Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] Résoudre le problème avec le virus gendarmerie - fichiers locked

Tags :
  • Windows 7
  • Virus
  • fichiers locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Mai 2012 11:40:30

j ai choppé ce virus hier soir j ai a peu pres 22000 fichiers cryptés
quelqu un pourrait il m expliquer comment faire ???


Edit modération : titre pour référencement

Autres pages sur : resolu resoudre probleme virus gendarmerie fichiers locked

a b $ Windows 7
26 Mai 2012 12:58:19

Sujet déplacé de la rubrique "Systèmes d'exploitation" vers "Sécurité".

Bonne chance.
a c 547 8 Sécurité
a b $ Windows 7
27 Mai 2012 10:54:19

Bonjour ? hello ?

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 547 8 Sécurité
    a b $ Windows 7
    28 Mai 2012 11:49:31

    Re,

    Oui, c'est parce que tu as déjà lancé OTL sur ce pc avant, pas grave.

    Tu n'as pas utilisé le script que je t'avais donné ... es-tu aidé sur un autre forum ?
    Si oui, merci de me le dire, car les procédures croisées peuvent provoquer des problèmes !
    28 Mai 2012 12:03:32

    si j ai copie colle la procedure envoye
    non je ne suis pas aide ailleur
    a c 547 8 Sécurité
    a b $ Windows 7
    28 Mai 2012 14:17:11

    Re,

    Y'a des éléments que je n'ai pas indiqué dans la procédure qui sont listé, ce n'est pas normal, mais bon si tu me dis que tu as suivi la procédure ...

    On va nettoyer quelques restes puis on passera au décryptage.

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O7 - HKU\S-1-5-21-3557470823-2458106102-232431889-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\S-1-5-21-3557470823-2458106102-232431889-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    MsConfig:64bit - StartUpFolder: C:^Users^lion^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^cgs8h0.exe.lnk - C:\Windows\SysNative\rundll32.exe - (Microsoft Corporation)
    MsConfig:64bit - StartUpReg: 4ECYTQ9SIC - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: CE636B8D - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: Update - hkey= - key= - File not found
    [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/05/26 11:09:03 | 000,000,282 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
    [2012/05/26 10:48:03 | 000,000,244 | -H-- | M] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
    [2012/05/26 10:47:03 | 000,000,282 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    [2012/05/26 10:42:19 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\Lghqeiqra.job
    [2012/05/25 16:50:29 | 001,440,054 | ---- | C] () -- C:\Windows\SysWow64\winsh325
    [2012/05/25 16:50:29 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh324
    [2012/05/25 16:50:29 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh323
    [2012/05/25 16:50:29 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh322
    [2012/05/25 16:50:29 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh321
    [2012/05/25 16:50:29 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh320
    [2012/05/26 10:47:03 | 000,000,282 | -H-- | M] () -- C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    [2012/05/26 10:48:03 | 000,000,244 | -H-- | M] () -- C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
    [2012/05/26 11:09:03 | 000,000,282 | -H-- | M] () -- C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



    On risque d'avoir un problème de place pour décrypter tes documents ensuite, car tes disques sont tous presque plein, sachant que l'outil copie les fichiers, donc les doubles avant de supprimer ceux crypté

    Il sera alors nécessaire de faire les opération en plusieurs fois.

    Avant de commencer, tu dois trouver dans tes sauvegarde ou par un autre moyen, une copie saine et non modifié d'un des fichiers crypté, l'outil peut en avoir besoin pour faire une comparaison

    Effectue l'opération avec OTL, poste-moi le rapport, puis confirme-moi que tu as une copie saine et on enchainera.
    a c 547 8 Sécurité
    a b $ Windows 7
    28 Mai 2012 15:47:05

    Re,

    Un mode sandbox est un mode protégé crée par certains antivirus et solution de sécurité qui lancent un fichier dans un environnement "bac à sable", c'est à dire "protégé" pour éviter certaines interaction avec le système.
    Vu le rapport pas de souci chez toi.

    On passe donc à la suite, comme je disais, il est possible que tu ai plusieurs avertissement de disque plein vu le peu de place qu'il te reste.
    à chaque fois, il faudra stopper alors le processus, puis supprimer les fichiers crypter qui ont été copié et décrypté après vérification (option disponible dans la procédure ci-dessous) pour libérer de la place, puis relancer le logiciel de décryptage.


    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    28 Mai 2012 18:12:51

    voila j ai fini
    il reste 235 fichiers sur C
    20 sur D
    et rien sur les autres apparement ce sont des fichiers tres petits kasper a pas l air de vouloir les prendre en compte

    sinon pour le rapport pjjoint me dit que le fichier n est pas valide il veut pas me le charger ??
    a c 547 8 Sécurité
    a b $ Windows 7
    28 Mai 2012 19:55:13

    Re,

    Oui parfois, sous 4Ko l'outil ne peut les décrypter ...
    Il y en des important dedans ?

    C'est quoi l'extension du rapport ?
    En fait, donne-moi juste le dernier paragraphe avec le total des fichiers décrypté dans ta prochaine réponse.
    Et un exemple si tu le vois dans le rapport d'un fichier non pris en compte.
    28 Mai 2012 23:13:38

    je ne sais pas y en a un dans la racine de C il s appele cblaz il a pas d extension les autres aussi ils s appelent account puis encore d 'autres qui portent des noms alpha numeriques

    le fichier kaspersky est un *.txt
    quand je veux le charger dans jjpoint il dit qu il est corrompu


    17:19:02.0429 1028 Statistic:
    17:19:02.0429 1028 Processed: 560084
    17:19:02.0429 1028 Suspicious: 0
    17:19:02.0429 1028 Found: 15058
    17:19:02.0429 1028 Decrypted: 15057
    17:19:02.0429 1028 ================================================================================
    17:19:02.0429 1028 Scan finished
    17:19:02.0429 1028 ================================================================================
    ca suffit ca ???

    j arrive pas a trouver un fichier non pris en compte
    a c 547 8 Sécurité
    a b $ Windows 7
    28 Mai 2012 23:20:27

    Re,

    Bah a priori il a quand même fait un gros boulot, il n'en manque pas beaucoup.

    Utilise un peu le pc, regarde s'il y a des souci ou pas à cause de ses fichiers non décrypté.
    Donne-moi les noms exact si tu le peux, que je vérifie ce que cela peut être

    Fais aussi ceci pour éviter de te recontaminer :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. S'il doit être mis à jour, le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    S'il indique "à jour", c'est bon.

  • Clique sur Update Adobe Reader à droite. S'il doit être mis à jour, le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    S'il indique "à jour", c'est bon.

  • Clique sur Update Flash à droite. S'il doit être mis à jour, selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    S'il indique "à jour", c'est bon.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    29 Mai 2012 00:27:21

    l ordi a l air de fonctionner normalement
    au demarrage il est un peu plus lentmais apres c est bon

    voila le rapport de sxcu
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Aucun Service Pack
    UserName : lion
    29/05/2012
    00:02:22
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 1
    Disable
    ---
    Name : FlashPlayer ActiveX
    Version : 11.2.202.235
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin
    Version : 11.2.202.235
    Flash Player Plugin est à jour

    Java Information :
    Nom : Java(TM) 6 Update 18 (64-bit)
    Version : 6.0.180
    Java(TM) 6 Update 18 (64-bit) n'est pas à jour!

    Java Information :
    Nom : Java(TM) 7 Update 4 (64-bit)
    Version : 7.0.40
    Java(TM) 7 Update 4 (64-bit) est à jour


    ---
    Name : Adobe Reader 9.2 - Français
    Version : 9.2.0
    Adobe Reader n'est pas à jour!

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    est ce que c est bon ??

    pour les noms de fichier
    voila quelques exemples
    locked-5C0C1F3B1D24C8BEDDEE70B89FA4778A.umdr
    locked-account.mykc
    locked-data.erav
    voila ce sont les principaux types

    a c 547 8 Sécurité
    a b $ Windows 7
    29 Mai 2012 10:08:35

    Re,

    Pour les mises à jour c'est bon, mais il faut supprimer ces versions dans ta liste des programmes, obsolètes et donc potentiellement dangereuse :
    - Java(TM) 6 Update 18
    - Adobe Reader 9.2 - Français

    Pour les fichier, c'est bon, ce sont des petits restes d'installation initial du pc sans importance, tu peux même les supprimer.

    On va nettoyer les outils :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement RanohDecryptor.exe


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    29 Mai 2012 12:35:25

    ok et encore merci de ta patience
    a b 8 Sécurité
    29 Mai 2012 22:22:02

    Merci de créer son propre sujet, je ferme celui ci.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS