virus HowdecryptFermé

Question

BONJOUR
je suis victime du virus Howdecrypt
aidez moi svp

Malekal_morte- · Answer

Salut,

Malheureusement pour la récupération des documents, il n'y a pas bcp de solutions.

Pour désinfecter ton PC :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

kamilia84 · Answer

merci pour votre réponse 
j'ai débuté par OTL
Es ce que je stop ce programme et je débute par Malwarebytes?

kamilia84 · Answer

d'accord
merci infiniment

kamilia84 · Answer

je mets le rapport sur ce lien et après?

kamilia84 · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20140331_t513r15r13e5
voici le lien de dépot

Malekal_morte- · Answer

y a du boulot. Désinstalle : 01NET.com Toolbar BaseFlash pdfforge Toolbar SearchSettings Searchqu Toolbar Relance OTL. o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début). Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\ljixzy.dll -- (qywxqudb) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\alhnr.dll -- (mrtddpn) SRV - File not found [Auto | Stopped] -- C:\Program Files\Internet Explorer\ljixzy.dll -- (iucwdkext) SRV - [2014/03/31 00:01:00 | 000,167,936 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\Backoffice\Application Data\BaseFlash\protect\ProtectExtension.exe -- (srvProtectExtension) SRV - [2014/03/25 12:20:22 | 000,040,448 | ---- | M] () [Auto | Running] -- C:\Program Files\SoftwareUpdater\UpdaterService.exe -- (SrvUpdater) SRV - [2013/02/23 17:54:28 | 000,805,752 | ---- | M] (Spigot, Inc.) [Disabled | Stopped] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater) IE - HKU\S-1-5-21-1644491937-583907252-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3128284&CUI=UN37570655682535526 [Pays NL - 195.78.120.88] IE - HKU\S-1-5-21-1644491937-583907252-725345543-1004\..\URLSearchHook: {8e5025c2-8ea3-430d-80b8-a14151068a6d} - C:\Program Files\01NET.com\prxtb01N0.dll (Conduit Ltd.) IE - HKU\S-1-5-21-1644491937-583907252-725345543-1004\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.) IE - HKU\S-1-5-21-1644491937-583907252-725345543-1004\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} IE - HKU\S-1-5-21-1644491937-583907252-725345543-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3128284 [Pays NL - 195.78.120.88] [2014/03/31 09:13:39 | 000,000,000 | ---D | M] (01NET.com) -- C:\Documents and Settings\Backoffice\Application Data\Mozilla\Firefox\Profiles\b9bb51mr.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d} [2013/09/17 09:27:35 | 000,002,273 | ---- | M] () -- C:\Documents and Settings\Backoffice\Application Data\Mozilla\Firefox\Profiles\b9bb51mr.default\searchplugins\bingp.xml [2012/03/22 19:18:20 | 000,000,921 | ---- | M] () -- C:\Documents and Settings\Backoffice\Application Data\Mozilla\Firefox\Profiles\b9bb51mr.default\searchplugins\conduit.xml CHR - Extension: BaseFlash = C:\Documents and Settings\Backoffice\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf\1.0_0\ O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll File not found O2 - BHO: (01NET.com Toolbar) - {8e5025c2-8ea3-430d-80b8-a14151068a6d} - C:\Program Files\01NET.com\prxtb01N0.dll (Conduit Ltd.) O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - No CLSID value found. O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll File not found O3 - HKLM\..\Toolbar: (01NET.com Toolbar) - {8e5025c2-8ea3-430d-80b8-a14151068a6d} - C:\Program Files\01NET.com\prxtb01N0.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1644491937-583907252-725345543-1004\..\Toolbar\WebBrowser: (01NET.com Toolbar) - {8E5025C2-8EA3-430D-80B8-A14151068A6D} - C:\Program Files\01NET.com\prxtb01N0.dll (Conduit Ltd.) O4 - HKLM..\Run: [dfrnxgsa] C:\WINDOWS\system32\dfrnxgsa.exe () O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [a9dd91] C:\a9dd91f\a9dd91f.exe () O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [a9dd91f] C:\Documents and Settings\Backoffice\Application Data\a9dd91f.exe () O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [Akamai NetSession Interface] C:\Documents and Settings\Backoffice\Local Settings\Application Data\Akamai etsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [dfrnxgsa] C:\Documents and Settings\Backoffice\dfrnxgsa.exe () O4 - Startup: C:\Documents and Settings\Backoffice\Menu Démarrer\Programmes\Démarrage\a9dd91f.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 52185 = c:\docume~1\alluse~1\msapvuika.exe () [2014/03/25 14:21:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Backoffice\Application Data\BaseFlash [2014/03/25 14:21:43 | 000,000,000 | ---D | C] -- C:\Program Files\SoftwareUpdater [2014/03/29 13:31:12 | 000,201,728 | ---- | M] () -- C:\Documents and Settings\Backoffice\Application Data\a9dd91f.exe [2014/03/26 08:45:28 | 000,000,340 | ---- | M] () -- C:\WINDOWS asks\At1.job [2014/03/25 11:25:04 | 000,069,632 | ---- | M] () -- C:\WINDOWS\System32\dfrnxgsa.exe [2014/03/25 11:25:04 | 000,069,632 | ---- | M] () -- C:\Documents and Settings\Backoffice\dfrnxgsa.exe [2008/04/13 19:34:14 | 000,055,296 | -HS- | C] () -- C:\Documents and Settings\All Users\mssupcex.exe [2008/04/13 19:34:04 | 000,055,296 | -HS- | C] () -- C:\Documents and Settings\All Users\msapvuika.exe * poste le rapport ici ~~~ Zip le dossier C:\_OTL Ouvre Mon Ordinateur / Poste de travail => Disque C Tu dois voir le dossier _OTL, ouvre le. Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR. Dessus, fais : Clic droit / Envoyer vers dossier compressé. Cela va créer un fichier MovedFiles.zip Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com Redémarre l'ordinateur puis fais le scan Malwarebytes. Like the angel you are, you laugh creating a lightness in my chest, Your eyes they penetrate me, (Your answer's always 'maybe') That's when I got up and left

