BitCrypt
Fermé
BitCrypt
Messages postés
6
Date d'inscription
lundi 10 février 2014
Statut
Membre
Dernière intervention
14 février 2014
-
10 févr. 2014 à 13:20
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 févr. 2015 à 17:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 févr. 2015 à 17:47
9 réponses
pavassist
Messages postés
2
Date d'inscription
mardi 18 mars 2014
Statut
Membre
Dernière intervention
28 juillet 2015
4
Modifié par pavassist le 18/03/2014 à 08:47
Modifié par pavassist le 18/03/2014 à 08:47
Bonjour.
Ayant eu une personne de mon entourage qui a été confrontée à ce problème, j'ai suivi les instructions données sur ce forum : www.bleepingcomputer.com/forums/t/526536/bitcrypt-virus-help-me et j'ai réussi à déverrouiller les fichiers qui ont l'extension .bitcrypt.
Le processus se déroule en 2 phases :
1. casser la clé de cryptage : Cela demande une bonne connaissance informatique en utilisant une machine Linux de puissance importante (4 coeurs mini) et en faisant tourner un programme de décryptage en python pendant 2 jours environ.
Pour avoir la puissance nécessaire sans investir, j'ai utilisé une machine hébergée chez un prestataire de cloud.
2. Utiliser le programme BitCrypt_Unlocker.exe décrit sur la page https://www.bleepingcomputer.com/forums/t/526536/bitcrypt-ransomware-support-and-help-topic/page-9
Si vous avez des questions sur ce sujet n'hésitez pas à me solliciter de manière directe sur pavassist@gmail.com je me ferai un plaisir d'y répondre. Je peux même faire tourner le programme de recherche de clé de cryptage sur les serveurs que j'ai montés moyennant une indemnisation de mes frais de serveur.
Ayant eu une personne de mon entourage qui a été confrontée à ce problème, j'ai suivi les instructions données sur ce forum : www.bleepingcomputer.com/forums/t/526536/bitcrypt-virus-help-me et j'ai réussi à déverrouiller les fichiers qui ont l'extension .bitcrypt.
Le processus se déroule en 2 phases :
1. casser la clé de cryptage : Cela demande une bonne connaissance informatique en utilisant une machine Linux de puissance importante (4 coeurs mini) et en faisant tourner un programme de décryptage en python pendant 2 jours environ.
Pour avoir la puissance nécessaire sans investir, j'ai utilisé une machine hébergée chez un prestataire de cloud.
2. Utiliser le programme BitCrypt_Unlocker.exe décrit sur la page https://www.bleepingcomputer.com/forums/t/526536/bitcrypt-ransomware-support-and-help-topic/page-9
Si vous avez des questions sur ce sujet n'hésitez pas à me solliciter de manière directe sur pavassist@gmail.com je me ferai un plaisir d'y répondre. Je peux même faire tourner le programme de recherche de clé de cryptage sur les serveurs que j'ai montés moyennant une indemnisation de mes frais de serveur.
Baijoub
Messages postés
4
Date d'inscription
mardi 11 février 2014
Statut
Membre
Dernière intervention
13 février 2014
1
11 févr. 2014 à 09:38
11 févr. 2014 à 09:38
Bonjour nous venons d avoir exactement le même problème et le même jour (photos pdf ... cryptés) et aussi sur vista... votre problème est il resolu? Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
11 févr. 2014 à 09:40
11 févr. 2014 à 09:40
Salut,
Créé ton sujet et donne le rapport OTL.
Créé ton sujet et donne le rapport OTL.
Baijoub
Messages postés
4
Date d'inscription
mardi 11 février 2014
Statut
Membre
Dernière intervention
13 février 2014
1
Modifié par Baijoub le 13/02/2014 à 10:13
Modifié par Baijoub le 13/02/2014 à 10:13
sujet Bitcrypt créé et liens OTL postés.
dans l'attente d'une réponse .
Merci. :)
dans l'attente d'une réponse .
Merci. :)
Bonjour
J'ai le meme probleme
Si quelq un a la solution je suis preneur
http://pjjoint.malekal.com/files.php?id=20140222_y149r9m13w13
http://pjjoint.malekal.com/files.php?id=20140222_s118t11m8j6
J'ai le meme probleme
Si quelq un a la solution je suis preneur
http://pjjoint.malekal.com/files.php?id=20140222_y149r9m13w13
http://pjjoint.malekal.com/files.php?id=20140222_s118t11m8j6
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
10 févr. 2014 à 13:27
10 févr. 2014 à 13:27
Salut,
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
BitCrypt
Messages postés
6
Date d'inscription
lundi 10 février 2014
Statut
Membre
Dernière intervention
14 février 2014
11 févr. 2014 à 12:12
11 févr. 2014 à 12:12
ok merci je vais faire une analyse avec OTL par contre je supose que le male est déja fait car tout les dossiers crypter vont le rester car BitCrypt nest pas un virus mais un logiciel de cryptage tres puissent qui a été untiliser avec une intention malicieuse par des hameçonneurs il passe par Tor pour ne pas ce faire retracer et nous demande de payer 241$ pour avoir la cle de décryptage
encore un énorme MERCI pour ta réponce et si possible dit moi si je me trompe !
encore un énorme MERCI pour ta réponce et si possible dit moi si je me trompe !
BitCrypt
Messages postés
6
Date d'inscription
lundi 10 février 2014
Statut
Membre
Dernière intervention
14 février 2014
11 févr. 2014 à 12:15
11 févr. 2014 à 12:15
p.s. comme je travaille de nuit désoler pour les délais
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
11 févr. 2014 à 17:25
11 févr. 2014 à 17:25
pas de soucis :)
Pour les docs, y a peut-être un petit espoir, mais faut s'assurer que le PC n'est plus infecté avant.
Pour les docs, y a peut-être un petit espoir, mais faut s'assurer que le PC n'est plus infecté avant.
BitCrypt
Messages postés
6
Date d'inscription
lundi 10 février 2014
Statut
Membre
Dernière intervention
14 février 2014
11 févr. 2014 à 21:49
11 févr. 2014 à 21:49
ok je ne peut plus rien installer sa dit quil y a des dll manquent
BitCrypt
Messages postés
6
Date d'inscription
lundi 10 février 2014
Statut
Membre
Dernière intervention
14 février 2014
11 févr. 2014 à 21:59
11 févr. 2014 à 21:59
j'ai un autre pc avec vista je vais voir si je peut trouver les dll manquent et les remplacer
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Même problème...
Je crains de perdre toute les photos des enfants (naissances, anniversaires, noël, vacances...)
voici les liens des rapports :
http://pjjoint.malekal.com/files.php?id=OTL_20140211_c11t8t5c8m9
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140211_r10y9b12l15t5
Comment savoir si l'ordi est encore infecté après le scan OTL ??
est-il possible de décrypter les fichiers en téléchargeant la vrai appli Bitcrypt ??
Je crains de perdre toute les photos des enfants (naissances, anniversaires, noël, vacances...)
voici les liens des rapports :
http://pjjoint.malekal.com/files.php?id=OTL_20140211_c11t8t5c8m9
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140211_r10y9b12l15t5
Comment savoir si l'ordi est encore infecté après le scan OTL ??
est-il possible de décrypter les fichiers en téléchargeant la vrai appli Bitcrypt ??
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 13/02/2014 à 08:31
Modifié par Malekal_morte- le 13/02/2014 à 08:31
Salut,
y a bcp de programmes parasites.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
SRV - [2014/01/02 08:33:40 | 000,499,856 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IIE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays U
IE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IIE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
CHR - homepage: http://www.isearch123.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
CHR - Extension: No name found = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.4_0\
CHR - Extension: Smart Display = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [Bitcomint] C:\Users\Francis\AppData\Roaming\0YGOA.exe File not found
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [com.apple.dav.bookmarks.daemon] C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe (Apple Inc.)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [hyipjrao] C:\ProgramData\hyipjrao.dat (Interstar Technologies)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [sqlfjr] C:\ProgramData\sqlfjr.dat (Microsoft Corporation)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [treasure] C:\ProgramData\treasure\qfoqkotiu.exe ()
[2008/12/09 16:23:13 | 000,068,080 | RHS- | C] () -- C:\Users\Francis\AppData\Roaming\jabconf32.exe
:files
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
y a bcp de programmes parasites.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
SRV - [2014/01/02 08:33:40 | 000,499,856 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IIE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays U
IE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IIE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
CHR - homepage: http://www.isearch123.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
CHR - Extension: No name found = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.4_0\
CHR - Extension: Smart Display = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [Bitcomint] C:\Users\Francis\AppData\Roaming\0YGOA.exe File not found
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [com.apple.dav.bookmarks.daemon] C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe (Apple Inc.)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [hyipjrao] C:\ProgramData\hyipjrao.dat (Interstar Technologies)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [sqlfjr] C:\ProgramData\sqlfjr.dat (Microsoft Corporation)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [treasure] C:\ProgramData\treasure\qfoqkotiu.exe ()
