pas une bonne nouvelle.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
cosmos.anunnaki
- Messages postés
- 28
- Date d'inscription
- jeudi 2 mai 2013
- Statut
- Membre
- Dernière intervention
- 29 juin 2020
Malekal_morte-
- Messages postés
- 180268
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sost.sys -- (bsyxvrp)
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Program Files\Dirty
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty
[2013/05/12 22:16:10 | 000,000,102 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6
[2013/05/12 22:16:10 | 000,000,028 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg
[2013/05/07 23:16:38 | 000,039,424 | ---- | C] () -- C:\Documents and Settings\rafael\auth.exe
* redemarre le pc sous windows et poste le rapport ici
~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Sur ce fichier _OTL.zip - clic droit / renommer et nomme le OTL_cosmos.zip
Envoie ce fichier OTL_cosmos.zip sur http://upload.malekal.com
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sost.sys -- (bsyxvrp)
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Program Files\Dirty
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty
[2013/05/12 22:16:10 | 000,000,102 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6
[2013/05/12 22:16:10 | 000,000,028 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg
[2013/05/07 23:16:38 | 000,039,424 | ---- | C] () -- C:\Documents and Settings\rafael\auth.exe
* redemarre le pc sous windows et poste le rapport ici
~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Sur ce fichier _OTL.zip - clic droit / renommer et nomme le OTL_cosmos.zip
Envoie ce fichier OTL_cosmos.zip sur http://upload.malekal.com
cosmos.anunnaki
- Messages postés
- 28
- Date d'inscription
- jeudi 2 mai 2013
- Statut
- Membre
- Dernière intervention
- 29 juin 2020
Cedric
Hello,
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: http://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: http://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914
Qu'est ce que je fait après ça ?
MERCI.
Cedric
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: http://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: http://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914
Qu'est ce que je fait après ça ?
MERCI.
Cedric
dairine
- Messages postés
- 8
- Date d'inscription
- mercredi 24 juillet 2013
- Statut
- Membre
- Dernière intervention
- 16 avril 2015
Hello,
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: https://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: https://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914
Qu'est ce que je fait après ça ?
MERCI.
Cedric/Dairine
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: https://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: https://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914
Qu'est ce que je fait après ça ?
MERCI.
Cedric/Dairine
Malekal_morte-
- Messages postés
- 180268
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Simplement pour confirmer qu'il n'y a pas de solution.
J'avais contacté Kaspersky (dont voici la réponse plus bas).
Apparemment le programme stocke les clefs (différentes?) pour chaque fichier de manière crypté.
Il n'y a pas de possibilité de cr*cker le cryptage.
The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked.
J'avais contacté Kaspersky (dont voici la réponse plus bas).
Apparemment le programme stocke les clefs (différentes?) pour chaque fichier de manière crypté.
Il n'y a pas de possibilité de cr*cker le cryptage.
The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked.
Xsisamy
- Messages postés
- 1
- Date d'inscription
- vendredi 9 août 2013
- Statut
- Membre
- Dernière intervention
- 9 août 2013
J'ai eu le problème...
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
ATTENTION! tous vos fichiers ne sont pas "encore" cryptés !, le programme crypte méthodiquement répertoire par répertoire et fichier par fichier, il faut donc éteindre immédiatement le pc et l'amener chez un réparateur ou accéder au disque dur infecté via un autre pc.
en effet, le virus s'arrange pour pour que vous ne soyez plus reconnu comme "administrateur" et vous ne pouvez pas détruire un des répertoires ci-dessus ce qui lui permet de tout réinstaller dès le redémarrage.
Modifier les programmes de démarrage dans "msconfig" ne sert à rien.
Aujourd'hui, mes fichiers infectés/modifiés sont toujours inutilisables; je pense qu'ils sont perdus, mais j'ai éliminé le virus sans formater:
1°) j'ai installé un second disque dur vierge, sur lequel j'ai réinstallé Windows (7), de sorte, je repasse administrateur et le disque infecté est accessible.
=> redémarrage de windows sur la nouvelle installation (F8 au démarrage pour choisir sur quel disque vous voulez démarrer)
2°) j'ai effacé tous les répertoires ci-dessus + tout ce qui fait références à "dirty" suite à une recherche de ce terme sur le disque.
3°) j'ai nettoyé le disque et le registre avec CCLEANER gratuit (paramètres de base) + Glarys Utilities gratuit + Malwarebytes Anti-Malware gratuit + Microsoft Security Essential gratuit.
Malwarebytes retrouve le virus sur le disque et dans le registre et le nettoie.
4°) redémarrage sur l'ancien disque, tout normal sauf les fichiers modifiés par le virus.
Bon courage à ceux qui sont ou vont être infectés...
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
ATTENTION! tous vos fichiers ne sont pas "encore" cryptés !, le programme crypte méthodiquement répertoire par répertoire et fichier par fichier, il faut donc éteindre immédiatement le pc et l'amener chez un réparateur ou accéder au disque dur infecté via un autre pc.
en effet, le virus s'arrange pour pour que vous ne soyez plus reconnu comme "administrateur" et vous ne pouvez pas détruire un des répertoires ci-dessus ce qui lui permet de tout réinstaller dès le redémarrage.
Modifier les programmes de démarrage dans "msconfig" ne sert à rien.
Aujourd'hui, mes fichiers infectés/modifiés sont toujours inutilisables; je pense qu'ils sont perdus, mais j'ai éliminé le virus sans formater:
1°) j'ai installé un second disque dur vierge, sur lequel j'ai réinstallé Windows (7), de sorte, je repasse administrateur et le disque infecté est accessible.
=> redémarrage de windows sur la nouvelle installation (F8 au démarrage pour choisir sur quel disque vous voulez démarrer)
2°) j'ai effacé tous les répertoires ci-dessus + tout ce qui fait références à "dirty" suite à une recherche de ce terme sur le disque.
3°) j'ai nettoyé le disque et le registre avec CCLEANER gratuit (paramètres de base) + Glarys Utilities gratuit + Malwarebytes Anti-Malware gratuit + Microsoft Security Essential gratuit.
Malwarebytes retrouve le virus sur le disque et dans le registre et le nettoie.
4°) redémarrage sur l'ancien disque, tout normal sauf les fichiers modifiés par le virus.
Bon courage à ceux qui sont ou vont être infectés...
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20130724_y8v7f13d5k8
Après Correction et Redémarrage du pc sous Windows, voici le rapport :
========== OTL ==========
Error: No service named bsyxvrp was found to stop!
Service\Driver key bsyxvrp not found.
File System32\drivers\sost.sys not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn\ not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr\ not found.
Folder C:\Program Files\Dirty\ not found.
Folder C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty\ not found.
File C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6 not found.
File C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg not found.
File C:\Documents and Settings\rafael\auth.exe not found.
OTL by OldTimer - Version 3.2.69.0 log created on 07242013_142605
J'ai créé le dossier compressé OTL_cosmos.zip et l'ai envoyé sur http://upload.malekal.com
Merci bien.
Faut-il attendre ou faire quelque chose d'autre?
Je n'arrive toujours pas à ouvrir mes photos, certains doc word et pdf...