Se connecter avec
S'enregistrer | Connectez-vous
Votre question
Fermé

[Résolu] virus police nationale/cheval de troie : fichiers locked-

Tags :
  • Virus
  • locked
  • Trojan
  • police nationale
  • Sécurité
Dernière réponse : dans Sécurité et virus
Partagez
13 Mai 2012 18:27:57

Bonjour,
j'étais sur une page internet, lorsque avast ma prévenu de l'intrusion d'un cheval de Troie dans mon ordinateur, je suis allé sur avast pour "nettoyer maintenant" le fichier infecté.
Depuis, tous les fichiers de mon bureau, et de mon ordinateur je suppose, sont précédés de "locked-" et sont alors inutilisable.
Tous les "nouveaux" fichiers sont de types différents : .jfnj, .fyyc, .uvge...

merci pour vos conseils

Autres pages sur : resolu virus police nationale cheval troie fichiers locked

a c 328 8 Sécurité
13 Mai 2012 22:02:37

Bonsoir,

Surtout ne touche ni ne renomme aucun de ces fichiers bloqué. (sous peine de ne plus pouvoir les nettoyer ensuite)

As-tu la possibilité d'avoir une copie saine d'un de ces fichiers bloqué ? (comme sur une sauvegarde, clé usb, etc )

14 Mai 2012 09:20:02

bonjour,
je n'ai touché aucun des fichiers, et j'ai une sauvegarde sur un DD externe d'environ il y a deux mois, mais j'ai beaucoup travaillé depuis et pris des photos, donc j'aimerai mieux si possible de pouvoir nettoyer le PC à ce jour plutôt que de revenir à il y a deux mois.

j'ai aussi oublié de vous dire qu'hier, j'ai eu une page de la police nationale qui s'ouvrait me demandant de payer 100 euros pour une amende... et quand la page s'ouvrait tout l'ordi se bloquait, et à force de redémarrer l'ordi plusieurs fois, cette page n'apparaissait plus.

plus tard j'ai essayé de restaurer à il y a 3 jours, mais rien n'y fait, les dossiers et fichier sont toujours "locked".

Contenus similaires
a c 328 8 Sécurité
14 Mai 2012 09:54:51

Re,

OK, en fait ma question n'était pas de restaurer une sauvegarde, juste de trouver une copie d'un fichier sain identique au fichier "locked" car les outils à utiliser pour débloquer vont en avoir besoin.

Une photo, un fichier texte, n'importe, le tout c'est que les deux fichiers soit identique, l'un sain, l'autre "locked".
Merci de me confirmer si c'est possible.
(par exemple il ne faut pas que tu ai travaillé sur le fichier depuis sa sauvegarde ...)

En attendant, on va nettoyer le reste de l'infection si encore présente :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 328 8 Sécurité
    14 Mai 2012 11:12:33

    Re,

    Adobe reader pas à jour, Java pas à jour, c'est pour cette raison que tu as été infecté, ce n'est pas pour rien qu'on vous bassine avec les mises à jour.
    On s'en occupera en fin de désinfection.

    Deux antivirus résident : Avast! et Norton Internet Security
    Multiplier les protections ne fait que ralentir le pc, et peut provoquer des dysfonctionnements et conflit, un seul antivirus par pc !
    On s'en occupera après.

    Il n'y a plus de trace de l'infection en elle-même la restauration du système à dû la supprimer.
    Il ne reste donc qu'à traiter les fichiers bloqué.

    Est-ce que par exemple tu ne pourrais avoir une copie de ce catalogue non cryptée ?
    locked-CATALOGUE JUSTAU 2011 2012.pdf.ppmy
    Sur le site où tu l'a trouvé par exemple ? (il faut absolument qu'il est le même nom, il ne faut pas que tu l'ai modifié)
    Ainsi on aura une copie cryptée et l'autre saine, et on pourra passer à l'outil de décryptage.

    Sinon, si tu te rappels exactement quel url est-ce celle-ci ?
    locked-Le Figaro - Actualités.url.nxno

    Le logiciel va travailler par comparaison, donc il faut un fichier sain et sa version cryptée, après il l'appliquera à tous le reste des fichiers crypté.
    14 Mai 2012 11:31:33

    je en savais pas que adobe et java pouvais laisser entrer des infections....
    et pour Norton, il a été livré avec l'ordinateur, et impossible de le supprimer.

    j'ai pu retrouver sur le site "Figaro actualité.url" donc j'ai ufichier sain et locked.
    a c 328 8 Sécurité
    14 Mai 2012 17:08:36

    Re,

    Ok, on va tester alors :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    a c 328 8 Sécurité
    14 Mai 2012 20:25:58

    Re,

    Citation :
    19:53:10.0642 4544 Processed: 206124
    19:53:10.0642 4544 Suspicious: 0
    19:53:10.0642 4544 Found: 14524
    19:53:10.0642 4544 Decrypted: 14514


    Soit il a reconnu automatiquement le fichier sain, soit la clé de cryptage, mais apparemment il a tout décrypté donc c'est le principal.
    (semble y avoir quelques uns avec des erreurs, mais pas important)

    Regarde si tu as retrouvé les fichiers principaux que tu voulais et s'ils sont fonctionnels (image perso, etc)

    Si tout est bon, mais l'option de suppression, et relance l'analyse.
    14 Mai 2012 21:40:25

    voilà le scan terminé, et tous les "locked" supprimés.

