FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par pedro280456
#166818
Bonjour,
Depuis quelques temps déjà, sans pouvoir préciser, mes fichiers images se voient attribuer une seconde extension "wgfmxed" et je ne peux plus les ouvrir. Exemple de nom de fichier : 001.JPG.wgfmxed.
De quoi s'agit-il?

Merci d'avance,

Pedro
Avatar du membre
par g3n-h@ckm@n
#166837
salut
  • Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

    Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
  • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
  • Télécharge Pre_Scan sur ton bureau !
  • Si le lien n'est pas fonctionnel :
    • #ICI (renommé winlogon)
    Image
  • Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
  • Si des Proxy sont détectés et que tu n'en as pas installé :
    • Clique sur Supprimer le Proxy
  • Le scan ne dure généralement pas plus de 10 mn
  • A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
  • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt SosUpload puis donne le lien
Avatar du membre
par g3n-h@ckm@n
#174490
bonsoir logge-toi sous ton pseudo stp , trop de fanfarons s'amusent sur le net et je veux être sûr que ce soit bien de ta machine dont je m'aoccupe
Avatar du membre
par g3n-h@ckm@n
#174497
ok ca sent pas bon
  • Télécharge Dr.Web CureIt sur ton bureau.
    Canned Speech Dr.Web CureIt
  • Lance Dr.Web CureIt, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

    NOTE : Un message va apparaître pour t'informer que le logiciel passe en mode protection renforcer, c'est normal ! ~> Clique sur OK
  • Coche "J'accepte de participer au programme d'amélioration du logiciel ..."
  • Clique sur Continuer
  • Clique sur Lancer l'analyse
  • Une fois le scan terminé ferme la fenêtre.

    Note : Le rapport se trouve dans C:\Users\""Nom de la session""\Doctor Web
  • Héberge le rapport cureit.log sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Image
Avatar du membre
par g3n-h@ckm@n
#174581
re

tu n'as pas cliqué sur "Desinfecter à la fin ?"

désinstalle systemhealer si tu peux
Avatar du membre
par pedro280456
#174583
Non, je n'ai pas "neutralisé"; le programme est désinstallé bien qu'Avast me signale qu'il reste 2 fichiers.
Avatar du membre
par g3n-h@ckm@n
#174598
c'est vrai qu il est mal fait ce tuto , il fallait cliquer sur neutraliser ^^
Avatar du membre
par g3n-h@ckm@n
#174690
hello tu peux m'envoyer un fichier JPG crypté stp ?
Avatar du membre
par g3n-h@ckm@n
#174768
hello héberge-le sur cjoint.com et donne le lien obtenu en échange
Avatar du membre
par g3n-h@ckm@n
#174987
hello j'ai bossé sur ton fichier avec plusieurs methodes de décryptage et apparemment pas moyen d'en sortir quelque chose , il semblerait qu'il ne soit pas possible de les décrypter pour le moment
Avatar du membre
par pedro280456
#174988
Tant pis. Incroyable ce truc; jamais vu ça.
En tous cas, sois remercié pour tout ce temps passé en vaines recherches.
Bonne continuation.
Christian
Avatar du membre
par g3n-h@ckm@n
#175000
hello tu veux qu'on fasse un diagnostique voir s'il ne traine rien d'autre tout de même ?
Avatar du membre
par pedro280456
#175015
Je veux bien, c'est sympa, d'autant qu'il est assez lent( beaucoup trop de processus ouverts, je pense.
Amitiés.
Avatar du membre
par g3n-h@ckm@n
#175020
  • désactive ton antivirus le temps du téléchargement et du scan
  • Télécharge quickDiag de g3n-h@ckm@n sur ton bureau
  • lance-le ( pour vista/7/8/8.1/10 = clic droit "Executer en tant qu'administrateur" )

    Image
  • clique sur "Quick" puis une fois terminé :
  • héberge le rapport sur http://upload.sosvirus.net
  • Donne le lien obtenu dans ta prochaine réponse
note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible à la racine de ton disque ( logiquement C: )
Avatar du membre
par pedro280456
#175027
J'ai le message suivant qui s'affiche : Autolt Error
Line 5000 (File"C:\User\Pedro\Desktop\QuickDiag.exe"):
Error: The requested action with this objet has failed.
Avatar du membre
par g3n-h@ckm@n
#175028
tu as bien cliqué sur le bouton du milieu "Quick" ? et désactivé tes protections ? fais voir le bout de rapport que tu as dans C: stp
Avatar du membre
par pedro280456
#175314
Bonjour,
Regardez un peu ce que je viens de trouver dans des télléchargements; je vous fait un copié/collé. C'est traduit par google; c'est pas tjrs très compréhensible, mais je crois que ça vaut son pesant de cacahuètes :


Vos documents, des photos, des bases de données et autres fichiers importants sont cryptées
avec le cryptage fort et clé unique générée pour cet ordinateur

clé de déchiffrement privée est stockée sur un secret de serveur, et personne ne peut
décrypter des fichiers jusqu'à ce qu'il est payé et vous recevrez la clé.

Si vous voyez la fenêtre serrure principale, suivez les instructions sur le casier.
Il semble que vous ou votre programme antivirus supprimé le programme de casier.
Maintenant vous avez la dernière chance de décrypter vos fichiers.

Ouvrez http://fizxfsi3cad3kn7v.onion.cab ou http://fizxfsi3cad3kn7v.tor2web.org dans le navigateur.
Ils sont des ports publics à le secret du serveur.

Dans certains ports, utilisez une connexion directe:

1. Télécharger Navigateur Tor http://torproject.org

2. Tor Browser ouvrir http: //fizxfsi3cad3kn7v.onion/
Remarque: Ce serveur est uniquement disponible via le navigateur Tor.
S'il vous plaît essayer de nouveau dans une heure si le site est pas accessible.

Copiez et collez la clé publique suivante dans la forme sur le serveur.
EOGJVLU-WNENCB3-6LGNY27-57IJWKQ-PNHIUQ6-CTPJDBI-YKVPGMY-LQOALOQ
3NM3N2N-TGMSKXJ-JGVUM6B-BATM2F6-5KA6XFE-ZP5WVKR-C5GW3SK-XUCNX2B
RMW7GIG-SPGMZ37-ZYPO3EW-OEDQTSR-5HAHJRM-R66XQ32-SIY2TCJ-T5FGW6G


Suivez les instructions du serveur.

A vous lire

Amitiés.

Christian
Avatar du membre
par g3n-h@ckm@n
#175321
hello

ok :)

tu peux executer la derniere operation qui je viens de te demander stp ? j'ai besoin de quelques infos de plus , et héberge ce fichier sur http://cjoint.com aussi je veux voir ta trouvaille de plus près ;)

PS: je suis allé voir avec Tor sur leur site , et ils proposent de décrypter 2 fichiers gratuitement , j'ai mis ton fichier crypté , et bien evidemment , la page n'aboutit jamais , ils risquent pas de gagner grand chose s'ils ne font meme pas ce qu ils disent pour appater les gens mdr

http://g3n-hackman.ddns.net/Capture_canada.PNG

par contre le premier lien est bloqué par Tor ( ransomware blablabla.... )
Avatar du membre
par g3n-h@ckm@n
#175378
oui mais celui-là c'est celui que tu as lancé la semaine derniere Start 22/02/2016 18:05:13 , il m'en faudrait un nouveau avec la version à jour
Avatar du membre
par g3n-h@ckm@n
#175399
heu pas vraiment non ^^

tu telecharges la derniere version , tu relances une analyse comme precedemment et tu heberges le nouveau rapport obtenu
Avatar du membre
par g3n-h@ckm@n
#175442
bonjour

tu relances à chaque fois l ancienne version ( 22.02.2016.1 ) au lieu de la derniere à jour ( 29.02.2016.1 ) :/
Avatar du membre
par g3n-h@ckm@n
#175460
impec

désinstalle McAfee Security Scan Plus il sert à rien

==

récupère ce dossier et mets-le sur ton bureau , je pense qu'on va trouver quelque chose en rapport avec ton infection la dedans , j'aurai peut etre des fichiers à étudier à l interieur : C:\Users\Pedro\AppData\Local\ctwjnqgi

==

Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
Télécharge http://www.telecharger.sosvirus.net/download/otm/ OTM (OldTimer) sur ton Bureau :
Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :
Code : Tout sélectionner
:reg   
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
[HKLM\System\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"Locked"=DWORD:0
[-HKLM\Software\WOW6432Node\Google\Chrome\Extensions\llmcibonccojooiboenghfafpieoabpl]
[HKU\S-1-5-18\Software\mozilla\Firefox\Extensions]
"{87CB8F20-BDCF-776A-7E10-EBEAD9F2013D}"=-
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\aortxwao]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\BrowserOptout]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Casino Client]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Casino.com]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\EuroKingCasino]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\ForumerIT]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Freemake]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\OZJwsg]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\PlayFreeBrowser]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\ProductSetup]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Zxskvvcnje]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\zZQHVKdsu7n6Hx4B]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\{ED1B9D37-BF23-4E95-82D3-964D8FD7F01E}]
[-HKLM\Software\WOW6432Node\BrowserOptout]
[-HKLM\Software\WOW6432Node\Casino Client]
[-HKLM\Software\WOW6432Node\Casino.com]
[-HKLM\Software\WOW6432Node\OZJwsg]

:files
C:\Windows\Temp\*
C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\gnd3km7i.default\Extensions\jid1-aPwS0JCl36iLkQ@jetpack
C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\gnd3km7i.default\Extensions\UWFJl@gmail.com
C:\0
C:\0.bak
C:\*.wgfmxed
C:\pUeh7vYQXMw3dezR
C:\Users\Pedro\AppData\Local\16859
C:\Users\Pedro\AppData\Local\*.wgfmxed
C:\Program Files (x86)\0749af4e-a498-4dfc-a3b2-3cf5067ea67f
C:\Program Files (x86)\c841fadf-2770-44db-b6b7-0da79b268189
C:\Program Files (x86)\a7e0734b-f5b5-4817-93e7-b7ca1f241b28
C:\Program Files (x86)\CutterGeneration
C:\Program Files (x86)\d7288a2e-0124-49fb-8700-7283a3d77458
C:\Program Files (x86)\eadd7f5d-af9f-4ab4-b0ae-65448cfbc8e1
C:\WINDOWS\Tasks\SpyHunter4.job
C:\WINDOWS\Tasks\suprize_notification_service.job
C:\WINDOWS\Tasks\suprize_updating_service.job
C:\WINDOWS\System32\Tasks\SpeeditUp Update
C:\WINDOWS\System32\Tasks\SpyHunter4 
C:\WINDOWS\System32\Tasks\suprize_notification_service
C:\WINDOWS\System32\Tasks\suprize_updating_service  

:commands
[emptytemp]
Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

So sánh giá online ở đâu l&ag[…]

sdasd

asdas

Elevate your online presence with our expert wiki […]

Message d'erreur

Bonjour, Je viens de reconditionner un PC portable[…]