HOWDECRYPT - obfuscator.agr

Salut

C'est un logiciel malveillant qui crypte tes fichiers.

▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

Re,

Merci pour ton aide!
Voici le rapport:

RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 01/28/2014 10:48:26
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_01282014_104826.txt >>

Ok, dans Roguekiller, tu peux cliquer sur Suppression puis sur Rapport, et poster le rapport qui s'ouvre.

Voici le nouveau rapport:

RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Suppression -- Date : 01/28/2014 10:54:01
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_01282014_105401.txt >>
RKreport[0]_S_01282014_104826.txt

Bien.

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

▶ Télécharge ici :OTL

▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

▶ Clique ici pour voir la configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C

▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Désolée, ça a pris un peu de temps mais je ne suis pas super douée...
Voilà donc les 2 liens:

https://forums-fec.be/upload/www/?a=d&i=8439016808
https://forums-fec.be/upload/www/?a=d&i=0326383734

Relance RogueKiller, clique sur ProxyRAZ.

~~

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :



:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\18526
O33 - MountPoints2\{09c9b56a-3f7f-11e1-bbe7-0025d3b086c3}\Shell\AutoRun\command - "" = F:\Startme.exe
[2014/01/27 18:14:08 | 000,000,000 | ---D | C] -- C:\ProgramData\fimc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\rysg
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\qpvc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\lny
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\ljudi
[2014/01/27 17:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\hys
[2013/10/05 11:09:24 | 000,000,000 | ---D | M] -- C:\ProgramData\DSearchLink
[2014/01/27 18:03:31 | 000,026,572 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.GIF
[2014/01/27 18:03:31 | 000,001,069 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.TXT

:REG
[-HKEY_CURRENT_USER\Software\DOECENGK]
[-HKEY_CURRENT_USER\Software\Duuqu]
[-HKEY_LOCAL_MACHINE\Software\Duuqu]

:COMMANDS
[EMPTYTEMP]
[CLEARALLRESTOREPOINT]
[CREATERETOREPOINT]

▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

~~

~Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Merci.

Hyper à la bourre pour le boulot... Je reprendrai ça ce soir! Merci en tous cas!

Okay :)
Demain je fais le matin, jeudi/vendredi travaux à la maison et samedi/dimanche je fais les matins aussi :) normalement on terminera ça ce soir mais ...

Tiens, après avoir uploadé le zip chez mak', tu peux passer un coup de MBAM (voir ci-dessous) et ça devrait être good :)

Pour les doc j'espère que tu avais des backup, sinon garde les 1 mois mais m'étonnerait qu'une solution sorte pour eux ...

Bon courage !

MBAM :

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

Re bonjour,

Bon ça a pris beaucoup de temps... Faut dire que je suis rentrée tard... Voilà les 3 blocs notes que Malwarebyte a sorti... Le premier est flippant, je sais pas si je peux lui faire confiance:

All files including videos, photos and documents on your computer are encrypted.

Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.

In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.

If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:

1. You must download and install this browser https://www.torproject.org/download/
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

IMPORTANT INFORMATION:

Your Personal CODE: 00000001-A15E3227

-------------------------------------------------------------------
Voici le second:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.28.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Utilisateur :: UTILISATEUR-PC [administrateur]

28/01/2014 18:42:16
mbam-log-2014-01-28 (18-42-16).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 379278
Temps écoulé: 2 heure(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
D:\_OTL\MovedFiles\10052013_211631\C_Users\Utilisateur\AppData\Roaming\wmdrmdev5.dll (Trojan.Agent.PM) -> Mis en quarantaine et supprimé avec succès.

(fin)

Non, le premier bloc note c'est encore un "how to decrypt" :D

C'est à dire que si j'avais suivi les instructions, j'aurais à nouveau été infecté?! Le deuxième est le bon?

Ouais

Le second est bon et n'indique plus rien de néfaste :) le truc qu'il a viré c'est la 40aine de OTL.

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Sécurise ton PC !

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Merci beaucoup pour votre temps... J'ai perdu absolument tous mes docs boulot, perso... dans cette histoire donc je vais m'assurer de monter d'un cran niveau sécurité et surtout de sauvegarder mes données ailleurs... :-(
J'avais déjà quitté explorer pour mozilla, installé abp, MSE, je faisais super gaffe niveau sites... Tant pis pour moi...
Merci encore pour tout!
Bonne soirée!

Désolé ... mais on n'a pas de solution pour l'instant.

Bonne soirée également.

Il est possible de récupérer les documents par les clichés instantannées, voir la finj du topic cryptorbit : https://www.malekal.com/virus-securite/ransomwares/