besoin d'aide avec HOWDECRYPT Résolu/Fermé

Question

Bonjour, un de plus avec une infection HOWDECRYPT, j'attend l'analyse de OTL pour vous la joindre, en espérant de l'aide, par contre j'ai également le problème "HOWDECRYPT" sur mes fichiers d'un disque dur externe comment faire pour le désinfecter également;
Merci d'avance

Malekal_morte- · Answer

Salut

Donne le rapport OTL par http://pjjoint.malekal.com

pepito0910 · Answer

Voila

https://pjjoint.malekal.com/files.php?id=20140220_10k7p11k7r5

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 O4 - HKLM..\Run: [zabjphbqnuvngqsy] C:\Windows\System32egsvr32.exe /s C:\Windows\system32\gwvriqkopajt.dll File not found  
 O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\Run: [Crypto processor] C:\Users\KNY~1\AppData\Local\Temp\003f88fe.exe () 
 O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe () 
  O4 - HKU\.DEFAULT..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe () 
 O4 - HKU\S-1-5-18..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe ()
 O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\RunOnce: [dgk86p] C:\ProgramData
yyrvd	uqvdtf.exe (VolDev Software) 
O20 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000 Winlogon: Shell - (C:\Users\kény\AppData\Roaming\skype.dat) - File not found 
 O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)  
 O20 - HKU\.DEFAULT Winlogon: Shell - (C:\ProgramData\oyyscuv\odataq.exe) - C:\ProgramData\oyyscuv\odataq.exe () 
 O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\ProgramData\oyyscuv\odataq.exe) - C:\ProgramData\oyyscuv\odataq.exe () 
 [2014/01/27 17:38:36 | 000,000,000 | ---D | C] -- C:\ProgramData\jvugc 
 [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\qxtot 
 [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\qouvwj 
 [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\hmkta 
 [2014/01/27 17:38:29 | 000,000,000 | ---D | C] -- C:\ProgramData\bfo 
 [2014/01/27 17:06:48 | 000,000,000 | ---D | C] -- C:\ProgramData\lkeorrj 
  [2014/02/20 19:59:35 | 000,000,000 | ---D | C] -- C:\ProgramData
yyrvd 
 [2014/02/20 19:59:35 | 000,000,000 | ---D | C] -- C:\ProgramData\dsx 
 [2014/02/20 19:59:32 | 000,000,000 | ---D | C] -- C:\ProgramData\jpdltt 
 [2014/02/20 11:28:25 | 000,000,000 | ---D | C] -- C:\ProgramData\oyyscuv 
 [2014/01/30 11:18:12 | 000,000,000 | ---D | C] -- C:\ProgramData\kojllk 
 [2014/01/30 11:18:11 | 000,000,000 | ---D | C] -- C:\ProgramData\spx 
 [2014/01/30 11:18:03 | 000,000,000 | ---D | C] -- C:\ProgramData\psywtqg 

* poste le rapport ici 
 

~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


~~


Un nettoyage AdwCleaner (environ 10/15min) : 
======================================
Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau. 
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer] 

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


~~


Scan Malwarebytes :
===================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

pepito0910 · Answer

Première partie effectuée

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\zabjphbqnuvngqsy deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\Run\Crypto processor deleted successfully.
C:\Users\KNY~1\AppData\Local\Temp\003f88fe.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\26f8sc deleted successfully.
C:\ProgramData\kojllk\diabrha.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\26f8sc deleted successfully.
File C:\ProgramData\kojllk\diabrha.exe not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\26f8sc not found.
File C:\ProgramData\kojllk\diabrha.exe not found.
Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\dgk86p deleted successfully.
C:\ProgramData
yyrvd	uqvdtf.exe moved successfully.
Registry delete failed. HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\kény\AppData\Roaming\skype.dat scheduled to be deleted on reboot.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VMApplet:SystemPropertiesPerformance.exe deleted successfully.
File move failed. C:\Windows\System32\SystemPropertiesPerformance.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\ProgramData\oyyscuv\odataq.exe deleted successfully.
C:\ProgramData\oyyscuv\odataq.exe moved successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\ProgramData\oyyscuv\odataq.exe deleted successfully.
File C:\ProgramData\oyyscuv\odataq.exe not found.
C:\ProgramData\jvugc folder moved successfully.
C:\ProgramData\qxtot folder moved successfully.
C:\ProgramData\qouvwj folder moved successfully.
C:\ProgramData\hmkta folder moved successfully.
C:\ProgramData\bfo folder moved successfully.
C:\ProgramData\lkeorrj folder moved successfully.
Folder move failed. C:\ProgramData
yyrvd scheduled to be moved on reboot.
C:\ProgramData\dsx folder moved successfully.
C:\ProgramData\jpdltt folder moved successfully.
C:\ProgramData\oyyscuv folder moved successfully.
Folder move failed. C:\ProgramData\kojllk scheduled to be moved on reboot.
C:\ProgramData\spx folder moved successfully.
C:\ProgramData\psywtqg folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 02212014_095003

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\SystemPropertiesPerformance.exe scheduled to be moved on reboot.
C:\ProgramData
yyrvd folder moved successfully.
C:\ProgramData\kojllk folder moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\kény\AppData\Roaming\skype.dat deleted successfully.

pepito0910 · Answer

impossible d'effectuer la deuxième étape:
"Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le. 
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR. 
Dessus, fais : Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier MovedFiles.zip 
"

Car apres envoyer vers dossier compressé cela me marque:
"fichier introuvable ou lecture non autorisée"
j'appuie sur OK et le fichier ZIP disparait

pepito0910 · Answer

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.21.06

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
kény :: PCNEFERTITI [administrateur]

2/21/2014 14:19:08
mbam-log-2014-02-21 (14-19-08).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 231471
Temps écoulé: 14 minute(s), 24 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 4
HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252} (PUP.Optional.GreatSaver.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\MediaPlayerV1alpha851 (PUP.Optional.MediaPlayerAlpha.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\TDSS (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\UpdateNf (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Données: explorer.exe,C:\Users\kény\AppData\Roaming\skype.dat -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@MediaPlayerV1alpha851.net (PUP.Optional.MediaPlayerAlpha.A) -> Données: C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha851\ff -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.Inject.ED) -> Mauvais: (OmwirvExpavy.dll) Bon: () -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 18
C:\Windows\System32\OMWIRVEXPAVY.DLL (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\msfrvu.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\msjlrwe.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\mskvafmu.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\msmdaibi.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\mspoouw.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\mswdxleak.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\Local Settings\Temp\msaaluai.scr (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\Local Settings\Temp\msiformao.pif (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\oyyscuv\odataq.exe (Trojan.Agent.ZT) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\Google Services\dtdasndku.exe (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
C:\PROGRAMDATA\jmmy\ivjdx.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\kény\AppData\Roaming\Adobe\acupx217.dll (Trojan.Agent.ED) -> Suppression au redémarrage.
C:\$RECYCLE.BIN\S-1-5-21-3016743959-2249549722-1569044802-1000\$R9LV7Z5.zip (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\kény\AppData\Local\Temp\Setup2.exe (PUP.Optional.MediaPlayerAlpha.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\6ad56c3.msi (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\api.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\TDSSfopt.dll (Rootkit.TDSS) -> Mis en quarantaine et supprimé avec succès.

(fin)

Malekal_morte- · Answer

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

pepito0910 · Answer

https://pjjoint.malekal.com/files.php?id=20140221_j12m6j12h9s5

Malekal_morte- · Answer

refais un scan OTL comme la première fois et donne le rapport :)

pepito0910 · Answer

OTL bloque (ne repond pas) quelque temps apres le démarage et ça malgrés plusieurs tentatives.
Il fallait bien mettre sous personnalisation le texte plus bas?
Et pour mon disque dur externe, une fois mon ordi désinfecté je pourrai le rebrancher malgrés que mes dossiers présentent des documents Howdecrypt?

