Cryptowall 3.0 sur mon ordi Fermé

Question

Bonjour à tous
Mon ordi est infecté par Cryptowall 3.0 et je n'arrive pas à m'en débarasser...
Pour le rappel des faits : avast m'informe qu'il bloque des éléments malveillants il y a deux jours. Je fais un scan qui me trouve une menace dans Windows/Temp/h. Je mest en quarantaine et relance mais ça revient... L'ordi est très ralenti et les avertissements d'avast s'enchaînent.
Hier, je retente un scan, il me retrouve une menace toujours au même endroit et je la supprime, il m'indiquait que c'était Win32:Malware-gen. Comme la veille, ça n'a rien changé, toujours les avertissements qui s'enchaînent et le pc râme terriblement. Quand j'ai voulu fermer l'ordi hier soir, j'ai vu que des fichiers de mon bureau avaient été déplacés et ils semblaient d'un format inconnu (avec des zzz à la fin) et j'ai eu des alertes comme "cmd.exe ne peut pas fermer", il y a eu plusieurs fenêtres avec différents processus qui ne pouveiant pas être arrêtés.
Ce matin, j'ai eu confirmation que c'était Cryptowall puisque j'ai eu 2 fenêtres qui se sont ouvertes indiquant que mes fichiers avaient été cryptés et qu'il fallait que j'aille sur des adresses pour les récupérer (adresses qui ressemblent beaucoup à celles qu'avast bloquait il y a deux jours...).
J'ai tenté d'installer Malwarebytes mais quand je veux le lancer, il me met un message d'erreur comme quoi il ne s'est pas initialisé correctement. J'ai tenté de renommer l'exe mais sans succès... J'ai installé et exécuté ADWCleaner aussi mais il ne m'a trouvé que quelques clés de registre à faire sauter, ce que j'ai fait.
Je sais plus quoi faire et j'ose pas aller voir dans mes documents de peur que les fichiers soient aussi cryptés.....
Je suis sous XP avec internet explorer 8.
J'espère que vous pourrez m'aider.

Eric.

Malekal_morte- · Answer

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe. 

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent àªtre consultés.

ricobast · Answer

Salut,

merci pour la réponse rapide. Voilà j'ai lancé FRST et je te donne les liens pour visualiser les rapports :

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20150710_o15f13q13e14k8
Addition.txt : https://pjjoint.malekal.com/files.php?id=20150710_j9d5w13z6l15
Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20150710_w15h8t5b9u5

J'espère que ça va permettre d'aider.
Merci

Eric

Malekal_morte- · Answer

Si tu peux envoyer les fichiers sur http://upload.malekal.com :

G:\Documents and Settings\catto\Local Settings\Application Data\vabu.scr 
G:\Documents and Settings\catto\Local Settings\Application Data\wejyw._dl 
G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll


Je n'a pas l'impression que ce soit CryptoWall.
Tu peux donner le compte de help_restore_files_txgky.txt



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


 Winlogon\Notify\agdhbgl: G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll [2015-07-09] () 
 HKU\S-1-5-21-1390067357-299502267-725345543-1003\...\Run: [agdhbgl] => rundll32 G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll,agdhbgl 
 Startup: G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html [2015-07-09] () 
Startup: G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt [2015-07-09] () 
Startup: G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html [2015-07-09] () 
Startup: G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt [2015-07-09] () 
  2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.html 
 2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.html 
 2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.html 
 2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.txt  
 2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.txt  
 2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.txt  
 2015-07-09 18:34 - 2015-07-09 18:34 - 00003811 _____ G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.html 
 2015-07-09 18:34 - 2015-07-09 18:34 - 00002170 _____ G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.txt  
 2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.html 
 2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.html 
 2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\help_restore_files_txgky.html 
 2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.txt  
 2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.txt  
 2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\help_restore_files_txgky.txt  
 2015-07-09 16:51 - 2015-07-09 16:51 - 00003811 _____ G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.html 
 2015-07-09 16:51 - 2015-07-09 16:51 - 00002170 _____ G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.txt  
 2015-07-09 14:36 - 2015-07-09 14:36 - 00000249 _____ G:\Documents and Settings\catto\Mes documents\Recovery_File_ljsro.txt  
 2015-07-09 11:44 - 2015-07-09 11:44 - 00014336 _____ G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll 
 2008-10-30 10:17 - 2008-10-30 10:17 - 0016649 ____C () G:\Documents and Settings\catto\Application Data\eveg.ban 
2008-10-30 10:17 - 2008-10-30 10:17 - 0014343 ____C () G:\Documents and Settings\catto\Application Data\idegawecu.reg 
2008-10-30 10:17 - 2008-10-30 10:17 - 0012875 ____C () G:\Documents and Settings\catto\Application Data\unaxafimul.inf 
 2015-07-09 11:44 - 2015-07-09 11:44 - 0014336 _____ () G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll 
 2008-10-30 10:17 - 2008-10-30 10:17 - 0019872 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\apan.bat 
 2008-10-30 10:17 - 2008-10-30 10:17 - 0014350 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\awawewaz.com 
2006-01-25 12:39 - 2014-12-05 17:21 - 0039424 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 
2008-10-30 10:17 - 2008-10-30 10:17 - 0017750 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\ebuc._sy 
 2008-10-30 10:17 - 2008-10-30 10:17 - 0016580 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\exexytazys.bat 
2005-08-24 01:53 - 2005-08-24 01:53 - 0000128 ____N () G:\Documents and Settings\catto\Local Settings\Application Data\fusioncache.dat 
 2008-10-30 10:17 - 2008-10-30 10:17 - 0018400 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\vabu.scr 
2008-10-30 10:17 - 2008-10-30 10:17 - 0019553 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\wejyw._dl 
 2015-07-09 16:52 - 2015-07-09 16:52 - 0003811 _____ () G:\Documents and Settings\All Users\help_restore_files_txgky.html 
 2015-07-09 16:52 - 2015-07-09 16:52 - 0002170 _____ () G:\Documents and Settings\All Users\help_restore_files_txgky.txt  
 
