Infection Ransomware How_Decrypt
Résolu/Fermé
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
-
8 avril 2014 à 09:02
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014 - 8 avril 2014 à 22:44
CORRUE Messages postés 15 Date d'inscription lundi 7 avril 2014 Statut Membre Dernière intervention 8 avril 2014 - 8 avril 2014 à 22:44
A voir également:
- Infection Ransomware How_Decrypt
- Protection contre les ransomware windows 10 - Guide
- Ransomware - Accueil - Virus
- Malwares sur Mac : attention à ces nouvelles menaces sur macOS - Accueil - Virus
- Protection ransomware - Guide
- Ransomware README.HTML - Forum Virus
19 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 09:06
8 avril 2014 à 09:06
Salut,
Le PC est encore infecté.
Je te fais un script de suppression pour OTL.
Le PC est encore infecté.
Je te fais un script de suppression pour OTL.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 09:11
8 avril 2014 à 09:11
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [aaaaaaaa] C:\Windows\SysWOW64\aaaaaaaa.exe ()
O4 - HKLM..\Run: [Regedit32] C:\Windows\SysWOW64\regedit.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [aaaaaaaa] C:\Users\Pierre\aaaaaaaa.exe File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe ()
:files
C:\Users\Pierre\disetypkidoz.exe
C:\Users\Pierre\bozlosjorodo.exe
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
puis :
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [aaaaaaaa] C:\Windows\SysWOW64\aaaaaaaa.exe ()
O4 - HKLM..\Run: [Regedit32] C:\Windows\SysWOW64\regedit.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [aaaaaaaa] C:\Users\Pierre\aaaaaaaa.exe File not found
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe ()
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe ()
:files
C:\Users\Pierre\disetypkidoz.exe
C:\Users\Pierre\bozlosjorodo.exe
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
puis :
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 09:26
8 avril 2014 à 09:26
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Windows\SysWOW64\aaaaaaaa.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 deleted successfully.
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe moved successfully.
File C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe not found.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe moved successfully.
========== FILES ==========
C:\Users\Pierre\disetypkidoz.exe moved successfully.
C:\Users\Pierre\bozlosjorodo.exe moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_092018
Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Windows\SysWOW64\aaaaaaaa.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 deleted successfully.
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\aaaaaaaa deleted successfully.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe moved successfully.
File C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obox.exe not found.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yqhyul.exe moved successfully.
========== FILES ==========
C:\Users\Pierre\disetypkidoz.exe moved successfully.
C:\Users\Pierre\bozlosjorodo.exe moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_092018
Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regedit.exe scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 09:42
8 avril 2014 à 09:42
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 08/04/2014
Heure de l'examen: 09:38:58
Fichier journal: Antimalware.txt
Administrateur: Oui
Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Pierre
Type d'examen: Examen "Personnalisé"
Résultat: Terminé
Objets analysés: 291318
Temps écoulé: 1 min, 43 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 4
Trojan.FakePDF, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.FakePDF, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.Agent, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Regedit32, C:\Windows\system32\regedit.exe, , [6c75b4733c3feb4b2b3558a3d82ab24e]
Trojan.Agent.US, HKU\S-1-5-21-3924660417-146243640-2625110223-1119-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|bozlosjorodo, C:\Users\Pierre\bozlosjorodo.exe, , [538e6abd0477a19591c2ff613ec439c7]
Données du Registre: 0
(No malicious items detected)
Dossiers: 0
(No malicious items detected)
Fichiers: 2
Trojan.FakePDF, C:\ProgramData\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888],
Trojan.Agent.Gen, C:\Users\Pierre\AppData\Local\Temp\MSWQC.tmp, , [a43db27556252f077d1fe976f40e1fe1],
Secteurs physiques: 0
(No malicious items detected)
(end)
www.malwarebytes.org
Date de l'examen: 08/04/2014
Heure de l'examen: 09:38:58
Fichier journal: Antimalware.txt
Administrateur: Oui
Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Pierre
Type d'examen: Examen "Personnalisé"
Résultat: Terminé
Objets analysés: 291318
Temps écoulé: 1 min, 43 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 4
Trojan.FakePDF, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.FakePDF, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|13751, c:\progra~3\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888]
Trojan.Agent, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Regedit32, C:\Windows\system32\regedit.exe, , [6c75b4733c3feb4b2b3558a3d82ab24e]
Trojan.Agent.US, HKU\S-1-5-21-3924660417-146243640-2625110223-1119-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|bozlosjorodo, C:\Users\Pierre\bozlosjorodo.exe, , [538e6abd0477a19591c2ff613ec439c7]
Données du Registre: 0
(No malicious items detected)
Dossiers: 0
(No malicious items detected)
Fichiers: 2
Trojan.FakePDF, C:\ProgramData\mschpimz.exe, , [3fa29097c3b889ad6f3391d22ed37888],
Trojan.Agent.Gen, C:\Users\Pierre\AppData\Local\Temp\MSWQC.tmp, , [a43db27556252f077d1fe976f40e1fe1],
Secteurs physiques: 0
(No malicious items detected)
(end)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 09:45
8 avril 2014 à 09:45
Malwarebytes Anti-Malware
www.malwarebytes.org
Date de l'examen: 08/04/2014
Heure de l'examen: 09:46:12
Fichier journal:
Administrateur: Oui
Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: pierre
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 301752
Temps écoulé: 4 min, 16 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 0
(No malicious items detected)
Dossiers: 0
(No malicious items detected)
Fichiers: 6
PUP.Optional.OptimumInstaller.A, C:\$RECYCLE.BIN\S-1-5-21-3924660417-146243640-2625110223-1119\$R1D0EM6.exe, Mis en quarantaine, [2eb3a285dd9eea4cb2dda99df908e917],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\msi6843.exe, Mis en quarantaine, [02df4ed995e6f640ffaa987408faac54],
Trojan.Agent.ST3, C:\Users\Pierre\AppData\Local\Temp\ERY4FC7\n19.exe, Mis en quarantaine, [538ea0876615d26419dc779654b0946c],
Spyware.Passwords, C:\Users\Pierre\AppData\Local\Temp\KPUF6B7\217_id3.exe, Mis en quarantaine, [528f9790c9b29f97e8bf392ee918ce32],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\SMTDC45\217id3.exe, Mis en quarantaine, [a23fb7704f2c1422941545c709f910f0],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\ZOO5C7D\217id3.exe, Mis en quarantaine, [05dc35f21863bd795a4fc844f50d2cd4],
Secteurs physiques: 0
(No malicious items detected)
(end)
www.malwarebytes.org
Date de l'examen: 08/04/2014
Heure de l'examen: 09:46:12
Fichier journal:
Administrateur: Oui
Version: 2.00.1.1004
Base de données Malveillants: v2014.04.08.01
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: pierre
Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 301752
Temps écoulé: 4 min, 16 sec
Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)
Processus: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Clés du Registre: 0
(No malicious items detected)
Valeurs du Registre: 0
(No malicious items detected)
Données du Registre: 0
(No malicious items detected)
Dossiers: 0
(No malicious items detected)
Fichiers: 6
PUP.Optional.OptimumInstaller.A, C:\$RECYCLE.BIN\S-1-5-21-3924660417-146243640-2625110223-1119\$R1D0EM6.exe, Mis en quarantaine, [2eb3a285dd9eea4cb2dda99df908e917],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\msi6843.exe, Mis en quarantaine, [02df4ed995e6f640ffaa987408faac54],
Trojan.Agent.ST3, C:\Users\Pierre\AppData\Local\Temp\ERY4FC7\n19.exe, Mis en quarantaine, [538ea0876615d26419dc779654b0946c],
Spyware.Passwords, C:\Users\Pierre\AppData\Local\Temp\KPUF6B7\217_id3.exe, Mis en quarantaine, [528f9790c9b29f97e8bf392ee918ce32],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\SMTDC45\217id3.exe, Mis en quarantaine, [a23fb7704f2c1422941545c709f910f0],
Trojan.Agent.ZBH, C:\Users\Pierre\AppData\Local\Temp\ZOO5C7D\217id3.exe, Mis en quarantaine, [05dc35f21863bd795a4fc844f50d2cd4],
Secteurs physiques: 0
(No malicious items detected)
(end)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 09:52
8 avril 2014 à 09:52
Bizarre que ces fichiers soient encore là car les détections sont super bonnes :
https://www.virustotal.com/gui/file/6935609b7d0b1921f48af946b383ac40d8432aa3aa45d6f2d50004b68715ef4d
https://www.virustotal.com/gui/file/813ea88fec82a063041c52cb8735fc0548ca67de6f85bb035b16d7eef4b5385b
https://www.virustotal.com/gui/file/e95a1ebffc2780fab58b25d90e56aa4c3b8b78db7a487da81e010bd4609c741a
https://www.virustotal.com/gui/file/bfd9dc876765fb3066d9c8b1067215807f2b092f52d06b83c50664bb2d1aec92
Refais un scan OTL et donne les rapports par pjjoint.
https://www.virustotal.com/gui/file/6935609b7d0b1921f48af946b383ac40d8432aa3aa45d6f2d50004b68715ef4d
https://www.virustotal.com/gui/file/813ea88fec82a063041c52cb8735fc0548ca67de6f85bb035b16d7eef4b5385b
https://www.virustotal.com/gui/file/e95a1ebffc2780fab58b25d90e56aa4c3b8b78db7a487da81e010bd4609c741a
https://www.virustotal.com/gui/file/bfd9dc876765fb3066d9c8b1067215807f2b092f52d06b83c50664bb2d1aec92
Refais un scan OTL et donne les rapports par pjjoint.
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 10:00
8 avril 2014 à 10:00
Je pense que c'est parce que la première fois, je n'ai pas dû lancer le scan avec les bonnes options. Maintenant, quand je relance L'antimalware, il ne trouve plus rien.