    Apparement tout est récupéré, mis à part ma messagerie mozilla thunderbird où les dossiers sont encore précédés de "locked", et son agenda.
    a c 328 8 Sécurité
    14 Mai 2012 22:27:25

    Re,

    Selon le rapport il les avait décrypté pourtant :
    Citation :
    19:28:21.0010 4544 Processing file: C:\Users\Toutoune\AppData\Roaming\Thunderbird\Profiles\4gn8yz1e.default\Mail\pop.orange.fr\Inbox.sbd\locked-Philippe.msf.iisl
    19:28:21.0090 4544 Processing file: C:\Users\Toutoune\AppData\Roaming\Thunderbird\Profiles\4gn8yz1e.default\Mail\pop.orange.fr\locked-Inbox.bbhk.msf
    etc ...


    Ils sont accessible ou non ?
    Y'a plus rien des messages reçu etc ?
    15 Mai 2012 10:35:01

    bonjour, je ne les trouve pas en suivant C/utilisateur/AppData.....
    et dans la boite je reçois les nouveaux messages, mais mes dossiers sont en doubles avec des locked, mais pas les messages reçus.
    Mais je pense pouvoir les renommer car tout a l'air de fonctionner.
    voici une impression écran: http://pjjoint.malekal.com/files.php?id=20120515_7i12d9...

    Ce qui m"embête le plus c'est mon agenda, je ne comprends pas pourquoi l'onglet a disparu dans mozilla.
    est ce qui je le reinstalle je perds mes dossiers ou les récupère avec mes identifiants.
    15 Mai 2012 10:40:42

    j'ai retrouvé les fichiers dans les cibles indiquées, et je ne peux en ouvrir aucun
    a c 328 8 Sécurité
    15 Mai 2012 15:13:42

    Re,

    Bon, ça va être un peu coton pour ça :D 

    Citation :
    et dans la boite je reçois les nouveaux messages, mais mes dossiers sont en doubles avec des locked, mais pas les messages reçus.
    Mais je pense pouvoir les renommer car tout a l'air de fonctionner.

    Les dossiers en double, tu regardes si ceux non locké sont bien accessible et contiennent tes mails, si oui, supprime les "locked" en double manuellement dans Thunderbird
    Ceux qui n'ont plus "locked" devant, qui doivent s'ouvrir donc, mais qui ont toujours l'extension à la fin, là tu peux renommer sans souci s'il sont accessible et contiennent les mails.

    Pour l'agenda, c'était l'extension sunbird que tu avais ? Ou un autre addon/module ?
    16 Mai 2012 11:57:38

    bonjour,
    alors j'ai supprimé tous les dossiers, et la boite a l'air de marcher normalement.
    Mais toujours pas d'agenda, alors que j'avais la même version, j'ai rien touché.

    Je me demande si je réinstalle thunderbird, et que je rentre mes identifiants si je perds mes dossiers et mes messages?
    a c 328 8 Sécurité
    16 Mai 2012 14:33:58

    Re,

    Alors deux choses :
    - tu peux me dire comme j'avais demandé qu'est-ce qui gère ton agenda ? Car thunderbird ne possède pas par défaut d'agenda, donc c'est un module/addon, et j'aimerais savoir lequel, sunbird ou un autre.

    Citation :
    Je me demande si je réinstalle thunderbird, et que je rentre mes identifiants si je perds mes dossiers et mes messages?


    Justement si tu me donne le nom du module/addon, on aura que lui à réinstaller, donc pas de souci.
    Sinon en fait ce que tu me dis, oui, Thunderbird enregistre des "profils", tant qu'eux tu ne les supprime pas, tu ne perd rien, même en désinstallant thunderbird puis réinstallant, on verra après au besoin.
    24 Mai 2012 11:10:14

    bonjour,
    Tout a l'air de bien fonctionner, et j'ai même retrouvé mon agenda sur la messagerie, je vous remerci beaucoup pour votre aide!
    au revoir
    a c 328 8 Sécurité
    24 Mai 2012 11:24:03

    Re,

    Très bien, on nettoie les outils et on conclu alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement "Rannohdecryptor"


    Tu as été infecté car des plugins n'étaient pas à jour sur ce pc, il faut toujours maintenir à jour son système et ses logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Nous avons appris que cette infection était capable de subtiliser des informations sensible avant le cryptage des fichiers (mot de passes, etc ...)
    Il convient donc de surveiller pendant un moment l'activité sur tes compte mails, réseaux sociaux et banques/paiement, et de changer autant que possible leurs mot de passe


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    30 Mai 2012 11:56:08

    et bien très bien, je vous remerci de cette aide précieuse!
    Au revoir
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS