Votre question
Résolu

Fichiers locked suite au virus de la gendarmerie

Tags :
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Mai 2012 16:12:43

Bonjour,

Le pc portable de ma soeur s'est trouvé infécté par le virus de la gendarmerie demandant de payer une amende pour débloquer le pc.
J'ai réussis à supprimer le malwares et avoir accès au bureau, mais le souci c'est que la majorité des fichiers comme la musiques, photos et ses cours on le "locked" devant le nom et il est impossible de les ouvrir.

J'ai essayé une restauration à une date ou tout allé bien mais en vain.

Merci de votre aide.

Autres pages sur : fichiers locked suite virus gendarmerie

a b 8 Sécurité
19 Mai 2012 17:03:35

Bonjour,

Surtout ne renomme pas les fichiers. Possèdes-tu une version saine d'un fichier locked ?
m
0
l
19 Mai 2012 17:13:59

Oui, une photo fera l'affaire ?
m
0
l
Contenus similaires
a b 8 Sécurité
19 Mai 2012 17:24:07

Oui ça suffira, le logiciel va réaliser la comparaison pour décrypter les fichiers.
On va d'abord vérifier que ce ransomware n'est plus présent.

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • &

    • Télécharge OTL (de Old Timer) sur ton bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    m
    3
    l
    a b 8 Sécurité
    19 Mai 2012 19:05:39

    Re,

    On continue, il y a quelques restes :) 

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    Lance un scan avec combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...
    m
    0
    l
    a b 8 Sécurité
    19 Mai 2012 20:54:16

    OTL nous donne une vue d'ensemble de ton pc niveau registre, fichiers créés, etc.
    Après on sélectionne les outils comme combofix en fonction :) 
    Refais un scan OTL sans l'extra stp, normalement on peut passer au décryptage par la suite.





    m
    0
    l
    19 Mai 2012 21:10:34

    bonjour, je suis la propriétaire du pc, et je ne connait rien en informatique, comment on fait un scan OTL sans l'extra ?

    m
    0
    l
    a b 8 Sécurité
    19 Mai 2012 21:31:01

    La procédure est un peu plus haut :) 

    Citation :
    • Télécharge OTL (de Old Timer) sur ton bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    m
    0
    l
    19 Mai 2012 21:36:45

    ok ^^ est sans le scan faut faire quoi pour qu'il y est pas le scan ?
    m
    0
    l

    Meilleure solution

    a b 8 Sécurité
    19 Mai 2012 23:14:15

    Re,

    Il n'y a pas d'antivirus ?

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3499785712-1423375841-1817496192-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3499785712-1423375841-1817496192-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    Maintenant pour le décryptage, il va falloir un fichier sain et sa version "locked".

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
  • [/u]
    partage
    20 Mai 2012 00:39:13

    c'est bon j'ai réussi =) merci beaucoup pour ton aide !!!!
    m
    0
    l
    a b 8 Sécurité
    20 Mai 2012 10:15:20

    Il me faut ce que j'ai demandé si tu ne veux pas que ça revienne demain...
    m
    0
    l
    20 Mai 2012 16:58:14

    Ce n'est pas ma soeur...

    Bref, apparemment elle a résolu son problème.
    m
    0
    l
    a b 8 Sécurité
    20 Mai 2012 17:00:53

    Donc tu n'as pas fini le décryptage alors ? je comprends plus là
    m
    0
    l
    20 Mai 2012 17:23:22

    Je me suis arrêté juste avant le décryptage puis je suis parti en soirée et entre temps elle à due trouver quelque chose sur le net qui à remédier peut être temporairement ou pas à la chose.
    Je la voie le week-end prochain, j'aurais dès nouvelles si oui ou non la solution qu'elle a trouvé fonctionne.
    m
    0
    l
    a b 8 Sécurité
    20 Mai 2012 19:42:10

    Ok bah tiens moi au courant alors :) 
    m
    0
    l
    20 Mai 2012 19:45:23

    Y'a pas de souci, je lui demanderais en même temps comment a t-elle fait.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS