Virus DirtyDecrypt.exe

Fermé
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013 - 1 sept. 2013 à 19:45
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013 - 2 sept. 2013 à 22:19
Bonjour,
je viens d'être à mon tour infecté par le virus DirtyDecrypt.exe
le lien du fichier transmis est :
Pjjoint.malekal.com/files.php?id=20130901_o10i10q10p10k12
merci de votre aide
A voir également:

17 réponses

Utilisateur anonyme
1 sept. 2013 à 19:57
Bonsoir

N'as tu pas déjà ouvert ce jour un sujet sous un autre pseudo?

@+
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 20:07
bonsoir Guillaume 5188
ah non pas du tout, je viens de m'inscrire suite à cet inquiétant problème
merci d'une éventuelle aide pour la résolution
0
Utilisateur anonyme
1 sept. 2013 à 20:12
Re

[*] Télécharger sur le bureau RogueKiller (by tigzy) (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 20:15
OK j'essaie de faire
merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 20:32
j'ai bien le rapport.
comment le mettre en pièce jointe ?? (je ne suis pas un expert en informatique)
merci
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 20:41
je l'ai envoyé par mail
0
Utilisateur anonyme
1 sept. 2013 à 21:04
RE

Il faut apprendre à lire;-((

Cliquer sur Rapport et copier coller le contenu du rapport

Rien de plus !!!

@+

0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 21:17
Voilà le document souhaité :

RogueKiller V8.6.7 _x64_ [Aug 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Jacques [Droits d'admin]
Mode : Recherche -- Date : 09/01/2013 20:27:58
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH][DLL] rundll32.exe -- C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [7] -> rundll32.exe TUÉ [TermProc]
[SUSP PATH] BrowserDefender.exe -- C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [7] -> TUÉ [TermProc]
[SUSP PATH] BrowserDefender.exe -- C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : NTRedirect (C:\Windows\SysWOW64\rundll32.exe "C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run [-][7]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-806984200-2353923094-1164538535-1000\[...]\Run : NTRedirect (C:\Windows\SysWOW64\rundll32.exe "C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run [-][7]) -> TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] EPUpdater : C:\Users\Jacques\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [7] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-00M2B0 SCSI Disk Device +++++
--- User ---
[MBR] ba64586e916c981c7930ab7492972004
[BSP] 610a40268c3c1e64107bcc00a86e961d : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_09012013_202758.txt >>
0
Utilisateur anonyme
1 sept. 2013 à 21:25
Bonsoir

Tu passes à l'option suppression de Roguekiller et tu me postes ce rapport.

Ensuite:

Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Rapide"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 21:36
OK gros boulot pour moi mais je vais essayer...
1er point le rapport joint :
RogueKiller V8.6.7 _x64_ [Aug 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Jacques [Droits d'admin]
Mode : Suppression -- Date : 09/01/2013 21:34:39
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH][DLL] rundll32.exe -- C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [7] -> rundll32.exe TUÉ [TermProc]
[SUSP PATH] BrowserDefender.exe -- C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [7] -> TUÉ [TermProc]
[SUSP PATH] BrowserDefender.exe -- C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : NTRedirect (C:\Windows\SysWOW64\rundll32.exe "C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run [-][7]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-806984200-2353923094-1164538535-1000\[...]\Run : NTRedirect (C:\Windows\SysWOW64\rundll32.exe "C:\Users\Jacques\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run [-][7]) -> [0x2] Le fichier spécifié est introuvable.

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] EPUpdater : C:\Users\Jacques\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [7] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-00M2B0 SCSI Disk Device +++++
--- User ---
[MBR] ba64586e916c981c7930ab7492972004
[BSP] 610a40268c3c1e64107bcc00a86e961d : Acer MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_09012013_213439.txt >>
RKreport[0]_S_09012013_202758.txt

à +
0
Utilisateur anonyme
1 sept. 2013 à 21:39
Re

Télécharge Malwaresbytes anti malware ici
https://www.malwarebytes.com/

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 22:09
tout est fait sauf que je n'ai pas posté le rapport dans l'onglet "rapport/log" de Malwaresbytes, puis-je y remédier ? si oui comment ?

Par contre, mes fichiers (documents, images...) sont toujours infectés je ne peux pas les ouvrir ? est-ce normal ? mort ?

merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
1 sept. 2013 à 23:11
Quand tu es sur des sites pornos et qu'on te propose le Flash Player.
Faut refuser, ce sont des virus à coup sûr.

Cf pour DirDecrypt : https://www.malekal.com/dirtydecrypt-et-virus-police-ministere-de-linterieur/
0
Utilisateur anonyme
1 sept. 2013 à 23:15
Bonsoir et merci @ tous les deux Gen et Malekal
0
Utilisateur anonyme
1 sept. 2013 à 22:12
Re

Je pense effectivement tous ces fichiers son perdus.
Garde les de côté .
peut être demain la clé pour décrypter ces fichiers.

@+
0
Utilisateur anonyme
1 sept. 2013 à 22:17
Re

Peut être disposes tu d'une copie saine de certains fichiers?
Si c'est le cas tu procèdes a partir de xet autre PC pour me fournir une de ces copies saines.
Attention tu ne fais pas cela a partir de ton PC infecté

Merci

On verra ensuite pour la copie du fichier crypté

@+
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
2 sept. 2013 à 12:07
Salut,

si j'ai bien saisi les échanges, il n' y a pas possibilités de récupérer les fichiers infectés. C'est bien dommage pour tout ceux qui sont infectés par ce virus...

Le travail que tu m'as conseillé de faire sur mon PC hier soir est-il quand même efficace pour poursuivre sur mon PC ??? ou est-il toujours infecté par ce virus ??? comment puis-je m'en rendre compte ?

à +
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
1 sept. 2013 à 22:18
OK merci beaucoup à demain s'il y a possibilité de récupération
mais si l'infection est partie c'est déjà énorme...
de nouveau merci - bonne nuit
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
1 sept. 2013 à 22:58
salut il n'y a actuellement pas de solution pour décrypter les fichiers cryptés par decrypt.exe
0
Utilisateur anonyme
1 sept. 2013 à 23:06
Salut Gen ;-)

La comparaison crypté-décryté ne fonctionne pas?

@+
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 1/09/2013 à 23:10
non j'ai essayé , meme en jouant avec les offsets des fichiers , y'a rien à faire la difference sur chaque fichier est trop vaste encore plus compliqué que desinfecter un fichier mabezat lol
0
cinjescin Messages postés 11 Date d'inscription dimanche 1 septembre 2013 Statut Membre Dernière intervention 2 septembre 2013
2 sept. 2013 à 22:19
Salut,

si j'ai bien saisi les échanges, il n' y a pas possibilités de récupérer les fichiers infectés. C'est bien dommage pour tout ceux qui sont infectés par ce virus...

Le travail que tu m'as conseillé de faire sur mon PC hier soir est-il quand même efficace pour poursuivre sur mon PC ??? ou est-il toujours infecté par ce virus ??? comment puis-je m'en rendre compte ?

à +
0