[2008/12/09 16:23:13 | 000,068,080 | RHS- | C] () -- C:\Users\Francis\AppData\Roaming\jabconf32.exe
:files
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
BitCrypt2
Messages postés
10
Date d'inscription
jeudi 20 février 2014
Statut
Membre
Dernière intervention
8 mai 2014
20 févr. 2014 à 09:27
20 févr. 2014 à 09:27
bonjour malekal
voila le lien de ma pjjoint : https://pjjoint.malekal.com/files.php?id=OTL_20140220_8g15h14v15z13
peux-tu m'aider stp ? :D
voila le lien de ma pjjoint : https://pjjoint.malekal.com/files.php?id=OTL_20140220_8g15h14v15z13
peux-tu m'aider stp ? :D
hul09
Messages postés
10
Date d'inscription
mardi 11 février 2014
Statut
Membre
Dernière intervention
13 mai 2014
11 févr. 2014 à 22:05
11 févr. 2014 à 22:05
Bonsoir
Avez vous trouvé une solution pour venir à bout de bitcypt ? Merci car j'ai le même pb
Avez vous trouvé une solution pour venir à bout de bitcypt ? Merci car j'ai le même pb
hul09
Messages postés
10
Date d'inscription
mardi 11 février 2014
Statut
Membre
Dernière intervention
13 mai 2014
12 févr. 2014 à 23:24
12 févr. 2014 à 23:24
Bonsoir
Ci-dessous le rapport OTL. J'attends avec espoir une solution. Merci par avance
https://pjjoint.malekal.com/files.php?id=OTL_20140212_k13y14n13b15d12
Ci-dessous le rapport OTL. J'attends avec espoir une solution. Merci par avance
https://pjjoint.malekal.com/files.php?id=OTL_20140212_k13y14n13b15d12
bonjour,
même problème, avec un code différent "DRU..."
Si vous avez des solutions, je suis preneur.
J'ai recupéré une adresse IP, mais je pense qu'avec TOR c'est cuit ! !
même problème, avec un code différent "DRU..."
Si vous avez des solutions, je suis preneur.
J'ai recupéré une adresse IP, mais je pense qu'avec TOR c'est cuit ! !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
14 févr. 2014 à 14:40
14 févr. 2014 à 14:40
Essaye ça : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.exe
Shadow Explorer permet aussi de récupérer les fichiers des "versions précédentes" : https://www.shadowexplorer.com/downloads.html
Shadow Explorer permet aussi de récupérer les fichiers des "versions précédentes" : https://www.shadowexplorer.com/downloads.html
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
15 févr. 2014 à 13:22
15 févr. 2014 à 13:22
Malheureusement pour le moment, y a pas de solution.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
17 févr. 2014 à 21:18
17 févr. 2014 à 21:18
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
21 févr. 2014 à 14:19
21 févr. 2014 à 14:19
Apparemment les auteurs de BitCrypt se sont chier dessus.
J'ai mis à jour la page cryptorbit pour en parler : https://www.malekal.com/virus-securite/ransomwares/
J'ai mis à jour la page cryptorbit pour en parler : https://www.malekal.com/virus-securite/ransomwares/
BitCrypt2
Messages postés
10
Date d'inscription
jeudi 20 février 2014
Statut
Membre
Dernière intervention
8 mai 2014
23 févr. 2014 à 10:29
23 févr. 2014 à 10:29
ça veut dire que l'on peut récupérer les documents corrompus ? (désolé je suis toute nouvelle dans le domaine de virus)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
23 févr. 2014 à 11:53
23 févr. 2014 à 11:53
il n'y a pas d'autres solutions que :
- les versions antérieures : https://forum.malekal.com/viewtopic.php?t=46739&start=
- pixRecovery
- le script que je donne à la fin de ma page cryptorbit : https://www.malekal.com/virus-securite/ransomwares/
- les versions antérieures : https://forum.malekal.com/viewtopic.php?t=46739&start=
- pixRecovery
- le script que je donne à la fin de ma page cryptorbit : https://www.malekal.com/virus-securite/ransomwares/
BitCrypt2
Messages postés
10
Date d'inscription
jeudi 20 février 2014
Statut
Membre
Dernière intervention
8 mai 2014
25 févr. 2014 à 08:01
25 févr. 2014 à 08:01
t'a un lien fiable et sans virus pour télécharger PixRecovery stp ? :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
25 févr. 2014 à 08:32
25 févr. 2014 à 08:32
BitCrypt2
Messages postés
10
Date d'inscription
jeudi 20 février 2014
Statut
Membre
Dernière intervention
8 mai 2014
25 févr. 2014 à 09:24
25 févr. 2014 à 09:24
ils disent que ma version de windows est incompatible avec le logiciel pourtant j'ai windows 7
t'a un autre lien ?
t'a un autre lien ?
13 mai 2014 à 23:13
5 févr. 2015 à 16:51
possible que tu me guide mon ami car je suis perdus
merci
Modifié par Malekal_morte- le 5/02/2015 à 17:47
C'est corrigé depuis et le cassage n'est plus possible.
BytCrypt est une ancienne variante de CryptoDefense / Cryptowall.