 
 
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

ricobast · Answer

Re,
alors j'ai envoyé les fichiers sauf G:\Documents and Settings\catto\Local Settings\Application Data\wejyw._dl parce que j'ai un message d'erreur qui dit que les fichiers ._dl ne peuvent pas être uploadés.

Pour le nombre de help_restore_files_txgky.txt , il y en avait 5493 sur les différents disques du PC. En effet, G: est celui sur lequel il y a XP mais il y a aussi un disque C: qui me sert de stockage d'anciens docs et un disque D: qui en est une partition.

J'ai ensuite fait la procédure avec FRST et voici le contenu de fixlog.txt :

Fix result of Farbar Recovery Scan Tool (x86) Version: 09-07-2015
Ran by catto at 2015-07-10 16:10:34 Run:1
Running from G:\Documents and Settings\catto\Bureau
Loaded Profiles: catto (Available Profiles: catto)
Boot Mode: Normal

==============================================

fixlist content:


Winlogon\Notify\agdhbgl: G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll [2015-07-09] () 
HKU\S-1-5-21-1390067357-299502267-725345543-1003\...\Run: [agdhbgl] => rundll32 G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll,agdhbgl 
Startup: G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html [2015-07-09] () 
Startup: G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt [2015-07-09] () 
Startup: G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html [2015-07-09] () 
Startup: G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt [2015-07-09] () 
2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.html 
2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.html 
2015-07-09 18:37 - 2015-07-09 18:37 - 00003811 _____ G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.html 
2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.txt 
2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.txt 
2015-07-09 18:37 - 2015-07-09 18:37 - 00002170 _____ G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.txt 
2015-07-09 18:34 - 2015-07-09 18:34 - 00003811 _____ G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.html 
2015-07-09 18:34 - 2015-07-09 18:34 - 00002170 _____ G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.txt 
2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.html 
2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.html 
2015-07-09 16:52 - 2015-07-09 16:52 - 00003811 _____ G:\Documents and Settings\All Users\help_restore_files_txgky.html 
2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.txt 
2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.txt 
2015-07-09 16:52 - 2015-07-09 16:52 - 00002170 _____ G:\Documents and Settings\All Users\help_restore_files_txgky.txt 
2015-07-09 16:51 - 2015-07-09 16:51 - 00003811 _____ G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.html 
2015-07-09 16:51 - 2015-07-09 16:51 - 00002170 _____ G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.txt 
2015-07-09 14:36 - 2015-07-09 14:36 - 00000249 _____ G:\Documents and Settings\catto\Mes documents\Recovery_File_ljsro.txt 
2015-07-09 11:44 - 2015-07-09 11:44 - 00014336 _____ G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll 
2008-10-30 10:17 - 2008-10-30 10:17 - 0016649 ____C () G:\Documents and Settings\catto\Application Data\eveg.ban 
2008-10-30 10:17 - 2008-10-30 10:17 - 0014343 ____C () G:\Documents and Settings\catto\Application Data\idegawecu.reg 
2008-10-30 10:17 - 2008-10-30 10:17 - 0012875 ____C () G:\Documents and Settings\catto\Application Data\unaxafimul.inf 
2015-07-09 11:44 - 2015-07-09 11:44 - 0014336 _____ () G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll 
2008-10-30 10:17 - 2008-10-30 10:17 - 0019872 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\apan.bat 
2008-10-30 10:17 - 2008-10-30 10:17 - 0014350 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\awawewaz.com 
2006-01-25 12:39 - 2014-12-05 17:21 - 0039424 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 
2008-10-30 10:17 - 2008-10-30 10:17 - 0017750 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\ebuc._sy 
2008-10-30 10:17 - 2008-10-30 10:17 - 0016580 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\exexytazys.bat 
2005-08-24 01:53 - 2005-08-24 01:53 - 0000128 ____N () G:\Documents and Settings\catto\Local Settings\Application Data\fusioncache.dat 
2008-10-30 10:17 - 2008-10-30 10:17 - 0018400 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\vabu.scr 
2008-10-30 10:17 - 2008-10-30 10:17 - 0019553 ____C () G:\Documents and Settings\catto\Local Settings\Application Data\wejyw._dl 
2015-07-09 16:52 - 2015-07-09 16:52 - 0003811 _____ () G:\Documents and Settings\All Users\help_restore_files_txgky.html 
2015-07-09 16:52 - 2015-07-09 16:52 - 0002170 _____ () G:\Documents and Settings\All Users\help_restore_files_txgky.txt 



