howdecrypt !!!!!!!!!!! Résolu/Fermé

Question

Bonjour, 

A l'instant je viens de voir que ce dossier infecte mon pc et je ne peux ouvrir mes dossier  !!!! Besoin de vos lumières.. En vous remerciant 

Configuration: Windows Vista / Internet Explorer 9.0

Malekal_morte- · Answer

Salut,


C'est mort pour tes documents.

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

zaza · Answer

Merci pour l'info
Mais apres avoir scanné je n'ai pas eu de rapport le seul s'inscrit en symboles ??

Malekal_morte- · Answer

Faire un Scan OTL - Temps : Environ 40min
=============================================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

zaza · Answer

http://pjjoint.malekal.com/files.php?id=20140125_i10i13f9z15o6

http://pjjoint.malekal.com/files.php?id=20140125_p1213l5s7q7


Pas sure que cela soit expoitable???

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
O4 - HKU\S-1-5-18..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\Run: [SEIKO EPSON] C:\Users\Utilisateur\AppData\Roaming	wesgtrg\giawhftj.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 30153 = c:\progra~2\msquue.exe (SolarSoftware Dev)  
O20 - HKU\.DEFAULT Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
O20 - HKU\.DEFAULT Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)  
O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
O20 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
[2014/01/25 15:55:18 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\ygdufsca.sys 
:reg
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"Shell"="explorer.exe"
 
   
* poste le rapport ici 



~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

canard05 · Answer

Bonjour,
Je viens de chopper un virus!!!!
Malgrès que ce soit l'hiver, il est seulement dans mon pc.
Comme ZAZA c'est ce put... de HOWDECRYPT qui me mes des fichiers (1 .TXT et 1 .GIF)dans tous mes dossiers, sous dossiers, programmes, fichiers systèmes........, Mes fichiers quelque soit leurs types (photos, doc word, vidéos, .....) sont corrompus et/ou déteriorés.
J'ai supprimé tous ces fichiers en .TXT et .GIF, réinstallé mon windows 7 et mes logiciels et c'est éxactement pareil,.
La seule chose que je n'ai pas effacé ce sont mes fichiers personnels car c'est toute ma vie dans le pc !!!!!!!!!!!!!!!
J'ai essayé trois anti-virus différent et le logiciel donc vous avez donné le lien.
Voici les liens des rapports OTL.TXT et Extras.TXT
https://pjjoint.malekal.com/files.php?id=20140125_h5h14w13v13h13
https://pjjoint.malekal.com/files.php?id=20140125_y5f10c8z12l7
Si vous pouvez m'aider je vous en serais le plus reconnaissant du monde car je pense que si je perd les photos, je suis divorcé dans la semaine !!!!!!!!!!!!!!!!!!
Merci

canard05 · Answer

PS: je sais pas si ça peu apporter quelque chose, mais il s'esst introduit lors du téléchargement d'un logiciel sur le site 01.net.

zaza · Answer

http://pjjoint.malekal.com/files.php?id=20140125_d14u5p9j15g14

Je vous post le lien comme ceci ? 
Et dois je zipper le dossier otl??
Merci

zaza · Answer

c fait normalement, dans l'attente .. de la suite

Malekal_morte- · Answer

refais un scan OTL et donne le rapport :)

zaza · Answer

http://pjjoint.malekal.com/files.php?id=20140125_k14b10c9h15g13

verdict?

Malekal_morte- · Answer

hummm
tout est revenu.


Fais tout ceci en un coup.

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
[2014/01/25 14:40:27 | 000,000,000 | ---D | C] -- C:\ProgramData\axfu 
[2014/01/25 14:40:22 | 000,000,000 | ---D | C] -- C:\ProgramData\xoyphl 
[2014/01/25 14:40:22 | 000,000,000 | ---D | C] -- C:\ProgramData\qaup 
[2014/01/25 14:40:22 | 000,000,000 | ---D | C] -- C:\ProgramData\jeglnnw 
[2014/01/25 14:40:12 | 000,000,000 | ---D | C] -- C:\ProgramData\xxcsrna 
[2014/01/25 14:13:07 | 000,000,000 | ---D | C] -- C:\ProgramData\mkyoila 
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\Run: [SEIKO EPSON] C:\Users\Utilisateur\AppData\Roaming	wesgtrg\giawhftj.exe File not found 
O4 - HKU\.DEFAULT..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
O4 - HKU\S-1-5-18..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe ()
O20 - HKU\.DEFAULT Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
O20 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe () 
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"Shell"="explorer.exe"
:Commands
[reboot]


* poste le rapport ici 


~~

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.