Dois-je réutiliser le script personnalisé suivant pour OLT :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Dois-je réutiliser le script personnalisé suivant pour OLT :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 10:32
8 avril 2014 à 10:32
pas bon pour OTL,
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 10:53
8 avril 2014 à 10:53
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 11:12
8 avril 2014 à 11:12
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [disetypkidoz] C:\Users\Pierre\disetypkidoz.exe File not found
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [Kyycw] C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 13751 = c:\progra~3\mschpimz.exe
:files
C:\Users\Pierre\AppData\Local\Temp\Inylq
:reg
[-HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"13751"=-
* poste le rapport ici
~~
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [disetypkidoz] C:\Users\Pierre\disetypkidoz.exe File not found
O4 - HKU\S-1-5-21-3924660417-146243640-2625110223-1119..\Run: [Kyycw] C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 13751 = c:\progra~3\mschpimz.exe
:files
C:\Users\Pierre\AppData\Local\Temp\Inylq
:reg
[-HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"13751"=-
* poste le rapport ici
~~
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 11:27
8 avril 2014 à 11:27
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\disetypkidoz deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\Kyycw deleted successfully.
File C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\13751 deleted successfully.
========== FILES ==========
C:\Users\Pierre\AppData\Local\Temp\Inylq folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run not found.
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_112156
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\disetypkidoz deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3924660417-146243640-2625110223-1119\Software\Microsoft\Windows\CurrentVersion\Run\\Kyycw deleted successfully.
File C:\Users\Pierre\AppData\Local\Temp\Inylq\kyycw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\13751 deleted successfully.
========== FILES ==========
C:\Users\Pierre\AppData\Local\Temp\Inylq folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ not found.
Registry key HKEY_LOCAL_MACHINE\\Microsoft\Windows\CurrentVersion\policies\Explorer\Run not found.
OTL by OldTimer - Version 3.2.69.0 log created on 04082014_112156
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:00
8 avril 2014 à 12:00
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:11
8 avril 2014 à 12:11
Par contre, j'ai maintenant en bas de mon écran une indication que je n'avais pas auparavant : Mode Test Windows 7 Numéro 7601
Qu'est ce que c'est ?
Qu'est ce que c'est ?
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:13
8 avril 2014 à 12:13
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:14
8 avril 2014 à 12:14
vais essayer cela..
Qu'e'st ce qu'il l'a activé ?
Qu'e'st ce qu'il l'a activé ?
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:21
8 avril 2014 à 12:21
c'est parti, la manip a bien fonctionné.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 8/04/2014 à 12:23
Modifié par Malekal_morte- le 8/04/2014 à 12:23
ok, il faut que tu changes tous tes mots de passe (mail, facebook, jeux etc)
ils ont été volés.
Pour la récupération des documents, y a ce lien : https://www.malekal.com/virus-securite/ransomwares/
avec des solutions, mais pas sûr que ça fonctionne bien.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ils ont été volés.
Pour la récupération des documents, y a ce lien : https://www.malekal.com/virus-securite/ransomwares/
avec des solutions, mais pas sûr que ça fonctionne bien.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 12:29
8 avril 2014 à 12:29
Je n'arrivais pas à réinstaller Panda Antivirus, je vais essayer de le remettre maintenant, en espérant que cela ira pour la suite.
Merci infiniment pour l'efficacité et la rapidité des réponses.
Merci infiniment pour l'efficacité et la rapidité des réponses.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 8/04/2014 à 13:07
Modifié par Malekal_morte- le 8/04/2014 à 13:07
Pas de problème :)
Attention quand on te propose des mises à jour Flash/Java en te proposant un fichier à ouvrir.
Fais des scans Malwarebytes en le mettant à jour ces prochains jours.
~~
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Attention quand on te propose des mises à jour Flash/Java en te proposant un fichier à ouvrir.
Fais des scans Malwarebytes en le mettant à jour ces prochains jours.
~~
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 17:40
8 avril 2014 à 17:40
Désolé mais je viens de m'apercevoir que j'ai encore une petite trace dans Outlook au niveau des insertions de signatures de mail.
Cependant lorsque je vais sur la modificaiton de mes signatures HOW_DECRYPT
n'apparait plus.
Que conseilleriez-vous Désinstaller/Réinstaller Office ou autre ?
MErci
Cependant lorsque je vais sur la modificaiton de mes signatures HOW_DECRYPT
n'apparait plus.
Que conseilleriez-vous Désinstaller/Réinstaller Office ou autre ?
MErci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
8 avril 2014 à 18:03
8 avril 2014 à 18:03
Jai pas compris quel était le problème avec la signature.
CORRUE
Messages postés
15
Date d'inscription
lundi 7 avril 2014
Statut
Membre
Dernière intervention
8 avril 2014
8 avril 2014 à 22:44
8 avril 2014 à 22:44
Dans la liste des signatures paramétrées et enregistrées dans Outlook, il y en a une qui s'appelle HOW_DECRYPT que je ne peux pas enlever dans le gestionnaire des signatures, et je ne sais pas par où elle est entrée et donc ou la retirer.