Forum d'Entraide Informatique (FEI)

Bonjour,
Depuis quelques temps déjà, sans pouvoir préciser, mes fichiers images se voient attribuer une seconde extension "wgfmxed" et je ne peux plus les ouvrir. Exemple de nom de fichier : 001.JPG.wgfmxed.
De quoi s'agit-il?

Merci d'avance,

Pedro

salut

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
Télécharge Pre_Scan sur ton bureau !
Si le lien n'est pas fonctionnel :
- #ICI (renommé winlogon)
Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
- #SCR
- #PIF
- #COM
Si des Proxy sont détectés et que tu n'en as pas installé :
- Clique sur Supprimer le Proxy
Le scan ne dure généralement pas plus de 10 mn
A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt SosUpload puis donne le lien

Désolé pour le retard de ma réponse; j'ai eu d'autres sérieux soucis et j'ai perdu le sujet de vue. Voici le lien du rapport demandé. En tous cas, merci de ton aide.
http://upload.sosvirus.net/download/p6x ... 1y2205p6ds.

bonsoir logge-toi sous ton pseudo stp , trop de fanfarons s'amusent sur le net et je veux être sûr que ce soit bien de ta machine dont je m'aoccupe

Voilà qui est fait.

ok ca sent pas bon

Télécharge Dr.Web CureIt sur ton bureau.
Canned Speech Dr.Web CureIt
Lance Dr.Web CureIt, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

NOTE : Un message va apparaître pour t'informer que le logiciel passe en mode protection renforcer, c'est normal ! ~> Clique sur OK
Coche "J'accepte de participer au programme d'amélioration du logiciel ..."
Clique sur Continuer
Clique sur Lancer l'analyse
Une fois le scan terminé ferme la fenêtre.

Note : Le rapport se trouve dans C:\Users\""Nom de la session""\Doctor Web
Héberge le rapport cureit.log sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Comment héberge-t-on dans cjoint?

J'ai trouvé ( savais même pas que ça existait ) : lien: http://www.cjoint.com/c/FBha3thOS4T. Courage !

re

tu n'as pas cliqué sur "Desinfecter à la fin ?"

désinstalle systemhealer si tu peux

Non, je n'ai pas "neutralisé"; le programme est désinstallé bien qu'Avast me signale qu'il reste 2 fichiers.

c'est vrai qu il est mal fait ce tuto , il fallait cliquer sur neutraliser ^^

J'avais laissé la fenêtre ouverte; les deux menaces détectées sont "neutralisées".

Bonsoir Doc: Déjà un diagnostique, une idée? grave? Que donnent les analyses?

hello tu peux m'envoyer un fichier JPG crypté stp ?

en pièce jointe.

hello héberge-le sur cjoint.com et donne le lien obtenu en échange

Voici le lien : http://www.cjoint.com/c/FBowrbt7aJk

hello j'ai bossé sur ton fichier avec plusieurs methodes de décryptage et apparemment pas moyen d'en sortir quelque chose , il semblerait qu'il ne soit pas possible de les décrypter pour le moment

Tant pis. Incroyable ce truc; jamais vu ça.
En tous cas, sois remercié pour tout ce temps passé en vaines recherches.
Bonne continuation.
Christian

hello tu veux qu'on fasse un diagnostique voir s'il ne traine rien d'autre tout de même ?

Je veux bien, c'est sympa, d'autant qu'il est assez lent( beaucoup trop de processus ouverts, je pense.
Amitiés.

désactive ton antivirus le temps du téléchargement et du scan
Télécharge quickDiag de g3n-h@ckm@n sur ton bureau
lance-le ( pour vista/7/8/8.1/10 = clic droit "Executer en tant qu'administrateur" )
clique sur "Quick" puis une fois terminé :
héberge le rapport sur http://upload.sosvirus.net
Donne le lien obtenu dans ta prochaine réponse

note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible à la racine de ton disque ( logiquement C: )

J'ai le message suivant qui s'affiche : Autolt Error
Line 5000 (File"C:\User\Pedro\Desktop\QuickDiag.exe"):
Error: The requested action with this objet has failed.

tu as bien cliqué sur le bouton du milieu "Quick" ? et désactivé tes protections ? fais voir le bout de rapport que tu as dans C: stp

http://www.cjoint.com/c/FBwngvVFeSk

re

c'est ok j'ai fixé le beug , donc supprime la version que tu as et le rapport puis retélécharge-le ici : https://toolslib.net/downloads/viewdown ... quickdiag/ ( j'ai pas la main pour le modifier sur SOSVirus pour l instant )

il devrait aller jusqu'au bout maintenant

Bonjour,
Regardez un peu ce que je viens de trouver dans des télléchargements; je vous fait un copié/collé. C'est traduit par google; c'est pas tjrs très compréhensible, mais je crois que ça vaut son pesant de cacahuètes :

Vos documents, des photos, des bases de données et autres fichiers importants sont cryptées
avec le cryptage fort et clé unique générée pour cet ordinateur

clé de déchiffrement privée est stockée sur un secret de serveur, et personne ne peut
décrypter des fichiers jusqu'à ce qu'il est payé et vous recevrez la clé.

Si vous voyez la fenêtre serrure principale, suivez les instructions sur le casier.
Il semble que vous ou votre programme antivirus supprimé le programme de casier.
Maintenant vous avez la dernière chance de décrypter vos fichiers.

Ouvrez http://fizxfsi3cad3kn7v.onion.cab ou http://fizxfsi3cad3kn7v.tor2web.org dans le navigateur.
Ils sont des ports publics à le secret du serveur.

Dans certains ports, utilisez une connexion directe:

1. Télécharger Navigateur Tor http://torproject.org

2. Tor Browser ouvrir http: //fizxfsi3cad3kn7v.onion/
Remarque: Ce serveur est uniquement disponible via le navigateur Tor.
S'il vous plaît essayer de nouveau dans une heure si le site est pas accessible.

Copiez et collez la clé publique suivante dans la forme sur le serveur.
EOGJVLU-WNENCB3-6LGNY27-57IJWKQ-PNHIUQ6-CTPJDBI-YKVPGMY-LQOALOQ
3NM3N2N-TGMSKXJ-JGVUM6B-BATM2F6-5KA6XFE-ZP5WVKR-C5GW3SK-XUCNX2B
RMW7GIG-SPGMZ37-ZYPO3EW-OEDQTSR-5HAHJRM-R66XQ32-SIY2TCJ-T5FGW6G

Suivez les instructions du serveur.

A vous lire

Amitiés.

Christian

hello

ok

tu peux executer la derniere operation qui je viens de te demander stp ? j'ai besoin de quelques infos de plus , et héberge ce fichier sur http://cjoint.com aussi je veux voir ta trouvaille de plus près

PS: je suis allé voir avec Tor sur leur site , et ils proposent de décrypter 2 fichiers gratuitement , j'ai mis ton fichier crypté , et bien evidemment , la page n'aboutit jamais , ils risquent pas de gagner grand chose s'ils ne font meme pas ce qu ils disent pour appater les gens mdr

http://g3n-hackman.ddns.net/Capture_canada.PNG

par contre le premier lien est bloqué par Tor ( ransomware blablabla.... )

Je pensais déjà l'avoir mise cette adresse : http://www.cjoint.com/c/FBDnjkVTwfk
Pour le fichier trouvé, c'est clairement une tentative d'escroquerie.Je pense déposer une plainte; la police belge a un département informatique spécialisé.

a+

oui mais celui-là c'est celui que tu as lancé la semaine derniere Start 22/02/2016 18:05:13 , il m'en faudrait un nouveau avec la version à jour

Ceci alors ?
http://www.cjoint.com/c/FBDsnUGjfLk

heu pas vraiment non ^^

tu telecharges la derniere version , tu relances une analyse comme precedemment et tu heberges le nouveau rapport obtenu

Ceci alors :

http://www.cjoint.com/c/FCbovel2nVk.

Ceci alors :

http://www.cjoint.com/c/FCbovel2nVk.

bonjour

tu relances à chaque fois l ancienne version ( 22.02.2016.1 ) au lieu de la derniere à jour ( 29.02.2016.1 ) :/

Alors ça ?

http://www.cjoint.com/c/FCbuDmVEOmk

impec

désinstalle McAfee Security Scan Plus il sert à rien

==

récupère ce dossier et mets-le sur ton bureau , je pense qu'on va trouver quelque chose en rapport avec ton infection la dedans , j'aurai peut etre des fichiers à étudier à l interieur : C:\Users\Pedro\AppData\Local\ctwjnqgi

==

Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
Télécharge http://www.telecharger.sosvirus.net/download/otm/ OTM (OldTimer) sur ton Bureau :
Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :

Code : Tout sélectionner

:reg   
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
[HKLM\System\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"Locked"=DWORD:0
[-HKLM\Software\WOW6432Node\Google\Chrome\Extensions\llmcibonccojooiboenghfafpieoabpl]
[HKU\S-1-5-18\Software\mozilla\Firefox\Extensions]
"{87CB8F20-BDCF-776A-7E10-EBEAD9F2013D}"=-
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\aortxwao]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\BrowserOptout]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Casino Client]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Casino.com]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\EuroKingCasino]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\ForumerIT]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Freemake]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\OZJwsg]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\PlayFreeBrowser]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\ProductSetup]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\Zxskvvcnje]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\zZQHVKdsu7n6Hx4B]
[-HKU\S-1-5-21-4098707584-1504196189-1175609666-1000\Software\{ED1B9D37-BF23-4E95-82D3-964D8FD7F01E}]
[-HKLM\Software\WOW6432Node\BrowserOptout]
[-HKLM\Software\WOW6432Node\Casino Client]
[-HKLM\Software\WOW6432Node\Casino.com]
[-HKLM\Software\WOW6432Node\OZJwsg]

:files
C:\Windows\Temp\*
C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\gnd3km7i.default\Extensions\jid1-aPwS0JCl36iLkQ@jetpack
C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\gnd3km7i.default\Extensions\UWFJl@gmail.com
C:\0
C:\0.bak
C:\*.wgfmxed
C:\pUeh7vYQXMw3dezR
C:\Users\Pedro\AppData\Local\16859
C:\Users\Pedro\AppData\Local\*.wgfmxed
C:\Program Files (x86)\0749af4e-a498-4dfc-a3b2-3cf5067ea67f
C:\Program Files (x86)\c841fadf-2770-44db-b6b7-0da79b268189
C:\Program Files (x86)\a7e0734b-f5b5-4817-93e7-b7ca1f241b28
C:\Program Files (x86)\CutterGeneration
C:\Program Files (x86)\d7288a2e-0124-49fb-8700-7283a3d77458
C:\Program Files (x86)\eadd7f5d-af9f-4ab4-b0ae-65448cfbc8e1
C:\WINDOWS\Tasks\SpyHunter4.job
C:\WINDOWS\Tasks\suprize_notification_service.job
C:\WINDOWS\Tasks\suprize_updating_service.job
C:\WINDOWS\System32\Tasks\SpeeditUp Update
C:\WINDOWS\System32\Tasks\SpyHunter4 
C:\WINDOWS\System32\Tasks\suprize_notification_service
C:\WINDOWS\System32\Tasks\suprize_updating_service  

:commands
[emptytemp]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

Bonsoir,
Il semble que le lien vers OTM soit obsolète; la page n'existe plus.

hello colle le texte en bas de cet outil , c'est pratiquement le meme et clique sur correction : http://g3n.ddns.net/OTL.com

et pense au dossier indiqué avant le script

Voici le lien :

http://www.cjoint.com/c/FCcweYtmTQk

Forum d'Entraide Informatique (FEI)

"sur-extension".

"sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".

Re: "sur-extension".