Votre question

[Résolu] - Virus police Nationale et fichiers locked ... moi-aussi

Tags :
  • Virus
  • police nationale
  • Locked
  • Nettoyage
  • Windows 7
  • Sécurité
  • Écrans
Dernière réponse : dans Sécurité et virus
14 Mai 2012 11:33:05

Bonjour,

De la même façon que Maxime6993 j'ai d'abord eu l'écran d'alerte Police Nationale.
En utilisant Roguekiller et Malwarebytes j'ai fait un peu de nettoyage.
Le PC (sous windows 7) redémarre bien mais tous les fichiers du DD et des DD connectés sont altérés: renommés avec le préfixe locked et en rajoutant une extension random à 4 lettres.
Je suis preneur d'aide pour s'assurer du nettoyage du PC et si possible de la récupération des fichiers.
J'ai une sauvegarde d'une partie d'entre eux qui remonte à 2 semaines.

Merci d'avance

Autres pages sur : resolu virus police nationale fichiers locked

a c 1009 8 Sécurité
a c 89 $ Windows 7
a b C Ecran
14 Mai 2012 13:19:01

Bonjour,

C'est parfait si tu as au moins un fichier original et son homologue locked.
L'outil devrait être en mesure de décrypter tes fichiers.

Mais auparavant, nous allons contrôler ton système afin de s'assurer que le ransomware n'est plus présent sur ton système.

OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.


  • @+
    Contenus similaires
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    14 Mai 2012 22:57:30

    Bonsoir,

    Ton système comporte des failles de sécurité au niveau de Java, Flash Player et Adobe Reader, qui ont été exploitées par le Virus Gendarmerie.
    On s'en occupera par la suite.

    ---------------------------------------------------------------------------------------------

    Recommandations pendant la désinfection :

    • n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
    • suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
    • signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
    • un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles auparavant ou dès que c'est possible
    • que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection


  • ---------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous

      :OTL
      IE - HKU\S-1-5-21-616151647-449351034-108924026-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15503&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=LH&apn_dtid=YYYYYYYYFR&apn_uid=06018876-956C-4580-9F14-E661E9E6CCA9&apn_sauid=846E7306-B7AB-45D2-8ECC-FA515629EE06
      [2012/05/13 19:58:19 | 000,002,395 | ---- | M] () -- C:\Users\Yannick\AppData\Roaming\Mozilla\Firefox\Profiles\2iprb8m6.default\searchplugins\locked-askcom.xml.ltnf
      [2012/05/13 19:58:19 | 000,000,923 | ---- | M] () -- C:\Users\Yannick\AppData\Roaming\Mozilla\Firefox\Profiles\2iprb8m6.default\searchplugins\locked-conduit.xml.osfr
      O3 - HKU\S-1-5-21-616151647-449351034-108924026-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
      O7 - HKU\S-1-5-21-616151647-449351034-108924026-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
      O7 - HKU\S-1-5-21-616151647-449351034-108924026-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
      [2012/05/13 19:43:51 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Roaming\Qtqf
      [2012/05/13 20:12:29 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{0C1D1FF1-6880-4F23-8DB2-7D6B3CCF4E7B}
      [2012/05/13 20:12:17 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{88186A38-3FB4-4B2C-89C3-A0169019A626}
      [2012/05/13 12:56:48 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{8ECDB210-00D6-4962-ABC4-E8F2202EF18A}
      [2012/05/13 12:56:37 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{0831E32C-4138-43AE-9BB1-B977B6D6C862}
      [2012/05/13 12:18:56 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{ADFF732C-6A34-44F6-8F0A-9D10C1687F63}
      [2012/05/13 12:18:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{8C1488F2-FCD5-4D8B-8BBB-9DD7B645B2AB}
      [2012/05/13 11:33:08 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{DC1B04E3-E09E-44FF-8B8B-B185E6675B89}
      [2012/05/13 11:32:56 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{AEEF6D97-A827-4484-B857-F3538E04DAF1}
      [2012/05/12 10:01:55 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{54758028-22F8-4A49-AC3B-D3B74BB6F072}
      [2012/05/12 10:01:43 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{C505B5F6-0E9E-4F45-ADFF-9CBB1467D138}
      [2012/05/11 18:30:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{60BCF792-6938-4227-95E5-E3DE7616B50F}
      [2012/05/11 18:30:34 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{E25FF8E7-9B9C-4A6D-AD9A-FBA76811A537}
      [2012/05/10 18:06:00 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{31917E94-E011-467E-A28B-46D20FFBF9D1}
      [2012/05/10 18:05:47 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{E68B1A21-0465-4970-9808-BE0040DEF961}
      [2012/05/09 15:35:33 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{40928513-B185-4456-B735-FA9F38FA1079}
      [2012/05/09 15:35:22 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{B0E9A6B0-A97C-49BC-BBFF-8A226F396F53}
      [2012/05/08 11:28:32 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{BBF63ADC-E675-4A9A-BAFF-F9BA72B5A12F}
      [2012/05/08 11:28:20 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{3E0DC880-19E2-4ABC-A1B9-3EDB2540FB4A}
      [2012/05/07 09:45:33 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{67D5BF7A-AD64-4F72-8ABE-F275E171B098}
      [2012/05/07 09:45:21 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{B0BBDF81-09F6-44FF-A367-2F9FD9A3073F}
      [2012/05/07 08:36:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{BACBCFBC-4725-45DE-BA48-801714B196D6}
      [2012/05/07 08:36:34 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{12585BF2-C7B2-40C7-B21A-03C3FF61B68E}
      [2012/05/06 13:20:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{9958BDF4-B118-45E8-9917-81790B62CFF4}
      [2012/05/06 13:20:33 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{EB295A41-783E-4B67-9111-6D641C9130C7}
      [2012/05/05 10:39:48 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{E1FE2202-CEAC-4654-9E59-2341025DE1F6}
      [2012/05/05 10:39:35 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{214329A3-4F82-481C-8962-B57FE558C02A}
      [2012/05/03 22:10:20 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{0D13C25F-D7C3-4BBA-885C-19993718D05D}
      [2012/05/03 22:10:07 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{19DB4FD1-AA55-4DE3-BE00-4691F62EDCC9}
      [2012/05/03 19:37:22 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{BC1C253A-165A-49D3-A127-355B9A1664D7}
      [2012/05/03 19:37:11 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{3725FCDB-65ED-4873-995E-6CF66CB59CEC}
      [2012/05/03 17:47:41 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{78834C84-4B0B-4A62-987E-57612C3EDFDF}