~~

refais un scan OTL et donne le rapport.

zaza · Answer

http://pjjoint.malekal.com/files.php?id=20140125_l11d714x6n8


Voilà ...merci 
Grrrrr Verdict?

Malekal_morte- · Answer

nope revenu.
Essayant debranchant le cable réseau ou le wifi (à partir de l'étape en gras).

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 

DEBRANCHE TON CABLE RESEAU


[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!! 


~~


Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\Run: [] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (Samsung)
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\Run: [syshost32] C:\Users\Utilisateur\AppData\Local\{8E3CBF99-5512-CD34-D010-43C9AFF082EE}\syshost.exe File not found
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\Run: [Upjrmedia] C:\Windows\System32egsvr32.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe ()
O4 - HKU\S-1-5-18..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe ()
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 30153 = c:\progra~2\msquue.exe (SolarSoftware Dev):reg 
O20 - HKU\.DEFAULT Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe ()
O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe ()
O20 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000 Winlogon: Shell - (C:\ProgramData\jeglnnw\aoifcy.exe) - C:\ProgramData\jeglnnw\aoifcy.exe ()
[2014/01/25 21:45:52 | 000,000,000 | ---D | C] -- C:\ProgramData\xoyphl
[2014/01/25 21:45:52 | 000,000,000 | ---D | C] -- C:\ProgramData\qaup
[2014/01/25 21:45:52 | 000,000,000 | ---D | C] -- C:\ProgramData\mkyoila
[2014/01/25 21:45:52 | 000,000,000 | ---D | C] -- C:\ProgramData\axfu
[2014/01/25 21:44:41 | 000,000,000 | ---D | C] -- C:\ProgramData\jeglnnw
[2009/08/14 20:41:48 | 000,092,672 | -HS- | C] (SolarSoftware Dev) -- C:\ProgramData\msquue.exe
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Userinit"="C:\WINDOWS\system32\userinit.exe," 
"Shell"="explorer.exe" 
:Commands
[reboot]


* poste le rapport ici 
 

Refais un scan Malwarebyes et supprime tout.


REBRANCHE TON CABLE RESEAU

zaza · Answer

désolée mais je n'arrive pas a le telecharger hors ligne en cliquant sur ces cercles??

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140125_c7m12o10w13q11


 http://pjjoint.malekal.com/files.php?id=20140125_n11c9p13m8d15


http://pjjoint.malekal.com/files.php?id=20140125_f6g15m10r15v8


voila chef...ensuite?

Malekal_morte- · Answer

tu as bien fait suppression sur RogueKiller ?

zaza35 · Answer

oui

Malekal_morte- · Answer

refais un scan OTL pour voir s'ils sont revenus :)

zaza35 · Answer

aaaaaaaaaa les revenants  ...marre d'eux ...je vais voir.

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140126_r12e9t5r14b9


JE CRAINS QUE CELA NE SOIT IDENTIQUE

zaza35 · Answer

bonjour
que dois je faire à présent?

zaza35 · Answer

petite question : une fois la fin heureuse de notre travail ( ce que j'espère)  Petit a ) mon pc sera sain; sans aucun malveillant ? ou si je dois aller sur site banq etc mieux vaut changer de pc???

au cas ou ci joint les derniers scans : 

http://pjjoint.malekal.com/files.php?id=20140126_y9k6c11w11o11



 http://pjjoint.malekal.com/files.php?id=20140126_s7y14z5p11r7

Malekal_morte- · Answer

haa ça a  l'air mieux.
En fait là, tu as du Zbot et Andromeda, ça a pompé tous les mots de passe et autres.
Il faudra les changer quand le PC sera désinfecté.



Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-3009744732-2083954262-1191288068-1000..\RunOnce: [5mdnp] C:\ProgramData\qaup\oiar.exe () 
[2014/01/25 22:59:38 | 000,000,000 | ---D | C] -- C:\ProgramData\axfu 
[2014/01/25 22:59:36 | 000,000,000 | ---D | C] -- C:\ProgramData\xoyphl 
[2014/01/25 22:59:35 | 000,000,000 | ---D | C] -- C:\ProgramData\mkyoila 
[2014/01/25 22:58:16 | 000,000,000 | ---D | C] -- C:\ProgramData\qaup 
[2014/01/25 22:58:10 | 000,000,000 | ---D | C] -- C:\ProgramData\jeglnnw 


* poste le rapport ici 



~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140126_q12j10u914s9

Malekal_morte- · Answer

ok, refais un scan OTL et donne le rapport.

zaza35 · Answer

pour info mon pc devient super lent et ne peux telecharger le fichier zip que vous me demander

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140126_f6t6n14r12u10


alors?

zaza35 · Answer

ok c'est fait 
merci et à demain

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140127_k7q11l8q5u10


bonjour ci joint le dernier rapport. 
Autres question mon antivirus ne veut plus s'ouvrir depuis cette histoire... normal je suppose. En antivir gratuit le mieux c'est avira ou avg? merci dans l'attente

Malekal_morte- · Answer

ok, désinstalle Antivir depuis programmes et fonctionnalités du panneau de configuration.
Si ça marche pas, tente en mode sans échec.
Si ça marche toujours pas, utilise ça : https://support.avira.com/hc/en-us/articles/360002858514-How-do-I-perform-a-manual-reinstallation-of-my-Avira-Antivirus-product-

Mets Avast! : https://www.malekal.com/tutoriel-antivirus-avast

Et ce soir, tu mets à jour les définitions virales de Malwarebytes (onglet mise à jour) et à nouveau un scan.

En attendant, change tous tes mots de passe.

zaza35 · Answer

ok merci pour tout
je suis vos recommandations et ce soir post un rapport
merci

zaza35 · Answer

juste pour info j'ai scanner mon pc avec avast et ensuite rescan malware dont voici le rapport (il n'a rien detecté)

http://pjjoint.malekal.com/files.php?id=20140127_r12v11v6i7s10

zaza35 · Answer

http://pjjoint.malekal.com/files.php?id=20140127_k9d7j7q15y13


voilà verdict .....?

Malekal_morte- · Answer

c'est bon,

supprime ces dossiers si tu peux :
C:\ProgramData\mkyoila 
C:\ProgramData\jeglnnw 
C:\ProgramData\qaup

Change tous tes mots de passe.

zaza35 · Answer

c'est fait j'ai supprimé
mes mots de passe je les change deja. 
Ensuite que dois je faire? Mes documents poubelle? 
Et ensuite 
c bon ce virus est parti ...????

zaza35 · Answer

merci

au fait je suis en train de faire un scan avast et ensuite malwares sur mon disque dur
si je trouve des trucs je repost ?

zaza35 · Answer

et bien un grand grand merci pour tout 

je n'hésite pas à revenir si question 
merci merci

Malekal_morte- · Answer

Il est possible de récupérer les documents par les clichés instantannées, voir la finj du topic cryptorbit : https://www.malekal.com/virus-securite/ransomwares/

zaza · Answer

coucou
Depuis j'ai un autre soucis.... mon pare feu etc ne fonctionne plus. Comment me depatouiller de tout ca??
Merci

Malekal_morte- · Answer

ok commence par ça :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

zaza · Answer

http://pjjoint.malekal.com/files.php?id=20140206_q15b8n6u13z14


voila , merci

Malekal_morte- · Answer

essaye eset repair et si pas mieux windows defender : https://forum.malekal.com/viewtopic.php?t=36444&start=

Howdecrypt !!!!!!!!!!!

43 réponses

Newsletters