HOWDECRYPT - obfuscator.agr
Résolu/Fermé
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
-
28 janv. 2014 à 10:37
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 6 févr. 2014 à 21:53
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 6 févr. 2014 à 21:53
16 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 10:40
28 janv. 2014 à 10:40
Salut
C'est un logiciel malveillant qui crypte tes fichiers.
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
C'est un logiciel malveillant qui crypte tes fichiers.
▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 10:48
28 janv. 2014 à 10:48
Re,
Merci pour ton aide!
Voici le rapport:
RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 01/28/2014 10:48:26
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_01282014_104826.txt >>
Merci pour ton aide!
Voici le rapport:
RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 01/28/2014 10:48:26
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{1AE58A58-D4EE-4456-9322-3A72FA9F43AA} : NameServer (62.201.142.101 [GHANA (GH)]) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_01282014_104826.txt >>
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 10:50
28 janv. 2014 à 10:50
Ok, dans Roguekiller, tu peux cliquer sur Suppression puis sur Rapport, et poster le rapport qui s'ouvre.
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 10:55
28 janv. 2014 à 10:55
Voici le nouveau rapport:
RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Suppression -- Date : 01/28/2014 10:54:01
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_01282014_105401.txt >>
RKreport[0]_S_01282014_104826.txt
RogueKiller V8.8.4 [Jan 27 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : https://www.adlice.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Suppression -- Date : 01/28/2014 10:54:01
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-448384781-2255870835-1406113193-1000\[...]\Run : Aqldworks (regsvr32.exe C:\Users\Utilisateur\AppData\Local\Aqldworks\MciApiDyn.dll [x][-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9500325AS +++++
--- User ---
[MBR] 4d125687074a189b6d328ce6bb8f80c0
[BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 16997 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 34812855 | Size: 119232 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 279000855 | Size: 340706 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_01282014_105401.txt >>
RKreport[0]_S_01282014_104826.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 10:56
28 janv. 2014 à 10:56
Bien.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 11:29
28 janv. 2014 à 11:29
Désolée, ça a pris un peu de temps mais je ne suis pas super douée...
Voilà donc les 2 liens:
https://forums-fec.be/upload/www/?a=d&i=8439016808
https://forums-fec.be/upload/www/?a=d&i=0326383734
Voilà donc les 2 liens:
https://forums-fec.be/upload/www/?a=d&i=8439016808
https://forums-fec.be/upload/www/?a=d&i=0326383734
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 13:05
28 janv. 2014 à 13:05
Relance RogueKiller, clique sur ProxyRAZ.
~~
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\18526
O33 - MountPoints2\{09c9b56a-3f7f-11e1-bbe7-0025d3b086c3}\Shell\AutoRun\command - "" = F:\Startme.exe
[2014/01/27 18:14:08 | 000,000,000 | ---D | C] -- C:\ProgramData\fimc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\rysg
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\qpvc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\lny
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\ljudi
[2014/01/27 17:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\hys
[2013/10/05 11:09:24 | 000,000,000 | ---D | M] -- C:\ProgramData\DSearchLink
[2014/01/27 18:03:31 | 000,026,572 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.GIF
[2014/01/27 18:03:31 | 000,001,069 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.TXT
:REG
[-HKEY_CURRENT_USER\Software\DOECENGK]
[-HKEY_CURRENT_USER\Software\Duuqu]
[-HKEY_LOCAL_MACHINE\Software\Duuqu]
:COMMANDS
[EMPTYTEMP]
[CLEARALLRESTOREPOINT]
[CREATERETOREPOINT]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.
~~
~Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Merci.
~~
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\18526
O33 - MountPoints2\{09c9b56a-3f7f-11e1-bbe7-0025d3b086c3}\Shell\AutoRun\command - "" = F:\Startme.exe
[2014/01/27 18:14:08 | 000,000,000 | ---D | C] -- C:\ProgramData\fimc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\rysg
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\qpvc
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\lny
[2014/01/27 18:14:02 | 000,000,000 | ---D | C] -- C:\ProgramData\ljudi
[2014/01/27 17:55:37 | 000,000,000 | ---D | C] -- C:\ProgramData\hys
[2013/10/05 11:09:24 | 000,000,000 | ---D | M] -- C:\ProgramData\DSearchLink
[2014/01/27 18:03:31 | 000,026,572 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.GIF
[2014/01/27 18:03:31 | 000,001,069 | ---- | M] () -- C:\Users\Utilisateur\AppData\Local\HOWDECRYPT.TXT
:REG
[-HKEY_CURRENT_USER\Software\DOECENGK]
[-HKEY_CURRENT_USER\Software\Duuqu]
[-HKEY_LOCAL_MACHINE\Software\Duuqu]
:COMMANDS
[EMPTYTEMP]
[CLEARALLRESTOREPOINT]
[CREATERETOREPOINT]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.
~~
~Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Merci.
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 13:25
28 janv. 2014 à 13:25
Hyper à la bourre pour le boulot... Je reprendrai ça ce soir! Merci en tous cas!
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 13:29
28 janv. 2014 à 13:29
Okay :)
Demain je fais le matin, jeudi/vendredi travaux à la maison et samedi/dimanche je fais les matins aussi :) normalement on terminera ça ce soir mais ...
Tiens, après avoir uploadé le zip chez mak', tu peux passer un coup de MBAM (voir ci-dessous) et ça devrait être good :)
Pour les doc j'espère que tu avais des backup, sinon garde les 1 mois mais m'étonnerait qu'une solution sorte pour eux ...
Bon courage !
MBAM :
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Demain je fais le matin, jeudi/vendredi travaux à la maison et samedi/dimanche je fais les matins aussi :) normalement on terminera ça ce soir mais ...
Tiens, après avoir uploadé le zip chez mak', tu peux passer un coup de MBAM (voir ci-dessous) et ça devrait être good :)
Pour les doc j'espère que tu avais des backup, sinon garde les 1 mois mais m'étonnerait qu'une solution sorte pour eux ...
Bon courage !
MBAM :
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 21:14
28 janv. 2014 à 21:14
Re bonjour,
Bon ça a pris beaucoup de temps... Faut dire que je suis rentrée tard... Voilà les 3 blocs notes que Malwarebyte a sorti... Le premier est flippant, je sais pas si je peux lui faire confiance:
All files including videos, photos and documents on your computer are encrypted.
Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.
In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.
If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:
1. You must download and install this browser https://www.torproject.org/download/
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
IMPORTANT INFORMATION:
Your Personal CODE: 00000001-A15E3227
-------------------------------------------------------------------
Voici le second:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.28.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Utilisateur :: UTILISATEUR-PC [administrateur]
28/01/2014 18:42:16
mbam-log-2014-01-28 (18-42-16).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 379278
Temps écoulé: 2 heure(s), 47 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\_OTL\MovedFiles\10052013_211631\C_Users\Utilisateur\AppData\Roaming\wmdrmdev5.dll (Trojan.Agent.PM) -> Mis en quarantaine et supprimé avec succès.
(fin)
Bon ça a pris beaucoup de temps... Faut dire que je suis rentrée tard... Voilà les 3 blocs notes que Malwarebyte a sorti... Le premier est flippant, je sais pas si je peux lui faire confiance:
All files including videos, photos and documents on your computer are encrypted.
Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.
In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.
If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:
1. You must download and install this browser https://www.torproject.org/download/
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
IMPORTANT INFORMATION:
Your Personal CODE: 00000001-A15E3227
-------------------------------------------------------------------
Voici le second:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.28.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Utilisateur :: UTILISATEUR-PC [administrateur]
28/01/2014 18:42:16
mbam-log-2014-01-28 (18-42-16).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 379278
Temps écoulé: 2 heure(s), 47 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
D:\_OTL\MovedFiles\10052013_211631\C_Users\Utilisateur\AppData\Roaming\wmdrmdev5.dll (Trojan.Agent.PM) -> Mis en quarantaine et supprimé avec succès.
(fin)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 21:16
28 janv. 2014 à 21:16
Non, le premier bloc note c'est encore un "how to decrypt" :D
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 21:17
28 janv. 2014 à 21:17
C'est à dire que si j'avais suivi les instructions, j'aurais à nouveau été infecté?! Le deuxième est le bon?
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 21:19
28 janv. 2014 à 21:19
Ouais
Le second est bon et n'indique plus rien de néfaste :) le truc qu'il a viré c'est la 40aine de OTL.
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Le second est bon et n'indique plus rien de néfaste :) le truc qu'il a viré c'est la 40aine de OTL.
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
28 janv. 2014 à 21:29
28 janv. 2014 à 21:29
Merci beaucoup pour votre temps... J'ai perdu absolument tous mes docs boulot, perso... dans cette histoire donc je vais m'assurer de monter d'un cran niveau sécurité et surtout de sauvegarder mes données ailleurs... :-(
J'avais déjà quitté explorer pour mozilla, installé abp, MSE, je faisais super gaffe niveau sites... Tant pis pour moi...
Merci encore pour tout!
Bonne soirée!
J'avais déjà quitté explorer pour mozilla, installé abp, MSE, je faisais super gaffe niveau sites... Tant pis pour moi...
Merci encore pour tout!
Bonne soirée!
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
28 janv. 2014 à 21:32
28 janv. 2014 à 21:32
Désolé ... mais on n'a pas de solution pour l'instant.
Bonne soirée également.
Bonne soirée également.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
4 févr. 2014 à 09:22
4 févr. 2014 à 09:22
Il est possible de récupérer les documents par les clichés instantannées, voir la finj du topic cryptorbit : https://www.malekal.com/virus-securite/ransomwares/
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
4 févr. 2014 à 14:55
4 févr. 2014 à 14:55
Ha cool :)
Super ça malekal, merci d'être passé sur le topik :)
Super ça malekal, merci d'être passé sur le topik :)
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
6 févr. 2014 à 21:13
6 févr. 2014 à 21:13
Bonsoir,
Merci du tuyau... J'ai réussi à récupérer pas mal de trucs... Pas tout, mais c'est toujours mieux que rien... :)
Merci du tuyau... J'ai réussi à récupérer pas mal de trucs... Pas tout, mais c'est toujours mieux que rien... :)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
6 févr. 2014 à 21:24
6 févr. 2014 à 21:24
N'oublie pas de changer tes mots de passe aussi ils ont été pompés :(
Goyenhiri64
Messages postés
12
Date d'inscription
mardi 28 janvier 2014
Statut
Membre
Dernière intervention
6 février 2014
6 févr. 2014 à 21:50
6 févr. 2014 à 21:50
Ah oui, c'est vrai! Mince! MERCI! :)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
6 févr. 2014 à 21:53
6 févr. 2014 à 21:53
De rien :)
Bonne soirée àplus
Bonne soirée àplus
28 janv. 2014 à 10:44
(continues à suivre mes instructions, la page de malekal c'est uniquement de l'info pour toi)
28 janv. 2014 à 10:53
28 janv. 2014 à 10:55
Mon premier job pour toi sera de décontaminer le PC, ça sert à rien d'essayer de décrypter des trucs qui seront re-cryptés aussi vite :D
28 janv. 2014 à 10:57
Modifié par juju666 le 28/01/2014 à 10:59
Mais difficile de savoir.
Passe à OTL :D