      [2012/05/03 17:47:29 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{4E8D7DB7-31C2-4C26-B6FF-3033B5E42888}
      [2012/05/02 09:13:27 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{A8BDDA52-2308-4F21-BD0C-ACFB4D43EC97}
      [2012/05/02 09:13:15 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{AEEBAFF3-04C3-4E44-8C0E-45B5869B0960}
      [2012/05/01 09:15:18 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{829CBB19-CB4D-46CE-A04A-959612B0E338}
      [2012/05/01 09:15:07 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{D29B6474-711F-4D72-8C30-AC5A4F03DD93}
      [2012/04/30 10:07:58 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{0113C0CC-E2D1-409D-8D34-3AD54D3A3E2C}
      [2012/04/30 10:07:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{3E20C464-E1FD-4524-8F2A-E0B9CBCC233F}
      [2012/04/29 10:26:20 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{61FF1753-57C1-40A9-A715-081F675B7484}
      [2012/04/29 10:26:05 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{28F1F0C3-3800-4148-9EE1-84DAFE57D01C}
      [2012/04/28 10:29:29 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{2532ADF0-2CA2-4264-AA50-128F25527FC5}
      [2012/04/28 10:28:46 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{DC48FEBF-C950-4278-A393-96722703FFA1}
      [2012/04/27 18:58:42 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{88CD2EF6-B360-4C76-8830-ED21368907F6}
      [2012/04/27 18:58:31 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{1E6ECEF2-E610-4FB1-9D2F-03BCAB52311E}
      [2012/04/26 19:25:00 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{1B612892-8CDC-4A45-B918-3A79F4B27CBC}
      [2012/04/26 19:24:49 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{3C286A64-FD31-40B3-B601-14F55DDC6880}
      [2012/04/25 13:57:00 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{C26A0323-D691-4D2F-9223-CDF30D391A9B}
      [2012/04/25 13:56:41 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{083155BE-2DAC-49FF-9705-FABD389F0B1F}
      [2012/04/24 09:48:06 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{FB0B382F-0253-4641-AA6A-9C205ABEEECF}
      [2012/04/24 09:47:54 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{A2D42924-6DF3-4602-9020-18B83E1CF51E}
      [2012/04/23 11:08:30 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{96105137-BB79-4497-AF80-E67CD682E810}
      [2012/04/23 11:08:11 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{87F5323B-BC9A-44B1-AE0C-9596001DCD41}
      [2012/04/22 12:03:33 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{54223557-421E-4A3D-80DE-09A8D2F62F91}
      [2012/04/22 12:03:20 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{34ACC40C-8238-47A1-A713-E8C49BFC8ABA}
      [2012/04/21 11:40:12 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{481C31F1-F733-4165-83CF-CE6003AFD644}
      [2012/04/21 11:40:01 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{5E9A60BE-31CA-44D7-8C5B-4203AF8A008A}
      [2012/04/20 21:37:41 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{01CD2226-8C43-4271-BF96-AAD52F712834}
      [2012/04/20 21:37:29 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{83AA05F9-1EBF-45E9-B325-85225D42B50B}
      [2012/04/19 21:23:15 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{DEFA6ABC-A4B8-4C25-84E7-31BCCB281F47}
      [2012/04/19 21:23:04 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{5B078045-C866-4FF5-880C-3B3D1EB5899D}
      [2012/04/18 08:37:51 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{1FD475A7-74E2-4A75-A2E4-F3E555156E5A}
      [2012/04/18 08:37:38 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{317475FE-5766-4F98-BFDC-C08D3C4C43C8}
      [2012/04/17 19:18:09 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{A7E3CF44-50D9-4A68-8EBC-0DB97318FF4E}
      [2012/04/17 19:17:57 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{91F612AC-AFDE-4DDB-A890-DC80567F2262}
      [2012/04/16 19:39:45 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{042EDB04-8A24-4510-825B-7802813CE93F}
      [2012/04/16 19:39:32 | 000,000,000 | ---D | C] -- C:\Users\Yannick\AppData\Local\{389CFBC9-D5AE-4416-BFB7-848B59DED070}
      [2010/12/30 15:06:05 | 000,064,268 | ---- | C] () -- C:\Users\Yannick\AppData\Local\tmp07_03A.3
      [2010/12/30 15:06:04 | 000,064,562 | ---- | C] () -- C:\Users\Yannick\AppData\Local\tmp07_03A.2
      [2010/12/30 15:06:03 | 000,064,678 | ---- | C] () -- C:\Users\Yannick\AppData\Local\tmp07_03A.1
      [2010/12/30 15:06:02 | 000,109,932 | ---- | C] () -- C:\Users\Yannick\AppData\Local\tmp07_03A.JPG
      [2010/12/30 15:06:02 | 000,109,932 | ---- | C] () -- C:\Users\Yannick\AppData\Local\tmp07_03A.0
      @Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:D1B5B4F1
      :Commands
      [EMPTYTEMP]
      [CREATERESTOREPOINT]

    • Colle l'intégralité du code dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Pour tes fichiers "locked", il faut avoir l'original d'un fichier (n'importe lequel) pour qu'un outil puisse déterminer la clé de cryptage.
    As-tu une sauvegarde récente d'un de tes fichiers ?

    Par exemple, si tu as l'original non crypté de plan pour Bea.pdf ou plan pour Bea.jpg ?

    @+

    15 Mai 2012 20:06:25

    Bonjour,

    Je peux effectivement utiliser un fichier original (peut être pas celui mentionné...)
    Voici le log

    All processes killed
    ========== OTL ==========
    Registry key HKEY_USERS\S-1-5-21-616151647-449351034-108924026-1003\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
    C:\Users\Yannick\AppData\Roaming\Mozilla\Firefox\Profiles\2iprb8m6.default\searchplugins\locked-askcom.xml.ltnf moved successfully.
    C:\Users\Yannick\AppData\Roaming\Mozilla\Firefox\Profiles\2iprb8m6.default\searchplugins\locked-conduit.xml.osfr moved successfully.
    Registry value HKEY_USERS\S-1-5-21-616151647-449351034-108924026-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
    Registry value HKEY_USERS\S-1-5-21-616151647-449351034-108924026-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableLockWorkstation deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-616151647-449351034-108924026-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableChangePassword deleted successfully.
    C:\Users\Yannick\AppData\Roaming\Qtqf folder moved successfully.
    C:\Users\Yannick\AppData\Local\{0C1D1FF1-6880-4F23-8DB2-7D6B3CCF4E7B} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{88186A38-3FB4-4B2C-89C3-A0169019A626} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{8ECDB210-00D6-4962-ABC4-E8F2202EF18A} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{0831E32C-4138-43AE-9BB1-B977B6D6C862} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{ADFF732C-6A34-44F6-8F0A-9D10C1687F63} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{8C1488F2-FCD5-4D8B-8BBB-9DD7B645B2AB} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{DC1B04E3-E09E-44FF-8B8B-B185E6675B89} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{AEEF6D97-A827-4484-B857-F3538E04DAF1} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{54758028-22F8-4A49-AC3B-D3B74BB6F072} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{C505B5F6-0E9E-4F45-ADFF-9CBB1467D138} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{60BCF792-6938-4227-95E5-E3DE7616B50F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{E25FF8E7-9B9C-4A6D-AD9A-FBA76811A537} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{31917E94-E011-467E-A28B-46D20FFBF9D1} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{E68B1A21-0465-4970-9808-BE0040DEF961} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{40928513-B185-4456-B735-FA9F38FA1079} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{B0E9A6B0-A97C-49BC-BBFF-8A226F396F53} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{BBF63ADC-E675-4A9A-BAFF-F9BA72B5A12F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{3E0DC880-19E2-4ABC-A1B9-3EDB2540FB4A} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{67D5BF7A-AD64-4F72-8ABE-F275E171B098} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{B0BBDF81-09F6-44FF-A367-2F9FD9A3073F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{BACBCFBC-4725-45DE-BA48-801714B196D6} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{12585BF2-C7B2-40C7-B21A-03C3FF61B68E} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{9958BDF4-B118-45E8-9917-81790B62CFF4} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{EB295A41-783E-4B67-9111-6D641C9130C7} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{E1FE2202-CEAC-4654-9E59-2341025DE1F6} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{214329A3-4F82-481C-8962-B57FE558C02A} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{0D13C25F-D7C3-4BBA-885C-19993718D05D} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{19DB4FD1-AA55-4DE3-BE00-4691F62EDCC9} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{BC1C253A-165A-49D3-A127-355B9A1664D7} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{3725FCDB-65ED-4873-995E-6CF66CB59CEC} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{78834C84-4B0B-4A62-987E-57612C3EDFDF} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{4E8D7DB7-31C2-4C26-B6FF-3033B5E42888} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{A8BDDA52-2308-4F21-BD0C-ACFB4D43EC97} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{AEEBAFF3-04C3-4E44-8C0E-45B5869B0960} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{829CBB19-CB4D-46CE-A04A-959612B0E338} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{D29B6474-711F-4D72-8C30-AC5A4F03DD93} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{0113C0CC-E2D1-409D-8D34-3AD54D3A3E2C} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{3E20C464-E1FD-4524-8F2A-E0B9CBCC233F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{61FF1753-57C1-40A9-A715-081F675B7484} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{28F1F0C3-3800-4148-9EE1-84DAFE57D01C} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{2532ADF0-2CA2-4264-AA50-128F25527FC5} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{DC48FEBF-C950-4278-A393-96722703FFA1} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{88CD2EF6-B360-4C76-8830-ED21368907F6} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{1E6ECEF2-E610-4FB1-9D2F-03BCAB52311E} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{1B612892-8CDC-4A45-B918-3A79F4B27CBC} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{3C286A64-FD31-40B3-B601-14F55DDC6880} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{C26A0323-D691-4D2F-9223-CDF30D391A9B} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{083155BE-2DAC-49FF-9705-FABD389F0B1F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{FB0B382F-0253-4641-AA6A-9C205ABEEECF} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{A2D42924-6DF3-4602-9020-18B83E1CF51E} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{96105137-BB79-4497-AF80-E67CD682E810} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{87F5323B-BC9A-44B1-AE0C-9596001DCD41} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{54223557-421E-4A3D-80DE-09A8D2F62F91} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{34ACC40C-8238-47A1-A713-E8C49BFC8ABA} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{481C31F1-F733-4165-83CF-CE6003AFD644} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{5E9A60BE-31CA-44D7-8C5B-4203AF8A008A} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{01CD2226-8C43-4271-BF96-AAD52F712834} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{83AA05F9-1EBF-45E9-B325-85225D42B50B} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{DEFA6ABC-A4B8-4C25-84E7-31BCCB281F47} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{5B078045-C866-4FF5-880C-3B3D1EB5899D} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{1FD475A7-74E2-4A75-A2E4-F3E555156E5A} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{317475FE-5766-4F98-BFDC-C08D3C4C43C8} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{A7E3CF44-50D9-4A68-8EBC-0DB97318FF4E} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{91F612AC-AFDE-4DDB-A890-DC80567F2262} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{042EDB04-8A24-4510-825B-7802813CE93F} folder moved successfully.
    C:\Users\Yannick\AppData\Local\{389CFBC9-D5AE-4416-BFB7-848B59DED070} folder moved successfully.
    C:\Users\Yannick\AppData\Local\tmp07_03A.3 moved successfully.
    C:\Users\Yannick\AppData\Local\tmp07_03A.2 moved successfully.
    C:\Users\Yannick\AppData\Local\tmp07_03A.1 moved successfully.
    C:\Users\Yannick\AppData\Local\tmp07_03A.JPG moved successfully.
    C:\Users\Yannick\AppData\Local\tmp07_03A.0 moved successfully.
    ADS C:\ProgramData\Temp:D 1B5B4F1 deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: AppData

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: HP
    ->Temp folder emptied: 22334127 bytes
    ->Temporary Internet Files folder emptied: 178867378 bytes
    ->Google Chrome cache emptied: 819568 bytes
    ->Flash cache emptied: 1673 bytes

    User: Public

    User: Yannick
    ->Temp folder emptied: 363803301 bytes
    ->Temporary Internet Files folder emptied: 29463565324 bytes
    ->Java cache emptied: 3478393 bytes
    ->FireFox cache emptied: 522299425 bytes
    ->Google Chrome cache emptied: 11133387 bytes
    ->Flash cache emptied: 325977 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 475185251 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 259114 bytes
    RecycleBin emptied: 4365068072 bytes

    Total Files Cleaned = 33 767,00 mb

    Restore point Set: OTL Restore Point

    OTL by OldTimer - Version 3.2.43.0 log created on 05152012_195134

    Files\Folders moved on Reboot...
    C:\Users\Yannick\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    15 Mai 2012 20:49:11

    Bonjour,

    Citation :
    Je peux effectivement utiliser un fichier original (peut être pas celui mentionné...)


    Ce n'était qu'un exemple que je te citais.
    Peu importe le fichier original, du moment qu'il y a son homologue crypté par l'infection.
    C'est par comparaison que l'outil va déterminer la clé d'encryptage et pouvoir ainsi débloquer tous les autres fichiers.

    ---------------------------------------------------------------------------------------------

    RannohDecryptor :

    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options/list]

      @+
    16 Mai 2012 07:57:33

    Bonjour, L'outil a tourné et un rapport rapport a été généré.
    Il Fait 25Mo
    Je n'arrive pas à l'uplloader sur pjjoint.fr (après quelques minutes il me dit "vous n'avez pas choisi de fichier"). Fichier trop gros? Timeout?


    Ca semble avoir fonctionné
    Si je fais tourner à nouveau en activant l'option Delete, ne va_-t-il pas générer une nouvelle série de fichiers décryptés?

    Merci beaucoup pour ton aide
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    16 Mai 2012 08:54:32

    Bonjour,

    Ce n'est pas grave pour le fichier.
    Il en effet trop volumineux.
    Copie-colle dans ta prochaine réponse juste la fin du rapport, de la ligne Statistic à la ligne Scan finished.

    En utilisant l'option Delete crypted files after decryption, l'outil va juste supprimer tous les fichiers identifiés locked.
    Il ne restera plus que les fichiers qui ont été décryptés (en fait pour l'instant, tu as tout en double, les fichiers cryptés et leurs homologues respectifs décryptés).
    Mais d'abord on va vérifier que tout a été décrypté.

    @+
    16 Mai 2012 12:43:18

    Voici l'extrait demandé

    00:39:00.0502 4276 Statistic:
    00:39:00.0502 4276 Processed: 273958
    00:39:00.0502 4276 Suspicious: 0
    00:39:00.0502 4276 Found: 68039
    00:39:00.0502 4276 Decrypted: 45361
    00:39:00.0502 4276 ================================================================================
    00:39:00.0502 4276 Scan finished
    00:39:00.0502 4276 ================================================================================

    Je m'apperçois que tout n'a pas été décrypté
    Il semble que les fichiers ce trouvant sur un DD externe présentent une erreur 112
    Ca peut venir du fait que la place a manqué pour écrire les fichiers décryptés

    Comme la clé de décryptage fonctionne, en activant l'option delete ça devrait régler le problème....

    J'attends ton avis avant de faire

    A+
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    16 Mai 2012 13:53:12

    Re,

    On va le faire en 2 temps.

    Déconnecte ton DD et utilise l'option Delete crypted files after decryption pour supprimer les fichiers marqués locked sur C:

    Ensuite, reconnecte ton DD, libère un maximum d'espace, il n'y a que 15/16 Go de disponible sur 112 Go (si c'est bien le lecteur L: du rapport OTL) et relance l'outil RannohDecryptor pour décrypter les reste.
    Citation :
    00:39:00.0502 4276 Found: 68039
    00:39:00.0502 4276 Decrypted: 45361


    @+
    16 Mai 2012 23:14:07

    Bon et bien je crois que l'on touche à la fin
    Le décryptage est fait sur les différents DD
    J'ai testé bon nombre de fichiers et tout est lisible.

    J'ai mis à jour Adobe reader et Flash ainsi que Java.

    Y a-t-il d'autres précautions à prendre?

    Merci beaucoup pour ton aide qui aura été précieuse
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    17 Mai 2012 09:52:57

    Bonjour,

    Citation :
    Le décryptage est fait sur les différents DD
    J'ai testé bon nombre de fichiers et tout est lisible.

    C'est parfait.

    Citation :
    J'ai mis à jour Adobe reader et Flash ainsi que Java.

    OK, on va juste contrôler.

