Se connecter / S'enregistrer
Votre question

Malware Gendarmerie Nationale: Fichiers Locked

Tags :
  • gendarmerie nationale
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Mai 2012 15:57:13

Bonjour. Je suis victime d'un malware "gendarmerie nationale". Ma session admin démarre sans problême, mais pas ma session utilisateur. De plus, et là est le plus gros problème pour moi, la quasi totalité de mes fichiers sur mes disques durs ont été cryptés de telle sorte qu'ils sont désormais nommé ainsi: locked-nom du fichier.extension en quatre lettres. Pourriez vous m'aider à retrouver la capacité de lire ces fichiers? J'ai déjà lu nombres de réponse où l'utilisation d'OTL est recommandé, mais apparemment, chaque cas est différent. De ce fait, je suis dépendant de votre aide. En attendant une réponse rapide, merci à vous.
PS: Je suis sous Windows 7
Voici les liens de mes rapports OTL: http://pjjoint.malekal.com/files.php?id=20120527_k15f6q...
http://pjjoint.malekal.com/files.php?id=20120527_j13o7n...

Autres pages sur : malware gendarmerie nationale fichiers locked

a b 8 Sécurité
27 Mai 2012 18:47:14

Bonjour,

On va vérifier d'abord s'occuper de l'infection. Surtout ne touche pas aux fichiers locked, on verra après. Tu as une copie saine d'un fichier locked ?

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • Fais un scan avec Combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...
    m
    0
    l
    27 Mai 2012 22:29:27

    voici le rapport de RogueKiller. Dois-je supprimer les fichiers qu'il a sélectionné, sachant que ce sont des fichiers windows?
    Rapport:

    RogueKiller V7.5.0 [24/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: r0m1 [Droits d'admin]
    Mode: Recherche -- Date: 27/05/2012 22:24:30

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS +++++
    --- User ---
    [MBR] 4c27515765fd5ea1fcbad4eb595830c7
    [BSP] 177507aede73c8eab31fee7866ebab1f : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST320LT020-9YG142 +++++
    --- User ---
    [MBR] 767040fc9e18db6ea561c592cc7e45e1
    [BSP] e6c2cebec9d5914c6fe029aa4b621d92 : Windows Vista/7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152616 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 312559616 | Size: 152628 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: USB Disk +++++
    --- User ---
    [MBR] 0f17e8e95d6cae9985b0b6ba03555052
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 141 | Size: 1857 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    +++++ PhysicalDrive3: SanDisk Cruzer Blade USB Device +++++
    --- User ---
    [MBR] 570422272ced4fad5f334efc4b25fae9
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32 | Size: 15266 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    m
    0
    l
    Contenus similaires
    27 Mai 2012 22:42:30

    Après relecture, je me suis rendu compte que vous préconisiez de supprimer les fichiers avec RogueKiller, ce que j'ai fait. Voici le 2nd rapport:

    RogueKiller V7.5.0 [24/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: r0m1 [Droits d'admin]
    Mode: Suppression -- Date: 27/05/2012 22:40:42

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS +++++
    --- User ---
    [MBR] 4c27515765fd5ea1fcbad4eb595830c7
    [BSP] 177507aede73c8eab31fee7866ebab1f : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST320LT020-9YG142 +++++
    --- User ---
    [MBR] 767040fc9e18db6ea561c592cc7e45e1
    [BSP] e6c2cebec9d5914c6fe029aa4b621d92 : Windows Vista/7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152616 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 312559616 | Size: 152628 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive2: USB Disk +++++
    --- User ---
    [MBR] 0f17e8e95d6cae9985b0b6ba03555052
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 141 | Size: 1857 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    +++++ PhysicalDrive3: SanDisk Cruzer Blade USB Device +++++
    --- User ---
    [MBR] 570422272ced4fad5f334efc4b25fae9
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32 | Size: 15266 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt



    m
    0
    l
    a b 8 Sécurité
    27 Mai 2012 23:40:33

    Re,

    On continue le ménage :) 

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    &

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 11:49:35

    Il faut éviter les cracks, c'est vraiment le meilleur moyen de foutre en l'air son pc.
    Refais un scan OTL sans extra, on va voir ce qu'il reste avant de décrypter :) 
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 15:11:37

    Re,

    On va vérifier quelque chose de bizarre sur le rapport RogueKiller.

    ▪ Télécharge aswMBR.exe, sauvegarde-le sur ton bureau et pas ailleurs!
    ▪ Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Sous Vista/Seven, il faut cliquer droit sur aswMBR et choisir Exécuter en tant qu'administrateur)
    Refuse la demande de mise à jour.
    ▪ Clique sur le bouton Scan et laisse l'outil travailler.

    ▪ Clique sur Save Log ,Enregistre le rapport sur le bureau et poste le rapport dans ta prochaine réponse.


    &

    Tu devrais lire ça pour les prochaines fois :
    http://forum.malekal.com/les-toolbars-est-pas-obligatoi...

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
      IE - HKU\S-1-5-21-867879313-1175996315-2173029304-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
      IE - HKU\S-1-5-21-867879313-1175996315-2173029304-1002\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
      O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3:[b]64bit:[/b] - HKU\S-1-5-21-867879313-1175996315-2173029304-1002\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-867879313-1175996315-2173029304-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-867879313-1175996315-2173029304-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-867879313-1175996315-2173029304-1002\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-867879313-1175996315-2173029304-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O8:[b]64bit:[/b] - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found
      O8:[b]64bit:[/b] - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
      O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
      O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
      O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
      O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\mso-offdap11 - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\tmbp {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll File not found
      O18:[b]64bit:[/b] - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1464\6.6.1079\TmIEPlg.dll File not found
      O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
      O18 - Protocol\Handler\tmbp {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe32.dll File not found
      O18 - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1464\6.6.1079\TmIEPlg32.dll File not found
      O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
      O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
      O20:[b]64bit:[/b] - HKLM Winlogon: VMApplet - (/pagefile) - File not found
      [2012/05/28 11:43:22 | 000,001,074 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-867879313-1175996315-2173029304-1002UA.job
      [2012/05/28 10:01:01 | 000,000,924 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-867879313-1175996315-2173029304-1002UA.job
      [2012/05/27 18:43:07 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-867879313-1175996315-2173029304-1002Core.job
      [2012/05/27 13:01:00 | 000,000,902 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-867879313-1175996315-2173029304-1002Core.job

      :Files
      C:\Program Files (x86)\Searchqu Toolbar

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    28 Mai 2012 15:24:34

    Moi mes fichier sont dans un disque dur externe comme faire pour les récupérer
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 16:01:42

    Tu branches ton disque dur externe à ton pc. Je ne comprends pas trop ta question, tu peux reformuler le problème ?
    m
    0
    l
    28 Mai 2012 16:12:59

    Voici le rapport de aswMBR. Le rapport de OTL n'est pas apparu...

    aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
    Run date: 2012-05-28 16:06:18
    -----------------------------
    16:06:18.123 OS Version: Windows x64 6.1.7600
    16:06:18.123 Number of processors: 4 586 0x2A07
    16:06:18.123 ComputerName: R0M1-PC UserName: r0m1
    16:06:19.121 Initialize success
    16:06:34.068 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
    16:06:34.068 Disk 0 Vendor: ST950032 0003 Size: 476940MB BusType: 3
    16:06:34.068 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2
    16:06:34.083 Disk 1 Vendor: ST320LT0 0001 Size: 305245MB BusType: 3
    16:06:34.083 Disk 0 MBR read successfully
    16:06:34.099 Disk 0 MBR scan
    16:06:34.099 Disk 0 Windows 7 default MBR code
    16:06:34.099 Disk 0 Partition 1 00 1C Hidd FAT32 LBA MSDOS5.0 25600 MB offset 2048
    16:06:34.115 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 190776 MB offset 52430848
    16:06:34.130 Disk 0 Partition - 00 0F Extended LBA 260562 MB offset 443140096
    16:06:34.146 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 260561 MB offset 443142144
    16:06:34.177 Disk 0 scanning C:\Windows\system32\drivers
    16:06:41.790 Service scanning
    16:07:00.323 Modules scanning
    16:07:00.323 Disk 0 trace - called modules:
    16:07:00.385 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys sptd.sys hal.dll
    16:07:00.401 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80069c1060]
    16:07:00.401 3 CLASSPNP.SYS[fffff880015be43f] -> nt!IofCallDriver -> [0xfffffa8004e73e40]
    16:07:00.401 5 ACPI.sys[fffff8800100b781] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004e78050]
    16:07:00.416 Scan finished successfully
    16:07:16.391 Disk 0 MBR has been saved successfully to "C:\Users\r0m1\Desktop\MBR.dat"
    16:07:16.391 The log file has been saved successfully to "C:\Users\r0m1\Desktop\aswMBR.txt"
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 17:03:36

    Citation :
    S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.

    Ce n'est pas le cas ?
    m
    0
    l
    28 Mai 2012 17:55:18

    Malheureusement non.
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 18:11:52

    On va faire autrement. Refais un scan OTL sans extra stp.
    m
    0
    l
    a b 8 Sécurité
    28 Mai 2012 21:13:22

    A moitié fonctionné, recommence avec le script suivant :
    :OTL
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}
    O2:[b]64bit:[/b] - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll File not found
    O2:[b]64bit:[/b] - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1464\6.6.1079\TmIEPlg.dll File not found
    O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
    O3:[b]64bit:[/b] - HKU\S-1-5-21-867879313-1175996315-2173029304-1002\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
    O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - File not found
    O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - File not found

    :Commands
    [emptytemp]


    Si tu as une copie non locked d'un fichier, on peut y aller pour le décryptage.
    m
    0
    l
    a b 8 Sécurité
    9 Juin 2012 16:24:10

    Re,

    Pas de problème, on va s'y remettre.
    Tu as fait la correction demandé avec OTL ? (voir mon dernier post)
    m
    0
    l
    a b 8 Sécurité
    17 Juin 2012 17:36:00

    J'ai raté ton message :/  tu es encore là ?
    m
    0
    l
    23 Juin 2012 12:01:38

    Oui tjr
    m
    0
    l
    a b 8 Sécurité
    24 Juin 2012 17:26:11

    On décrypte alors :) 

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS