Dirty decrypt [Résolu/Fermé]

Signaler
Messages postés
2
Date d'inscription
vendredi 16 août 2013
Statut
Membre
Dernière intervention
16 août 2013
-
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
-
Bonjour,

Un de plus avec cette saleté de Dirty Decrypt ...

Je ne cherche même pas à récupérer mes fichiers, j'avais certaines sauvegardes, le manquant est acceptable.

Mais mon problème est plus basique : comment éliminer le virus lui même ?

Je m'explique ; j'ai utilisé Avira qui m'a annoncé "tout est enlevé"

Après, j'ai passé quelques heures avec mes sauvegardes, hier soir tout était OK

Ce matin, tout était OK, mais par acquis de conscience, j'ai rebooté (ce que je ne fais guère qu'une fois par semaine) ...

Et la surprise, tous les fichiers infectés puis réparés sont à nouveau cryptés.

Et Avira me le retrouve et "le supprime"

Mais si je dois remonter une sauvegarde, je voudrais être avant débarrassé du virus, sinon, c'est tous les jours ...

Quelqu'un connait un anti virus vraiment efficace contre ce virus ?.

Merci d'avance.

10 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Salut,


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Suppression].
Le scan peux durer plusieurs minutes, patienter.

Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE




Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
2
Date d'inscription
vendredi 16 août 2013
Statut
Membre
Dernière intervention
16 août 2013

Merci je m'y attaque de suite.
Merci !

ça s'est bien passé, et après reboot, plus rien ...

j'espère que ce sera un ""très"" mauvais souvenir.

Encore merci, réponse immédiate et super efficace.

Ah quand même : Je présume que ce qui suit (OTL et la suite) , c'est pour le cas ou ADW Cleaner ne fonctionnerait pas ? dans mon cas, je ne vais pas plus loin ? ou c'est d'office la totale ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
donne les rapports obtenus.
AdwCleaner ça vire les programmes parasites, pas dirdecrypt.
OTL fait une analyse et ne vire rien.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 766
salut

d'autant plus que cette m€rde crypte les fichiers utilisateur (mp3, avi, doc, jpeg, ...)
Ah ! j'ai crié victoire trop vite ?
Alors, j'ai le rapport :

# AdwCleaner v2.306 - Rapport créé le 16/08/2013 à 11:58:07
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : yves - YVES-CORAIL
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\yves\Mes documents\Téléchargements\adwcleaner(1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Supprimé au redémarrage : C:\Documents and Settings\All Users\Application Data\eSafe

***** [Registre] *****

Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403A-B9D2-65C292C39087}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\Software\eSafeSecControl
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{77236F9C-987C-40EC-832B-5BD6181E4846}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v23.0 (fr)

Fichier : C:\Documents and Settings\yves\Application Data\Mozilla\Firefox\Profiles\8wqb133i.default-1371547987140\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\yves\Application Data\Mozilla\Firefox\Profiles\ivt2cp5k.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v28.0.1500.72

Fichier : C:\Documents and Settings\yves\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [23005 octets] - [15/07/2013 19:59:13]
AdwCleaner[R2].txt - [23066 octets] - [15/07/2013 20:00:19]
AdwCleaner[S1].txt - [20341 octets] - [15/07/2013 20:00:52]
AdwCleaner[S2].txt - [2628 octets] - [16/08/2013 11:58:07]

########## EOF - C:\AdwCleaner[S2].txt - [2688 octets] ##########
Re bonjour,

Voici mes 2 liens, (j'avoue que pour moi, c'est de l'hebreux.

http://pjjoint.malekal.com/files.php?id=20130816_y15p9j15t15v12

http://pjjoint.malekal.com/files.php?id=20130816_v11w10t5j13n7

Je crois e toujours les doigts ...
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - [2013/07/19 05:56:21 | 000,376,896 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe -- (WsysSvc)
[2013/08/16 09:55:51 | 000,000,000 | ---D | C] -- C:\Program Files\Dirty
[2013/08/15 09:25:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\yves\Local Settings\Application Data\ChrAWbyH
[2013/08/15 09:22:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\yves\Local Settings\Application Data\uauuowaC
[2013/08/15 09:22:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\yves\Local Settings\Application Data\Dirty

* redemarre le pc sous windows et poste le rapport ici


~~

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.
Re
Voila le rapport,
pour la liste

========== OTL ==========
Service WsysSvc stopped successfully!
Service WsysSvc deleted successfully!
File C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe not found.
C:\Program Files\Dirty folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\ChrAWbyH\images\content folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\ChrAWbyH\images folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\ChrAWbyH\css folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\ChrAWbyH folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\uauuowaC folder moved successfully.
C:\Documents and Settings\yves\Local Settings\Application Data\Dirty folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 08162013_143221


Pour la liste extensions, je ne vois pas comment la copier, mais maintenant que tu en parles, je réalise que mes ennuis ont commencé par l'arrêt du module Easy youtube to MP3 converter 521 et son remplacement par youtube video and MP3 downloader 2.3 J'ai du après ça faire une MAJ de Flash qui a planté, et le lendemain, plus de photos ni de feuilles excel, et certains pdf (tous ceux faits par moi même et 1/3 des docs reçues).
Déja il y a un mois, j'avais récolté Yontoo, et j'avais dû le virer, l'extension avait cessé de fonctionner, puis avait réapparu. et avant hier, elle s'arrète, elle n'est plus proposée à le réinstallation, j'ai pris la suivante.

n tous cas, encore merci pour ta patience !
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
fais du ménage dans les extensions.

Normalement DirDecrypt, ça va bien par faux codec sur les sites pornos => https://www.malekal.com/dirtydecrypt-et-virus-police-ministere-de-linterieur/
(ignore l'alerte)
Je crois que ça y est ... Une série de contrôles sans rien, redémarrage de l'ordi, puis scan, bref, pas rassuré, mais vraisemblablement, la bête est partie...

En tous cas, merci à tous, pour vos conseils tant sur ce forum qu'en MP.

Tout particulièrement Malekal qui m'a consacré une bonne partie de son temps.

Sans vous j'étais très très mal.

Un forum bien utile, j'espère qu'il continuera comme ça.

Le plus marrant, c'est qu'il m'est arrivé d'aider des gars dans mon domaine, moi ça m'amusait, c'est un passe temps, je n'ai jamais imaginé l'état d'anxiété des gars que j'ai pu renseigner.
Mais c'est quand on se retrouve de l'autre coté, dans la panique, qu'on comprend l'importance de cette entraide et tout l'espoir qu'on met dans cet échange !

Je crois que je peux classer comme résolu (faut voir comment on fait)

Encore merci.
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
929
en MP ? qu'est-ce-qui s'est passé en MP ?
g3n-h@ckm@n - 16 août 2013 à 21:28
en MP ? qu'est-ce-qui s'est passé en MP ?

Pardon, ici ça s'appelle peut être pas comme ça, je veux dire que, ayant demandé à recevoir les réponses aussi par mail, j'ai reçu quelques mails, citant des réponses (dont une de toi même, voir en bas), qui ne sont pas apparues dans la discussion.

Je pensais, comme sur un autre forum que je fréquente davantage, que c'était un choix "public/privé" à cocher au moment du post.

Je ne sais pas si je suis clair ... je copie le mail reçu au sujet de ta réponse, tu constatera qu'elle n'apparait pas, d'où mon appellation peut être erronée de MP,

j'en ai eu 2 ou 3 comme ça, merci à tous.



Bonjour resu233,

Vous avez demandé à recevoir les réponses au message de resu233 intitulé « Dirty decrypt » datant du 16 août 2013 à 11:53 posté dans « Virus / Sécurité ».

Ce message vient de recevoir la réponse suivante de g3n-h@ckm@n :


salut antivirus pour virer ca y'en a pas

execute ceci :

http://security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
929
merci c'est tout ce que je voulais savoir :)

grand merci à toi bonne suite :)