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\consrv.dll 
%systemroot%\system32\*.dll /lockedfiles 
%windir%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
services.exe 
wininit.exe 
/md5stop 
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s 
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s 
CREATERESTOREPOINT 
nslookup https://www.google.fr/?gws_rd=ssl /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs

pepito0910 · Answer

https://pjjoint.malekal.com/files.php?id=20140221_i12j9i14o5x11

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 [2014/02/21 09:51:31 | 000,000,000 | ---D | C] -- C:\ProgramData\lkeorrj 
 [2014/02/21 09:51:27 | 000,000,000 | ---D | C] -- C:\ProgramData\spx 
 [2014/02/21 09:51:13 | 000,000,000 | ---D | C] -- C:\ProgramData\dsx 
 [2014/02/21 09:50:44 | 000,000,000 | ---D | C] -- C:\ProgramData\oyyscuv 
 [2014/02/21 09:50:31 | 000,000,000 | ---D | C] -- C:\ProgramData\jvugc 
 [2014/01/27 16:49:35 | 000,000,000 | -HSD | C] -- C:\ProgramData\Google Services 
  [2014/01/27 15:42:16 | 000,167,424 | ---- | M] (OpenOffice.org) -- C:\Users\KNY~1\AppData\Local\Temp\msi54335.exe 
 [2014/01/27 15:42:24 | 000,102,400 | ---- | M] (OpenOffice.org) -- C:\Users\KNY~1\AppData\Local\Temp\msi61745.exe 
  O4 - HKU\.DEFAULT..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe File not found 
 O4 - HKU\.DEFAULT..\RunOnce: [dgk86p] C:\ProgramData
yyrvd	uqvdtf.exe File not found 
 O4 - HKU\S-1-5-18..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe File not found 
 O4 - HKU\S-1-5-18..\RunOnce: [dgk86p] C:\ProgramData
yyrvd	uqvdtf.exe File not found 
O20 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000 Winlogon: Shell - (C:\Users\kény\AppData\Roaming\skype.dat) - File not found 
 
 
* poste le rapport ici 

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

pepito0910 · Answer

========== OTL ==========
C:\ProgramData\lkeorrj folder moved successfully.
C:\ProgramData\spx folder moved successfully.
C:\ProgramData\dsx folder moved successfully.
C:\ProgramData\oyyscuv folder moved successfully.
C:\ProgramData\jvugc folder moved successfully.
C:\ProgramData\Google Services folder moved successfully.
C:\Users\KNY~1\AppData\Local\Temp\msi54335.exe moved successfully.
C:\Users\KNY~1\AppData\Local\Temp\msi61745.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\26f8sc deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\dgk86p deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\26f8sc not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\dgk86p not found.
Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\kény\AppData\Roaming\skype.dat deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 02212014_162326

Malekal_morte- · Answer

Bon ça devrait aller côté infection.
il faudrait que tu changes tous tes mots de passe car ils ont été volés.

Cette infection va par de fausses proposition mise à jour Flash.
https://www.malekal.com/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/
Quand on te propose une mise à jour Flash avec un fichier à ouvrir au bout du compte, faut refuser.
Virus assuré.

Pour la récupération des fichiers, tente ça :
https://forum.malekal.com/viewtopic.php?t=46739&start=
http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.zip

pepito0910 · Answer

Et bien un grand merci, tu me confirme je peux rebrancher mon disque dur externe sur l'ordi, même si il y a les fichiers howdecrypt et sans avoir peur d'etre a nouveau infecté?
Pour info Anti-CryptorBit semble fonctionner pour moi (photos jpg), je vais voir si cela fonctionne pour toutes les photos.

 Un grand MERCI pour ta gentillesse et ton secours!

Besoin d'aide avec HOWDECRYPT

15 réponses