[HOWDECRYPT] besoin d'aide pour le supprimer

[tinous]

bonjour,

j'ai eu la poisse comme beaucoup, de récupérer un virus sur mon pc professionnel. Tous mes fichiers sont cryptés, et malheureusement, je n'ai pas de version antérieure :-(.
j'ai lancé un otl.exe, mais je crois avoir fait une bêtise : je l'ai lancé en scan, sans cocher "tous les utilisateurs".
du coup j'ai supprimé les 2 fichiers otl.txt et extras.txt générés sur le bureau et j'ai relancé le scan. J'ai un nouveau fichier otl.txt qui a été généré (beaucoup plus vite que la 1ère fois d'ailleurs) mais il n'y a pas de fichier extras.txt.
Quelles sont les conséquences de l'avoir supprimé ?

j'ai posté le fichier otl.txt sur http://pjjoint.malekal.com/files.php?id ... k6g14l8p11

Dois-je attendre de vos nouvelles pour continuer ?

merci d'avance pour votre aide !

[tinous]

j'ai posté un autre fichier otl.txt http://pjjoint.malekal.com/files.php?id ... n5m6e15m13, après avoir copié-collé dans la zone personnalisation, les lignes qui étaient détaillées sous ce post "Cryptorbit - Howdecrypt.txt et howdecrypt.gif".

J'ai posté également le fichier extras.txt que j'ai supprimé, mais récupéré dans la corbeille
http://pjjoint.malekal.com/files.php?id ... 4j5k9x7j13

merci de votre aide pour me débarrasser de cette saleté.

[Malekal_morte]

Salut,

Désinstalle :
pdfforge Toolbar
Search Settings



Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
[2014/02/18 01:40:37 | 000,000,000 | ---D | C] -- C:\ProgramData\sonyxnh
[2014/02/18 01:40:37 | 000,000,000 | ---D | C] -- C:\ProgramData\dqphfrm
[2014/02/18 01:40:37 | 000,000,000 | ---D | C] -- C:\ProgramData\cfqb
[2014/02/18 01:40:36 | 000,000,000 | ---D | C] -- C:\ProgramData\cpbowwa
[2014/02/17 23:52:16 | 000,000,000 | ---D | C] -- C:\ProgramData\fobni
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKU\S-1-5-21-484763869-1383384898-1343024091-6631..\Run: [vcyoeam] C:\ProgramData\vcyoeam.dat ()
O4 - HKU\S-1-5-21-484763869-1383384898-1343024091-6631..\Run: [Windows Time] C:\ProgramData\EnyebzocGexh.dll ()
O4 - HKU\S-1-5-21-484763869-1383384898-1343024091-6631..\RunOnce: [pl0ti] C:\ProgramData\cfqb\vmxq.exe (KISoftware Develop)
O20 - HKU\S-1-5-21-484763869-1383384898-1343024091-6631 Winlogon: Shell - (C:\ProgramData\sonyxnh\alwxm.exe) - C:\ProgramData\sonyxnh\alwxm.exe (KISoftware Develop)
:Commands
[resethosts]


* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

[tinous]

bonjour,

merci beaucoup pour votre réponse rapide !
j'ai lancé otl avec le menu correction, voici le rapport :

========== OTL ==========
C:\ProgramData\sonyxnh folder moved successfully.
C:\ProgramData\dqphfrm folder moved successfully.
C:\ProgramData\cfqb folder moved successfully.
C:\ProgramData\cpbowwa folder moved successfully.
C:\ProgramData\fobni folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
File C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe not found.
Registry value HKEY_USERS\S-1-5-21-484763869-1383384898-1343024091-6631\Software\Microsoft\Windows\CurrentVersion\Run\\vcyoeam deleted successfully.
C:\ProgramData\vcyoeam.dat moved successfully.
Registry value HKEY_USERS\S-1-5-21-484763869-1383384898-1343024091-6631\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Time deleted successfully.
C:\ProgramData\EnyebzocGexh.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-484763869-1383384898-1343024091-6631\Software\Microsoft\Windows\CurrentVersion\RunOnce\\pl0ti not found.
File C:\ProgramData\cfqb\vmxq.exe not found.
Registry value HKEY_USERS\S-1-5-21-484763869-1383384898-1343024091-6631\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\ProgramData\sonyxnh\alwxm.exe deleted successfully.
File C:\ProgramData\sonyxnh\alwxm.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.69.0 log created on 02192014_101509

je vais aller uploader le reste des infos.

[tinous]

ca y est, j'ai posté le fichier movedfiles.zip.

[Malekal_morte]

Change tous tes mots de passe.

Installe Malwarebyte et fais un scan avec : https://www.malekal.com/malwarebyte-ant ... les-virus/

Tente de récupérer avec les versions précédents : http://forum.malekal.com/windows-versio ... 46739.html

[tinous]

merci ! je viens de lancer le scan.
Malheureusement, la sauvegarde systeme n'était pas activée :-(. j'ai vu qu'il existait des programmes de récupération de jpg, je vais essayer ; mais mon plus gros souci reste les fichiers office (word, excel et ppt) de mon boulot :-(. et dire que je voulais profiter de mes vacances pour faire une sauvegarde...j'enrage !

merci en tout cas pour cette aide précieuse.

[Malekal_morte]

Tu peux tenter ce programme : http://download.bleepingcomputer.com/cr ... torBit.zip

[tinous]

merci ! j'ai fini le scan malwarebyte, 2 fichiers mis en quarantaine. J'espère que je m'en suis débarrassée définitivement. je vais essayer le programme de récup, je croise les doigts !

[tinous]

j'ai essayé le prg de récupération des fichiers, 1er essai concluant sur les xlsx, docx et jpg. Pour les pptx, on perd les images,la mise en forme mais le texte est récupéré globalement. Le boulot de récup va être long mais je m'y colle avec bonheur si je peux recuperer mes fichiers !
mille mercis !!

[Malekal_morte]