"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\agdhbgl" => key removed successfully.
HKU\S-1-5-21-1390067357-299502267-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\agdhbgl => value removed successfully.
G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\Programmes\Démarrage\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\Programmes\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Menu Démarrer\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Local Settings\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\catto\Bureau\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\All Users\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\All Users\Menu Démarrer\Programmes\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\All Users\Menu Démarrer\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\All Users\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.html => moved successfully.
G:\Documents and Settings\All Users\Bureau\help_restore_files_txgky.txt => moved successfully.
G:\Documents and Settings\catto\Mes documents\Recovery_File_ljsro.txt => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll => moved successfully.
G:\Documents and Settings\catto\Application Data\eveg.ban => moved successfully.
G:\Documents and Settings\catto\Application Data\idegawecu.reg => moved successfully.
G:\Documents and Settings\catto\Application Data\unaxafimul.inf => moved successfully.
"G:\Documents and Settings\catto\Local Settings\Application Data\agdhbgl.dll" => File/Folder not found.
G:\Documents and Settings\catto\Local Settings\Application Data\apan.bat => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\awawewaz.com => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\ebuc._sy => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\exexytazys.bat => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\fusioncache.dat => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\vabu.scr => moved successfully.
G:\Documents and Settings\catto\Local Settings\Application Data\wejyw._dl => moved successfully.
"G:\Documents and Settings\All Users\help_restore_files_txgky.html" => File/Folder not found.
"G:\Documents and Settings\All Users\help_restore_files_txgky.txt" => File/Folder not found.
 End of Fixlog 16:10:37 
En espérant que ça puisse aider. En tous cas, le premier constat que je peux faire est que les fichiers "help_restore_files_txgky.txt" qui étaient sur le bureau ont disparu, c'est déjà ça ;)
Merci

Eric

Malekal_morte- · Answer

Essaye ça pour récupérer les fichiers : https://forum.malekal.com/viewtopic.php?t=46739&start= mais je doute que ça va fonctionner.

ricobast · Answer

Merci pour l'info. Vu que je suis sous XP, a priori, ça va être dur pour récupérer les fichiers...
Par contre, est-ce que avec ce que tu m'as fait faire c'est bon ? Je veux dire, on a supprimé le virus pour de bon ???
J'ai redémarré la machine et je n'ai plus eu la page qui me disait que mes fichiers avaient été encryptés pour les protéger mais je me posais la question...

Penses-tu que si je tente de faire une restauration système, cela pourrait sauver le truc : revenir à un moment où les fichiers n'étaient pas cryptés et le virus pas encore en place sur le disque ??? Ou est-ce que de toute façon pour les fichiers c'est cuit ???

A te lire,

Eric

Malekal_morte- · Answer

ha mince ok pour le XP.

Ca devrait, ce que tu peux faire, c'est refaire un scan FRST demain, et je regarderai.

La DLL que tu as envoyé c'est Trojan.Bunitu qui peut aller par des exploits sur site WEB.
Comme tu es sur XP qui n'est plus maintenu, faudrait que tu évites d'utiliser Internet Explorer et plutôt Firefox ou Chrome et surtout assure toi que Flash, Adobe PDF.
=> https://forum.malekal.com/viewtopic.php?t=15960&start=  

Si Java est installé, désactive le des navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

ricobast · Answer

Ok, merci pour les infos.
Pour le nouveau scan, je pourrais le faire que lundi mais dès que c'est fait je le poste ;)
A priori, je maintiens les logiciels à jour mais je vais mettre Chrome en navigateur par défaut et je vais lire attentivement la marche à suivre pour Java.

En tous les cas, je voulais encore te remercier car tu m'as permis de supprimer cette saleté et de me débloquer le pc, c'est génial.

Eric

anticryptowall 3.0 · Answer

Bonjour tout le monde voici une solution, comment protéger vos fichier et documents de ce virus CryptoWall facile et efficace 
 
https://www.youtube.com/watch?v=kRpJEpJzK1U