kamilia84 · Answer

j'ai effectué toute la démarche et j'ai envoyé le fichier .zip au lien cité

Malekal_morte- · Answer

tu peux donner le rapport de scan Malwarebytes stp.

kamilia84 · Answer

depuis 14:43 jusqu'à maintenant le scan  Malwarebytes se bloque dans la dernière étape et je l'ai refait 3 fois jusqu'à maintenant.
et j'attend

kamilia84 · Answer

maintant pour la 4ème fois 
objets scanné: 320568
detected objects: 34294
mais il s'est bloqué comme ça
comment faire je n'ai plus de souffle en plus c'est un ordi de travaille tout est bloqué :(

Malekal_morte- · Answer

aie :/

toujours bloqué ?

kamilia84 · Answer

bonjour je vient d'arriver au bureau je vais le relancer :)

Malekal_morte- · Answer

Laisse tomber Malwarebytes.
Refais un scan OTL et donne le rapport via pjjoint.

kamilia84 · Answer

sorry 

voici le lien:
https://pjjoint.malekal.com/files.php?id=OTL_20140403_p5y10f14q5p15

ps: je ne suis pas une informaticienne mais je suis en train de faire de mon mieux

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
SRV - [2014/04/02 18:20:24 | 000,039,936 | ---- | M] () [Auto | Running] -- C:\Program Files\SoftwareUpdater\UpdaterService.exe -- (SrvUpdater) 
 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 52185 = c:\docume~1\alluse~1\msapvuika.exe () 
  O4 - HKU\S-1-5-21-1644491937-583907252-725345543-1004..\Run: [Ewuf] C:\Documents and Settings\Backoffice\Local Settings\Temp\Xeniu\ewuf.exe ()   
  [2008/04/13 19:34:04 | 000,055,296 | -HS- | C] () -- C:\Documents and Settings\All Users\msapvuika.exe 
   [2012/01/16 13:48:14 | 000,001,581 | --S- | C] () -- C:\Documents and Settings\Backoffice\Local Settings\Application Data\xyacm.wak  
  

