Votre question

Mes fichiers sont tous bloqués. Comment les debloquer?

Tags :
  • gendarmerie nationale
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Mai 2012 11:22:14

Bonjour à tous,
hier j'ai attrapé le virus "gendarmerie nationale", j'ai suivi les démarches pour supprimer le virus seulement maintenant je ne peux plus accéder à aucun de mes fichiers, ils sont tous "locked". Parmi ces fichiers, il y avait notamment mon mémoire... Est-ce que quelqu'un pourrait m'aider à résoudre ce problème? je ne sais pas comment faire et je ne veux surtout pas faire de bêtises en essayant de résoudre seule le problème.
je vous remercie d'avance pour votre aide!!

Autres pages sur : fichiers bloques debloquer

a b 8 Sécurité
28 Mai 2012 11:52:28

Bonjour,

Surtout ne renomme pas les fichiers, on va s'en charger. Tu as une version saine d'un fichier locked ?
Comment as-tu supprimé l'infection ?
28 Mai 2012 12:13:51

merci de me venir en aide si vite!
J'ai supprimé le virus en démarrant mon ordinateur sans échec et en faisant un scan avec Malwarebytes. le rapport ne s'est pas enregistré sur mon bureau mais je peux peut-être le retrouver dans l'application.
Sur mon disque dur externe j'ai certains de mes fichiers qui sont sains.
Contenus similaires
a b 8 Sécurité
28 Mai 2012 14:49:47

Ok ces fichiers nous serviront pour le décryptage.

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • &

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    28 Mai 2012 15:08:29

    je suis en train d'utiliser Kaspersky RannohDecryptor (sous les conseils d'un ami) mais le scan prend un temps fou car mon disque dur externe a lui aussi été infecté... Est-ce que je dois continuer le scan ou plutôt l'arrêter et suivre tes indications?
    a b 8 Sécurité
    28 Mai 2012 15:14:00

    Il faut d'abord s'occuper du virus sinon décrypter ne servirait à rien.
    28 Mai 2012 15:16:16

    ok, je vais donc arrêter le scan et suivre tes indications pour vérifier si le virus a bien été supprimé. Merci beaucoup de ton aide
    a b 8 Sécurité
    28 Mai 2012 16:02:34

    Pas de soucis :) 
    28 Mai 2012 16:08:34

    cool! du coup je peux reprendre le scan avec Kaspersky RannohDecryptor? il va y en avoir pour un moment mais après tout si c'est la seule solution pour décrypter mes fichiers, il faut ce qu'il faut!
    en tout cas une fois de plus merci beaucoup de m'avoir aidé à vérifier si tout allait bien car je ne connais pas du tout le langage informatique...
    a b 8 Sécurité
    28 Mai 2012 17:01:35

    Reviens quand j'ai posté il n'y avait pas les liens encore :/ 


    • Relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    ▪ Télécharge aswMBR.exe, sauvegarde-le sur ton bureau et pas ailleurs!
    ▪ Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Sous Vista/Seven, il faut cliquer droit sur aswMBR et choisir Exécuter en tant qu'administrateur)
    Refuse la demande de mise à jour.
    ▪ Clique sur le bouton Scan et laisse l'outil travailler.

    ▪ Clique sur Save Log ,Enregistre le rapport sur le bureau et poste le rapport dans ta prochaine réponse.
    a b 8 Sécurité
    28 Mai 2012 20:55:52

    Refais un scan OTL, on va se charger des restes avant de décrypter.
    a b 8 Sécurité
    28 Mai 2012 22:08:43

    Re,

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
      IE - HKLM\..\SearchScopes,DefaultScope = {58DC329C-69A4-4304-85C3-C8FC1152818F}
      IE - HKU\S-1-5-21-3181752987-1071948217-2086736832-1001\..\SearchScopes,DefaultScope = {58DC329C-69A4-4304-85C3-C8FC1152818F}
      FF - prefs.js..extensions.enabledItems: es-es@dictionaries.addons.mozilla.org:1.3.1
      FF - prefs.js..extensions.enabledItems: {a3a5c777-f583-4fef-9380-ab4add1bc2a8}:2.0.1
      FF - prefs.js..network.proxy.backup.ftp: ""
      FF - prefs.js..network.proxy.backup.ftp_port: 0
      FF - prefs.js..network.proxy.backup.socks: ""
      FF - prefs.js..network.proxy.backup.socks_port: 0
      FF - prefs.js..network.proxy.backup.ssl: ""
      FF - prefs.js..network.proxy.backup.ssl_port: 0
      FF - prefs.js..network.proxy.ftp: "zensimport"
      FF - prefs.js..network.proxy.ftp_port: 8080
      FF - prefs.js..network.proxy.http: "zensimport"
      FF - prefs.js..network.proxy.http_port: 8080
      FF - prefs.js..network.proxy.share_proxy_settings: true
      FF - prefs.js..network.proxy.socks: "zensimport"
      FF - prefs.js..network.proxy.socks_port: 8080
      FF - prefs.js..network.proxy.ssl: "zensimport"
      FF - prefs.js..network.proxy.ssl_port: 8080
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
      O7 - HKU\S-1-5-21-3181752987-1071948217-2086736832-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
      O7 - HKU\S-1-5-21-3181752987-1071948217-2086736832-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{91FFDBF9-B23D-40D4-95B4-E7D653074F70}: NameServer = 195.55.30.16,194.179.1.101
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    Fais un scan avec Combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...
    a b 8 Sécurité
    29 Mai 2012 12:46:38

    Tu as le rapport de décryptage ?
    29 Mai 2012 14:06:23

    malheureusement non, je ne l'ai pas enregistré. mais en plus de ça je n'en ai pas terminé avec tout ça car étant donné que mon disque dur était branché quand j'ai attrapé le virus, tous mes fichiers sont locked aussi. j'ai plus de 240 000 fichiers à décrypter... ça va prendre au moins une bonne journée à mon avis.
    sinon pour les rapports que j'ai obtenu hier, il n'y a rien à signaler?
    passe un bon après-midi, merci pour tout
    a b 8 Sécurité
    29 Mai 2012 15:26:20

    Pour l'infection c'est bon. Lance le décryptage jusqu'à la fin et tiens moi au courant alors.
    29 Mai 2012 18:39:01

    super! je te tiendrai au courant de l'avancement du décryptage de tous mes fichiers.
    a b 8 Sécurité
    29 Mai 2012 22:17:16

    Pas de soucis ;) 
    30 Mai 2012 06:05:35

    Bonjour à tous,

    merci de prendre du temps pour s'occuper de nous. J'ai également eu droit à ce virus et j'ai également tous mes fichiers en locked. J'ai passé malware qui m'a enlevé l'affichage au démarrage et j'ai donc commencé à suivre vos propositions.
    J'ai passé RogueKiller mais ce dernier planté en disant qu'il y avait un problème de lecteur, j'ai donc passé OTL, puis redémarrer et roguekiller a fonctionné, du coup voici l'ensemble des rapports:
    Rogue Killer: http://pjjoint.malekal.com/files.php?id=20120530_r14x9p...
    OTL: http://pjjoint.malekal.com/files.php?id=20120530_z6z8k1...
    Extras: http://pjjoint.malekal.com/files.php?id=20120530_n6s15b...

    Pouvez vous me dire que dois je faire maintenant ?

    Merci

    Franck
    a b 8 Sécurité
    30 Mai 2012 12:21:29

    Bonjour,
    Merci de créer son propre sujet.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS