Sujet Précédent Sujet Suivant

How to decrypt....

Fermé
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014 - 29 janv. 2014 à 21:53
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014 - 1 févr. 2014 à 13:39
et oui encore un petit gars qui s'est chopé un virus...
après un nettoyage en règle via Rogue Killer en passant par clé USB, j'ai le bonheur de voir que mes fichiers perso sont bloqués: photos, document word, excell......
En surfant sur le forum j'ai vu que certains d'entre vous pourraient m'aider via un fichier OTL.txt
Voici donc mon lien:

https://pjjoint.malekal.com/files.php?id=20140129_8c8d5b10f10

Si quelqu'un pouvait m'aider ce serait royal!!!!

Merci à tous ceux qui s'y connaissent et partagent leur savoir!
A voir également:

14 réponses

Réponse 1 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
29 janv. 2014 à 21:55
Salut,

Je regarde :)
1
Réponse 2 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
29 janv. 2014 à 22:21
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/01/27 12:09:05 | 000,137,728 | ---- | C] (S0NST4r22rQ7) -- C:\Windows\SysWow64\OqwirkEmdank.dll
[2014/01/27 08:50:55 | 000,150,016 | ---- | C] (j727q52OU9) -- C:\ProgramData\OqwirkEmdank.dll
[2014/01/29 17:01:08 | 000,000,000 | ---D | C] -- C:\ProgramData\ippnj
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\rmmrqr
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\kdmubr
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\fdgww
[2014/01/29 17:01:00 | 000,000,000 | ---D | C] -- C:\ProgramData\hnei
[2014/01/29 16:31:14 | 000,000,000 | ---D | C] -- C:\ProgramData\ukqjttg
[2011/06/17 09:25:42 | 000,098,887 | -HS- | C] (FLASH ) -- C:\ProgramData\msfmqh.exe
[2009/06/16 02:30:42 | 000,098,887 | -HS- | C] (FLASH ) -- C:\ProgramData\msozxlid.exe
[2009/06/16 02:30:42 | 000,085,545 | -HS- | C] (FLASH ) -- C:\ProgramData\mskulu.exe
[2014/01/29 16:44:07 | 000,026,572 | ---- | M] () -- C:\ProgramData\HOWDECRYPT.GIF
[2014/01/29 16:44:07 | 000,001,331 | ---- | M] () -- C:\ProgramData\HOWDECRYPT.HTM
[2014/01/27 12:09:05 | 000,137,728 | ---- | M] (S0NST4r22rQ7) -- C:\Windows\SysWow64\OqwirkEmdank.dll
[2014/01/27 08:51:37 | 000,077,264 | ---- | M] () -- C:\Windows\SysNative\drivers\17e2782d72434eda.sys
[2014/01/27 08:50:55 | 000,150,016 | ---- | M] (j727q52OU9) -- C:\ProgramData\OqwirkEmdank.dll
[2014/01/29 16:58:01 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\Documents\HOWDECRYPT.GIF
[2014/01/29 16:58:01 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\Documents\HOWDECRYPT.HTM
[2014/01/29 16:55:45 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\Desktop\HOWDECRYPT.GIF
[2014/01/29 16:55:45 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\Desktop\HOWDECRYPT.HTM
[2014/01/29 16:45:06 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.GIF
[2014/01/29 16:45:06 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.HTM
[2014/01/29 16:45:05 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\HOWDECRYPT.GIF
[2014/01/29 16:45:05 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\HOWDECRYPT.HTM
[2011/06/17 09:25:42 | 000,150,528 | -HS- | C] () -- C:\ProgramData\ms50442E7B.dat
O29:[b]64bit:/b - HKLM SecurityProviders - (OqwirkEmdank.dll) - C:\Windows\SysWow64\OqwirkEmdank.dll (S0NST4r22rQ7)
O29 - HKLM SecurityProviders - (OqwirkEmdank.dll) - C:\Windows\SysWow64\OqwirkEmdank.dll (S0NST4r22rQ7)
:Commands
[reboot]

* poste le rapport ici

~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.



puis Désinstalle :
McAfee Security Scan
Spybot
servent à rien.
1
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
29 janv. 2014 à 23:02
par contre quand j'envoie le fichier c:\MovedFiles.zip sur la page demandée on me répond que le fichier choisi est invalide pourtant celui qui a été créé et il ne pèse que 2Mo54
0
Réponse 3 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 janv. 2014 à 19:21
donne le rapport OTL par pjjoint.
1
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 19:42
https://pjjoint.malekal.com/files.php?id=20140130_l8w9o9l8i12

j'avais oublié de fonctionner ainsi... pardon...
0
Réponse 4 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 janv. 2014 à 21:00
ca commence à être mieux.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/01/29 20:53:36 | 000,077,784 | ---- | M] () -- C:\Windows\SysNative\drivers\4c08bc82a66992eb.sys
[2014/01/27 08:51:37 | 000,077,264 | ---- | M] () -- C:\Windows\SysNative\drivers\17e2782d72434eda.sys


* poste le rapport ici


Change tous tes mots de passe.


Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.


1
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 22:33
scan toujours en cours et déjà 9 malware trouvés.... pas terrible tout ça...
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 22:34
28...
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 22:35
34. c'est plus un ordi c'est un centre bactériologique!!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
29 janv. 2014 à 22:17
J'ai vu que sur un autre message un utilisateur utilisait "restaurer les versions précédentes". pour ma part ça fonctionne mais c'est long de reprendre chaque photo une par une surtout quand on a des enfants qu'on bombarde de photos.... ta méthode pourra faire gagner du temps ou faut il que je lance carrément une restauration système?
0
Réponse 6 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
29 janv. 2014 à 22:55
========== OTL ==========
C:\Windows\SysWOW64\OqwirkEmdank.dll moved successfully.
C:\ProgramData\OqwirkEmdank.dll moved successfully.
C:\ProgramData\ippnj folder moved successfully.
C:\ProgramData\rmmrqr folder moved successfully.
C:\ProgramData\kdmubr folder moved successfully.
C:\ProgramData\fdgww folder moved successfully.
C:\ProgramData\hnei folder moved successfully.
C:\ProgramData\ukqjttg folder moved successfully.
C:\ProgramData\msfmqh.exe moved successfully.
C:\ProgramData\msozxlid.exe moved successfully.
C:\ProgramData\mskulu.exe moved successfully.
C:\ProgramData\HOWDECRYPT.GIF moved successfully.
C:\ProgramData\HOWDECRYPT.HTM moved successfully.
File C:\Windows\SysWow64\OqwirkEmdank.dll not found.
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.
File C:\ProgramData\OqwirkEmdank.dll not found.
C:\Users\Baptiste portable\Documents\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\Documents\HOWDECRYPT.HTM moved successfully.
File C:\Users\Baptiste portable\Desktop\HOWDECRYPT.GIF not found.
File C:\Users\Baptiste portable\Desktop\HOWDECRYPT.HTM not found.
C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.HTM moved successfully.
C:\Users\Baptiste portable\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\HOWDECRYPT.HTM moved successfully.
C:\ProgramData\ms50442E7B.dat moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:OqwirkEmdank.dll deleted successfully.
File C:\Windows\SysWow64\OqwirkEmdank.dll not found.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.69.0 log created on 01292014_224138

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 7 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
29 janv. 2014 à 23:12
et maintenant il y a autre chose à faire ou cela signifie-t-il que mon ordi est clean?
y a-t-il des antivirus vraiment bien actuellement pour se protéger à l'avenir?
0
Réponse 8 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 janv. 2014 à 07:29
tu peux envoyer le fichier zip par mail a spamhere-@wanadoo.fr


refais un scan OTL et donne le rapport pour voir :)
0
Réponse 9 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 19:24
Voici pour le dernier rapport demandé. J'espère que les nouvelles sont bonnes....
Que dois je faire des fichiers mis en quarantaine par Rogue Killer?

HKEY_current_user........ et autres du même genre
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 janv. 2014 à 19:56
déjà je te remercie pour le mail avec les fichiers.
J'en ai récup d'autres en partant de cela, ballourdé tout aux antivirus.
0
Réponse 10 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 21:57
rapport otl après correction

========== OTL ==========
File C:\Windows\SysNative\drivers\4c08bc82a66992eb.sys not found.
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.69.0 log created on 01302014_215043

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 11 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
30 janv. 2014 à 23:02
Pire que tout! Après avoir fini le scan j'ai suivi le conseil et ai corrigé les problèmes. Ensuite le logiciel m'a dit de redémarrer pour valider ce que j'ai fait. Mais maintenant je ne plus allumer mon ordi! Il me demande toujours si je veux démarrer normalement ou démarrer en corrigeant les problèmes et quel que soit mon choix ça revient à cette page! À part pleurer je peux faire quelque chose?
0
Réponse 12 / 14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
Modifié par Malekal_morte- le 31/01/2014 à 09:57
Les joies de virer des rootkits.

C'est bien un Windows 7 ?

Si oui :

Lance une restauration du système à partir du menu "réparer mon ordinateur".
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, Réparer mon ordinateur et appuye sur la touche entrée du clavier.
Laisse toi guider.
Aide - voir paragraphe Restaurer mon ordinateur : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847


** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 12:05
OK je regarde ce soir en rentrant du boulot mais de mémoire le logo windows n'apparait jamais et le redémarrage avec réparation ne marche pas non plus. je revois tout ça ce soir et je te tiens au courant.
0
Réponse 13 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 19:16
J'arrive à avoir la possibilité Réparer l'ordi mais ça ne change rien.
Sinon on me propose mode sans échec, sans echec avec réseau, invite de commande, inscrire événements de démarrage dans le journal, activer vidéo basse résolution, dernière configuration connue (option avancée), mode restauration des services d'annuaire, mode debogage, desactiver le redémarrage automatique ou désactiver le contrôle obligatoire des signatures pilotes.
Que choisir et que faire ensuite???
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
31 janv. 2014 à 22:46
restauration.
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 22:55
Restauration des services d'annuaire?!?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
31 janv. 2014 à 22:57
y a pas restauration du système ?
0
Réponse 14 / 14
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 22:58
Ça ne marche pas non plus
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
31 janv. 2014 à 23:05
c'est à dire?
Tu peux être précis parce que les "ça marche pas", ça aide pas des masses.

Sinon invite de commandes et tape rstrui.exe
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 23:18
En fait quoi que je fasse ça m'envoie vers la page proposant redémarrer normalement et redémarrage avec réparation qui ne marche ni l'un ni l'autre et revienne aussi à cette page...
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 23:18
L'invite de commande abouti de même, je ne peux rien taper
0
BatB Messages postés 22 Date d'inscription mercredi 29 janvier 2014 Statut Membre Dernière intervention 1 février 2014
31 janv. 2014 à 23:20
Pas de restauration du système de proposé
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
31 janv. 2014 à 23:22
Alors tu vas être obligé de réinstaller Windows.
0

Discussions similaires

Mb en Mo conversion et différence
CANCUNIO -
T3t3d3m0rt -

100 réponses
Comment passer de .wfp a mp4
Lucasribou -
madmyke -

1 réponse
Message au démarrage« Press Esc in 1 second to skip startup.nsh " msi porta
Byrhnir -
Pod2G -

18 réponses
Comment se débarrasser de Welcome to Nginx! ?
polinek -
Kohane -

18 réponses
Que signifie 1 To
pouet pouet -
Mapie -

10 réponses