* poste le rapport ici 

Redémarre l'ordinateur


Refais un scan OTL mais avec ce script :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

kamilia84 · Answer

voici le rapport
========== OTL ==========
Service SrvUpdater stopped successfully!
Service SrvUpdater deleted successfully!
C:\Program Files\SoftwareUpdater\UpdaterService.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\52185 deleted successfully.
c:\Documents and Settings\All Users\msapvuika.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-1644491937-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run\Ewuf deleted successfully.
C:\Documents and Settings\Backoffice\Local Settings\Temp\Xeniu\ewuf.exe moved successfully.
File C:\Documents and Settings\All Users\msapvuika.exe not found.
C:\Documents and Settings\Backoffice\Local Settings\Application Data\xyacm.wak moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04032014_104833

kamilia84 · Answer

voici le lien otl.txt:
https://pjjoint.malekal.com/files.php?id=OTL_20140403_y12x9n10p811

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
[2008/04/13 19:34:04 | 000,055,296 | -HS- | C] () -- C:\Documents and Settings\All Users\msapvuika.exe 
 [2014/03/29 13:31:12 | 000,000,000 | -H-D | C] -- C:\a9dd91f 
 
     

* poste le rapport ici 


Redémarre l'ordinateur


Refais un scan Malwarebytes et donne le rapport. 



 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

kamilia84 · Answer

========== OTL ==========
C:\Documents and Settings\All Users\msapvuika.exe moved successfully.
C:\a9dd91f folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04032014_124631

kamilia84 · Answer

:'((((((((((((((((((((((((
Malwarebytes s'est bloqué dans la dernière étape

Malekal_morte- · Answer

ok,



Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

kamilia84 · Answer

voici le lien du rapport
https://pjjoint.malekal.com/files.php?id=20140403_b10j12v10k11p8

kamilia84 · Answer

qu'es ce que je fait maintenant?

Malekal_morte- · Answer

Refais un scan OTL voir si les trucs reviennent.

kamilia84 · Answer

et après ce scan es ce que je peux supprimer les liens du virus?

kamilia84 · Answer

VOICI LE RAPPORT
https://pjjoint.malekal.com/files.php?id=OTL_20140403_q12w5f6f10q13

kamilia84 · Answer

bonjour,
qu'es ce que je fasse maintenant?

Malekal_morte- · Answer

c'est bon ça revient pas,

fais ça :

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:reg 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"Load"=- 
[HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] 
"Load"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"Load"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] 
"Load"=- 


* poste le rapport ici 

~~

Change tes mots de passe.

Fais un scan OTL et redonne le rapport.

Pour la récupération, regarde les solutions là : https://www.malekal.com/virus-securite/ransomwares/

mais ne te fais pas trop d'illusion.

kamilia84 · Answer

voici le rapport
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04042014_141708

kamilia84 · Answer

voici le rapport de scan:
https://pjjoint.malekal.com/files.php?id=OTL_20140404_s6f14e14k7p5

Malekal_morte- · Answer

Ptain lol, je te fais faire n'importe quoi.
Désolé, je fais 50 machins en mm temps.

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 
"Run"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Explorer] 
"Load"=- 


* poste le rapport ici 


Sinon le PC est propre depuis hier.
Donc faut faire la suite, changer les mots de passe et tenter la récupération des fichiers.

kamilia84 · Answer

:)

voici le rapport
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04042014_143747

kamilia84 · Answer

mille merci pour votre aide 
je vous remercie infiniment
mais j'aimerais savoir es ce que 
ce lien et fiable pour tenter de récupérer les fichiers? et qu'es ce qu'il lui faut pour l'installer?
https://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip (ZIP) 
merci bien

Malekal_morte- · Answer

P'tain me suis encore planté dans le reg lol.

Menu Démarrer et tape regedit et OK.
mets toi sur HKEY_LOCAL_MACHINE\SOFTWARE
CTRL+F et colle msapvuika.exe 
fais ok, ça doit te donner une clef 52185
tu la vires.

kamilia84 · Answer

et maintenant vous n'êtes pas en train de vous trompez?
parce que cette étape ne m'a rien donner

kamilia84 · Answer

et qu'es que je fasse maintenant
je refait un autre scan avec un autre anti virus
et par rapport au lie que je vous ai écris de la restauration de fichier c'est faisable d'après vous:
https://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip (ZIP)

kamilia84 · Answer

d'accord merci une autre fois
:)

Virus Howdecrypt

37 réponses

Discussions similaires

Newsletters