How to decrypt....

BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention   -  
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention   -
et oui encore un petit gars qui s'est chopé un virus...
après un nettoyage en règle via Rogue Killer en passant par clé USB, j'ai le bonheur de voir que mes fichiers perso sont bloqués: photos, document word, excell......
En surfant sur le forum j'ai vu que certains d'entre vous pourraient m'aider via un fichier OTL.txt
Voici donc mon lien:

https://pjjoint.malekal.com/files.php?id=20140129_8c8d5b10f10

Si quelqu'un pouvait m'aider ce serait royal!!!!

Merci à tous ceux qui s'y connaissent et partagent leur savoir!
A voir également:

14 réponses

Réponse 1 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Je regarde :)
1
Réponse 2 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/01/27 12:09:05 | 000,137,728 | ---- | C] (S0NST4r22rQ7) -- C:\Windows\SysWow64\OqwirkEmdank.dll
[2014/01/27 08:50:55 | 000,150,016 | ---- | C] (j727q52OU9) -- C:\ProgramData\OqwirkEmdank.dll
[2014/01/29 17:01:08 | 000,000,000 | ---D | C] -- C:\ProgramData\ippnj
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\rmmrqr
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\kdmubr
[2014/01/29 17:01:01 | 000,000,000 | ---D | C] -- C:\ProgramData\fdgww
[2014/01/29 17:01:00 | 000,000,000 | ---D | C] -- C:\ProgramData\hnei
[2014/01/29 16:31:14 | 000,000,000 | ---D | C] -- C:\ProgramData\ukqjttg
[2011/06/17 09:25:42 | 000,098,887 | -HS- | C] (FLASH ) -- C:\ProgramData\msfmqh.exe
[2009/06/16 02:30:42 | 000,098,887 | -HS- | C] (FLASH ) -- C:\ProgramData\msozxlid.exe
[2009/06/16 02:30:42 | 000,085,545 | -HS- | C] (FLASH ) -- C:\ProgramData\mskulu.exe
[2014/01/29 16:44:07 | 000,026,572 | ---- | M] () -- C:\ProgramData\HOWDECRYPT.GIF
[2014/01/29 16:44:07 | 000,001,331 | ---- | M] () -- C:\ProgramData\HOWDECRYPT.HTM
[2014/01/27 12:09:05 | 000,137,728 | ---- | M] (S0NST4r22rQ7) -- C:\Windows\SysWow64\OqwirkEmdank.dll
[2014/01/27 08:51:37 | 000,077,264 | ---- | M] () -- C:\Windows\SysNative\drivers\17e2782d72434eda.sys
[2014/01/27 08:50:55 | 000,150,016 | ---- | M] (j727q52OU9) -- C:\ProgramData\OqwirkEmdank.dll
[2014/01/29 16:58:01 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\Documents\HOWDECRYPT.GIF
[2014/01/29 16:58:01 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\Documents\HOWDECRYPT.HTM
[2014/01/29 16:55:45 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\Desktop\HOWDECRYPT.GIF
[2014/01/29 16:55:45 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\Desktop\HOWDECRYPT.HTM
[2014/01/29 16:45:06 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.GIF
[2014/01/29 16:45:06 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.HTM
[2014/01/29 16:45:05 | 000,026,572 | ---- | C] () -- C:\Users\Baptiste portable\HOWDECRYPT.GIF
[2014/01/29 16:45:05 | 000,001,331 | ---- | C] () -- C:\Users\Baptiste portable\HOWDECRYPT.HTM
[2011/06/17 09:25:42 | 000,150,528 | -HS- | C] () -- C:\ProgramData\ms50442E7B.dat
O29:[b]64bit:/b - HKLM SecurityProviders - (OqwirkEmdank.dll) - C:\Windows\SysWow64\OqwirkEmdank.dll (S0NST4r22rQ7)
O29 - HKLM SecurityProviders - (OqwirkEmdank.dll) - C:\Windows\SysWow64\OqwirkEmdank.dll (S0NST4r22rQ7)
:Commands
[reboot]

* poste le rapport ici

~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.



puis Désinstalle :
McAfee Security Scan
Spybot
servent à rien.
1
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
par contre quand j'envoie le fichier c:\MovedFiles.zip sur la page demandée on me répond que le fichier choisi est invalide pourtant celui qui a été créé et il ne pèse que 2Mo54
0
Réponse 3 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
donne le rapport OTL par pjjoint.
1
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
https://pjjoint.malekal.com/files.php?id=20140130_l8w9o9l8i12

j'avais oublié de fonctionner ainsi... pardon...
0
Réponse 4 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ca commence à être mieux.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/01/29 20:53:36 | 000,077,784 | ---- | M] () -- C:\Windows\SysNative\drivers\4c08bc82a66992eb.sys
[2014/01/27 08:51:37 | 000,077,264 | ---- | M] () -- C:\Windows\SysNative\drivers\17e2782d72434eda.sys


* poste le rapport ici


Change tous tes mots de passe.


Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.


1
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
scan toujours en cours et déjà 9 malware trouvés.... pas terrible tout ça...
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
28...
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
34. c'est plus un ordi c'est un centre bactériologique!!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai vu que sur un autre message un utilisateur utilisait "restaurer les versions précédentes". pour ma part ça fonctionne mais c'est long de reprendre chaque photo une par une surtout quand on a des enfants qu'on bombarde de photos.... ta méthode pourra faire gagner du temps ou faut il que je lance carrément une restauration système?
0
Réponse 6 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
========== OTL ==========
C:\Windows\SysWOW64\OqwirkEmdank.dll moved successfully.
C:\ProgramData\OqwirkEmdank.dll moved successfully.
C:\ProgramData\ippnj folder moved successfully.
C:\ProgramData\rmmrqr folder moved successfully.
C:\ProgramData\kdmubr folder moved successfully.
C:\ProgramData\fdgww folder moved successfully.
C:\ProgramData\hnei folder moved successfully.
C:\ProgramData\ukqjttg folder moved successfully.
C:\ProgramData\msfmqh.exe moved successfully.
C:\ProgramData\msozxlid.exe moved successfully.
C:\ProgramData\mskulu.exe moved successfully.
C:\ProgramData\HOWDECRYPT.GIF moved successfully.
C:\ProgramData\HOWDECRYPT.HTM moved successfully.
File C:\Windows\SysWow64\OqwirkEmdank.dll not found.
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.
File C:\ProgramData\OqwirkEmdank.dll not found.
C:\Users\Baptiste portable\Documents\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\Documents\HOWDECRYPT.HTM moved successfully.
File C:\Users\Baptiste portable\Desktop\HOWDECRYPT.GIF not found.
File C:\Users\Baptiste portable\Desktop\HOWDECRYPT.HTM not found.
C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\AppData\Local\HOWDECRYPT.HTM moved successfully.
C:\Users\Baptiste portable\HOWDECRYPT.GIF moved successfully.
C:\Users\Baptiste portable\HOWDECRYPT.HTM moved successfully.
C:\ProgramData\ms50442E7B.dat moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:OqwirkEmdank.dll deleted successfully.
File C:\Windows\SysWow64\OqwirkEmdank.dll not found.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.69.0 log created on 01292014_224138

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 7 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
et maintenant il y a autre chose à faire ou cela signifie-t-il que mon ordi est clean?
y a-t-il des antivirus vraiment bien actuellement pour se protéger à l'avenir?
0
Réponse 8 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
tu peux envoyer le fichier zip par mail a spamhere-@wanadoo.fr


refais un scan OTL et donne le rapport pour voir :)
0
Réponse 9 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Voici pour le dernier rapport demandé. J'espère que les nouvelles sont bonnes....
Que dois je faire des fichiers mis en quarantaine par Rogue Killer?

HKEY_current_user........ et autres du même genre
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
déjà je te remercie pour le mail avec les fichiers.
J'en ai récup d'autres en partant de cela, ballourdé tout aux antivirus.
0
Réponse 10 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
rapport otl après correction

========== OTL ==========
File C:\Windows\SysNative\drivers\4c08bc82a66992eb.sys not found.
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.69.0 log created on 01302014_215043

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysNative\drivers\17e2782d72434eda.sys scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 11 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Pire que tout! Après avoir fini le scan j'ai suivi le conseil et ai corrigé les problèmes. Ensuite le logiciel m'a dit de redémarrer pour valider ce que j'ai fait. Mais maintenant je ne plus allumer mon ordi! Il me demande toujours si je veux démarrer normalement ou démarrer en corrigeant les problèmes et quel que soit mon choix ça revient à cette page! À part pleurer je peux faire quelque chose?
0
Réponse 12 / 14
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Les joies de virer des rootkits.

C'est bien un Windows 7 ?

Si oui :

Lance une restauration du système à partir du menu "réparer mon ordinateur".
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, Réparer mon ordinateur et appuye sur la touche entrée du clavier.
Laisse toi guider.
Aide - voir paragraphe Restaurer mon ordinateur : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847


** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
OK je regarde ce soir en rentrant du boulot mais de mémoire le logo windows n'apparait jamais et le redémarrage avec réparation ne marche pas non plus. je revois tout ça ce soir et je te tiens au courant.
0
Réponse 13 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
J'arrive à avoir la possibilité Réparer l'ordi mais ça ne change rien.
Sinon on me propose mode sans échec, sans echec avec réseau, invite de commande, inscrire événements de démarrage dans le journal, activer vidéo basse résolution, dernière configuration connue (option avancée), mode restauration des services d'annuaire, mode debogage, desactiver le redémarrage automatique ou désactiver le contrôle obligatoire des signatures pilotes.
Que choisir et que faire ensuite???
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
restauration.
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Restauration des services d'annuaire?!?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
y a pas restauration du système ?
0
Réponse 14 / 14
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Ça ne marche pas non plus
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
c'est à dire?
Tu peux être précis parce que les "ça marche pas", ça aide pas des masses.

Sinon invite de commandes et tape rstrui.exe
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
En fait quoi que je fasse ça m'envoie vers la page proposant redémarrer normalement et redémarrage avec réparation qui ne marche ni l'un ni l'autre et revienne aussi à cette page...
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
L'invite de commande abouti de même, je ne peux rien taper
0
BatB Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Pas de restauration du système de proposé
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Alors tu vas être obligé de réinstaller Windows.
0

Discussions similaires

Comment passer de .wfp a mp4
Lucasribou -
madmyke -

1 réponse
Press DEL to enter SETUP
ldjaps -
Marwan -

36 réponses
Page bleue : your PC ran into a problem and needs to restart
pitchalou -
Malekal_morte- -

2 réponses
différence entre Mo et MB
nathalie -
Phase2 -

33 réponses
Logiciel honestech vhs to dvd 3.0 se
Audrey -
glandu -

2 réponses