dirty decrypt.exe méga virus Résolu/Fermé

Question

Bonjour a tous, depuis hier, certaines photos ne s afiche plus quand je click sur la photo
il y a un fond noir avec écrit 

File is encrypted

this file can be decrypted using the program dirty decrypt.exe   blablabla

j ai lancer l anti vurus, le ccleaner, adwcleaner, malwarebyte anti malware, et du nettoyage de auslogics,  bref plein de choses et ça n a rien changer a ça :(
je suis perdu aider moi svp, merci.

Malekal_morte- · Accepted Answer

Salut,

yep pas une bonne nouvelle.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

cosmos.anunnaki · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20130702_g8v12c815t11

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\sost.sys -- (bsyxvrp) 
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\iOTlEIhn
[2013/07/01 00:00:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\aevBhQGr
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Program Files\Dirty
[2013/06/30 23:59:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\rafael\Local Settings\Application Data\Dirty 
[2013/05/12 22:16:10 | 000,000,102 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6
[2013/05/12 22:16:10 | 000,000,028 | ---- | C] () -- C:\Documents and Settings\rafael\Local Settings\Application Data\Lockdir6.lg
[2013/05/07 23:16:38 | 000,039,424 | ---- | C] () -- C:\Documents and Settings\rafael\auth.exe 

* redemarre le pc sous windows et poste le rapport ici

~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Sur ce fichier _OTL.zip - clic droit / renommer et nomme le OTL_cosmos.zip
Envoie ce fichier OTL_cosmos.zip sur http://upload.malekal.com

cosmos.anunnaki · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20130703_r12t13s10c11b8

Cedric · Answer

Hello,
je viens d'avoir le même souci avec dirty...
voici les 2 liens pour les 2 fichier OTL et EXTRAS:
OTL: http://pjjoint.malekal.com/files.php?id=20130723_s13y8j7x11i5
EXTRAS: http://pjjoint.malekal.com/files.php?id=20130723_x11k12s12r914

Qu'est ce que je fait après ça ?
MERCI.

Cedric

Malekal_morte- · Answer

Simplement pour confirmer qu'il n'y a pas de solution.
J'avais contacté Kaspersky (dont voici la réponse plus bas).

Apparemment le programme stocke les clefs (différentes?) pour chaque fichier de manière crypté.
Il n'y a pas de possibilité de cr*cker le cryptage.

The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked.

Xsisamy · Answer

J'ai eu le problème...

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe

If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

ATTENTION! tous vos fichiers ne sont pas "encore" cryptés !, le programme crypte méthodiquement répertoire par répertoire et fichier par fichier, il faut donc éteindre immédiatement le pc et l'amener chez un réparateur ou accéder au disque dur infecté via un autre pc.

en effet, le virus s'arrange pour pour que vous ne soyez plus reconnu comme "administrateur" et vous ne pouvez pas détruire un des répertoires ci-dessus ce qui lui permet de tout réinstaller dès le redémarrage.

Modifier les programmes de démarrage dans "msconfig" ne sert à rien.

Aujourd'hui, mes fichiers infectés/modifiés sont toujours inutilisables; je pense qu'ils sont perdus, mais j'ai éliminé le virus sans formater:

1°) j'ai installé un second disque dur vierge, sur lequel j'ai réinstallé Windows (7), de sorte, je repasse administrateur et le disque infecté est accessible.
=> redémarrage de windows sur la nouvelle installation (F8 au démarrage pour choisir sur quel disque vous voulez démarrer)
2°) j'ai effacé tous les répertoires ci-dessus + tout ce qui fait références à "dirty" suite à une recherche de ce terme sur le disque.
3°) j'ai nettoyé le disque et le registre avec CCLEANER gratuit (paramètres de base) + Glarys Utilities gratuit + Malwarebytes Anti-Malware gratuit + Microsoft Security Essential gratuit.
Malwarebytes retrouve le virus sur le disque et dans le registre et le nettoie.
4°) redémarrage sur l'ancien disque, tout normal sauf les fichiers modifiés par le virus.

Bon courage à ceux qui sont ou vont être infectés...

Dirty decrypt.exe méga virus

7 réponses

Discussions similaires