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • ---------------------------------------------------------------------------------------------

    Si tout est OK, on pourra finaliser la procédure.

    @+
    17 Mai 2012 10:10:08

    Bonjour,

    J'ai téléchargé le programme et enregistré sur le bureau
    Je l'éxécute en tant qu'admin mais rien ne s'affiche
    Je retrouve le programme dans la liste des processus mais rien ne s'affiche....

    17 Mai 2012 10:50:56

    En fait l'affichage de l'application a juste pris plusieurs minutes
    Les 3 applications étaient bien à jour
    Voici le rapport:
    ---------------------------------------------------------------------------------------------------------------------
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Yannick
    17/05/2012
    10:47:58
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.2.202.235
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin
    Version : 11.2.202.235
    Flash Player Plugin est à jour


    ---
    Nom : Mozilla Firefox 11.0 (x86 fr)
    Version : 11.0

    Java Information :
    Nom : Java(TM) 7 Update 4
    Version : 7.0.40
    Java(TM) 7 Update 4 est à jour

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    -------------------------------------------------------------------------------------------------------------------
    Outil pratique que j'utiliserai régulièrement

    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    17 Mai 2012 13:34:10

    Bonjour,

    Citation :
    Outil pratique que j'utiliserai régulièrement

    L'outil est fonctionnel mais en cours de développement.
    N'oublie pas de télécharger la dernière version avant chaque utilisation (comme tout outil de désinfection).
    http://tools.security-x.fr/download.php?f=SXCU.exe

    Java, Flash Player et Reader sont maintenant à jour.
    Le Virus Gendarmerie ne pourra plus perquisitionner ton système :) 

    Nous allons pouvoir finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    Purge points de restauration :


    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous

      :Commands
      [CLEARALLRESTOREPOINTS]
      [EMPTYTEMP]

    • Colle l'intégralité du code dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction
    • Si l'outil te demande de redémarrer le PC, tu acceptes


  • ---------------------------------------------------------------------------------------------

    Désinstallation des outils utilisés :

    Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
    Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Purge d'outils

    • Valide l'avertissement par OK et laisse le pc redémarrer


    • Supprime SXCU et RannohDecryptor de ton Bureau
    • Supprime tous les rapports générés restants


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :




  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    Si tout est OK, tu peux passer ce sujet en Résolu en éditant ton 1er post et ajouter [Résolu] dans le titre.

    @+

    17 Mai 2012 15:54:29

    Tout semble OK

    1000 merci à toi pour ce support très précieux

    Si j'ai un nouveau problème je sais maintenant qu'il y a des experts qui peuvent m'aider. C'est cool.

    Bonne continuation
    a c 1009 8 Sécurité
    a c 89 $ Windows 7
    a b C Ecran
    17 Mai 2012 16:38:27

    Re,

    Bonne continuation à toi aussi et bon surf
    25 Mai 2012 09:18:43

    Bonjor , excusez moi de vous déranger mais hier il m'ai arrivez la meme chose que vous c'est a dire virus gendarmerie et beaucoup de fichier locked sur mon bureau . j'en suis a l'etape ou avec OTL ou il a extrait le fichier mais apres je ne c'est pas comment faire pour vous envoyer mon fichier Text. merci de m'aider cordialement.
    a c 639 8 Sécurité
    a b $ Windows 7
    25 Mai 2012 09:46:21

    alex13067 a dit :
    Bonjor , excusez moi de vous déranger mais hier il m'ai arrivez la meme chose que vous c'est a dire virus gendarmerie et beaucoup de fichier locked sur mon bureau . j'en suis a l'etape ou avec OTL ou il a extrait le fichier mais apres je ne c'est pas comment faire pour vous envoyer mon fichier Text. merci de m'aider cordialement.


    bonjour Alex

    ouvre ta propre demande d'aide ( topic) si tu le veux bien,
    on ne poste jamais sur un autre topic, et en plus celui est marqué [Résolu]



    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS