Votre question

Résolu Virus, fichiers "locked"

Tags :
  • Virus
  • Ordinateur
  • Musique
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Mai 2012 11:37:08

Bonjour,
J'ai depuis hier soir un virus dans mon ordinateur qui affecte films et musique: tous les fichiers sont "locked". Je n'ai pas supprimé le virus mais j'ai les rapports OTL dont voici les liens: http://pjjoint.malekal.com/files.php?id=20120528_g6s7d5... et http://pjjoint.malekal.com/files.php?id=20120528_k14m15.... J'ai vu que vous aviez déjà résolu le problème. Pourriez-vous m'aider, s'il vous plaît? Je vous en serai très reconnaissante.
En attente d'une réponse...

Autres pages sur : resolu virus fichiers locked

a c 614 8 Sécurité
28 Mai 2012 20:18:35

Bonjour,

On va regarder cela, nous allons commencer par vérifier l'absence d'infection, puis on passera au décryptage des fichiers.

Pour cela il faudra une copie saine et non modifiée d'un des fichiers crypté (dans une sauvegarde, sur un autre pc, etc ...), prépare cela.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


1) Désinstalle les programme suivant dans ta liste des programmes (si présents) :

- Barre d'outils Bing (sauf réelle utilité)
- Google Toolbar for Internet Explorer (idem)

- SweetIM for Messenger 3.3 (adware : logiciel publicitaire)
- SweetIM Toolbar for Internet Explorer 3.9 (idem)
- ClickPotato (idem)
- Conduit Engine (idem)
- Searchqu Toolbar (idem)
- Softonic_France Toolbar (barre d'outil liée à un sponsor publicitaire)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2012/03/12 14:12:01 | 001,694,608 | ---- | M] (Bandoo Media, inc) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngrUI.exe
    PRC - [2010/10/13 17:21:08 | 000,111,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
    IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.mail.pcriot.com/Facebook/index.htm
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=17350&babsrc=SP_ss&mntrId=46dfea9800000000000070f1a1ed30f5
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{A2C177C1-BB80-4DAE-8394-850B87624375}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb106/?search={searchTerms}&loc=IB_DS&a=6PQk10Jfmo&i=26
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.628.0\firefox\extensions [2010/12/16 16:02:42 | 000,000,000 | ---D | M]
    O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O4:64bit: - HKLM..\Run: [system] C:\Windows\SysNative\Wind0wS.vbe ()
    O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
    O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
    O4 - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000..\Run: [46DFEA98] C:\Users\PAPA\AppData\Roaming\Bsfqe\F04AB8A246DFEA986978.exe (MagicIso)
    O7 - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O9 - Extra Button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files (x86)\ClickPotatoLite\bin\10.0.628.0\ClickPotatoLiteSABHO.dll File not found
    O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
    O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
    [2012/05/27 20:59:51 | 000,000,000 | ---D | C] -- C:\Users\PAPA\AppData\Roaming\Bsfqe
    [2012/05/08 15:04:16 | 000,000,000 | ---D | C] -- C:\Users\PAPA\AppData\Local\Ilivid Player
    [2012/05/08 15:02:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Searchqu Toolbar
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh324
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh323
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh322
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh321
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh320
    [2012/05/09 14:41:54 | 000,013,858 | ---- | C] () -- C:\Windows\Wind0wS.vbe
    [2012/05/09 14:32:51 | 000,013,858 | ---- | C] () -- C:\Windows\SysNative\Wind0wS.vbe
    [2012/05/09 14:32:51 | 000,013,858 | ---- | C] () -- C:\Windows\NEWS.vbe
    [2010/09/17 17:03:33 | 000,000,025 | ---- | C] () -- C:\Users\PAPA\AppData\Roaming\bdfvconp.ini
    [2012/01/01 17:58:22 | 000,000,000 | ---D | M] -- C:\Users\PAPA\AppData\Roaming\Babylon
    [2010/12/16 16:02:35 | 000,000,000 | ---D | M] -- C:\Users\PAPA\AppData\Roaming\ClickPotatoLite
    [2011/02/23 19:01:34 | 000,000,000 | ---D | M] -- C:\Users\PAPA\AppData\Roaming\OfferBox
    [2011/02/24 17:07:45 | 000,835,440 | R--- | M] () -- C:\Users\PAPA\AppData\Roaming\PunkBuster\pbsetup\pbsvc.exe

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{A15FE4D2-389B-46E6-AA41-80EF4E588B13}"=-
    "{E30F2B3C-C76C-4244-AA75-ACEBB2FE1819}"=-

    :Files
    c:\program files (x86)\searchqu toolbar
    C:\Program Files (x86)\SweetIM
    C:\Program Files (x86)\ClickPotatoLite

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    28 Mai 2012 20:37:24

    Depuis deux-trois heures mon ordinateur ne marche pas plus de quelques minutes, même en mode sans échec. Un message s'affiche me disant qu'il faut que je paye une amende de 100€, que j'ai violé la loi et que si je recommence j'aurai une peine de prison, etc. Que faire?
    Contenus similaires
    a c 614 8 Sécurité
    28 Mai 2012 21:50:41

    Re,

    Ok tu as la variante qui empêche l'utilisation du pc, on va se débrouiller.

    Soit tu arrives à démarrer le pc et lancer le script, et tu peux retrouver l'usage du pc.
    Si tu n'as pas le temps, on utiliseras un cd pour démarrer dessus et passer outre l'infection.

    Dis-moi si tu peux lancer le script ou non.
    28 Mai 2012 22:29:24

    Je n'ai pas le temps de lancer le script.
    a c 614 8 Sécurité
    28 Mai 2012 23:21:09

    Re,

    Ok, on passe en liveCD alors :

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    2 Juin 2012 19:17:50

    Bonsoir,
    Virus enlevés (PC complètement sain) mais fichiers toujours locked. Que faut-il faire? Pouvez-vous continuer à m'aider, s'il vous plaît?
    a c 614 8 Sécurité
    2 Juin 2012 22:42:42

    Re,

    Qu'as-tu fait pour nettoyer ton pc ?
    Tu as réussi à lancer OTL finalement ?

    Pour le décryptage, as-tu une copie sain et non modifiée d'un des fichier crypté quelque part ? (un autre pc, un disque externe, une clé usb ...)
    2 Juin 2012 23:36:16

    Je suis allée voir un informaticien (je n'étais pas chez moi cette semaine) mais il n'a pas eu le temps de débloquer mes films et ma musique, d'ailleurs il ne connaissait pas cet aspect du virus de la gendarmerie.
    Oui, j'ai des copies de films.
    a c 614 8 Sécurité
    3 Juin 2012 10:36:43

    Re,

    Ok, j'aimerais vérifier qu'il n'y a pas de restes quand même si tu me le permet, on décryptera les données par la suite, ne t'inquiète pas, mais mieux vaut être assuré qu'il n'y a plus l'infection, sinon elle risque de recrypter les données.


    Relance ou Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche en "Avec liste blanche" sous "Registre: approfondi"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    3 Juin 2012 19:12:56

    Re,

    Ok tu as des adwares (logiciels publicitares), et quelques restes de l'infection, on va nettoyer cela avant de passer au décryptage

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    - Barre d'outils Bing (barre d'outil, sauf réelle utilité)
    - Google Toolbar for Internet Explorer (idem)
    - Spybot - Search & Destroy (peu utile et obsolète, la preuve, tu es là)

    - SweetIM for Messenger 3.3 (adware : logiciel publicitaire)
    - SweetIM Toolbar for Internet Explorer 3.9 (idem)
    - Conduit Engine (idem)
    - Searchqu Toolbar (idem)
    - Softonic_France Toolbar (barre d'outil lié à un sponsors publicitaire)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found
    IE - HKU\S-1-5-21-3446243796-2168488526-2615715706-1000\..\SearchScopes\{5BA131EB-334B-4B26-A0FC-91229384492F}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    O2:64bit: - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (no name) - {9D717F81-9148-4f12-8568-69135F087DB0} - No CLSID value found.
    O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media, inc)
    O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\Searchqu Toolbar\Datamngr\x64\IEBHO.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - File not found
    O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - File not found
    MsConfig:64bit - StartUpReg: 46DFEA98 - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: DATAMNGR - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: SweetIM - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: system - hkey= - key= - File not found
    [2012/05/27 20:59:51 | 000,000,000 | ---D | C] -- C:\Users\PAPA\AppData\Roaming\Bsfqe
    [2012/05/08 15:04:16 | 000,000,000 | ---D | C] -- C:\Users\PAPA\AppData\Local\Ilivid Player
    [2012/05/08 15:02:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Searchqu Toolbar
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh324
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh323
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh322
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh321
    [2012/05/27 22:01:19 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh320
    [2011/02/23 19:01:34 | 000,000,000 | ---D | M] -- C:\Users\PAPA\AppData\Roaming\OfferBox

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{A15FE4D2-389B-46E6-AA41-80EF4E588B13}"=-
    "{E30F2B3C-C76C-4244-AA75-ACEBB2FE1819}"=-

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    3 Juin 2012 23:19:30

    Je n'arrive pas à désinstaller Conduit Engine et Softonic France Toolbar: c'est normal?
    4 Juin 2012 06:04:53

    sorry
    a c 614 8 Sécurité
    4 Juin 2012 10:57:44

    Re,

    @ Boubou : oui cela arrive, mais c'est pas grave, tu passes à la suite avec le script OTL.

    @ JFresh : merci de créer ton propre sujet pour obtenir une prise en charge, conformément aux règles de cette section, un seul utilisateur par sujet :
    http://www.infos-du-net.com/forum/272538-11-rappels-sec...
    a c 614 8 Sécurité
    4 Juin 2012 14:47:32

    Re,

    Ok, on passe au décryptage.

    L'outil pourra avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté. Essaye d'en avoir un sous la main, issu d'une sauvegarde, d'une clé usb, d'un autre pc, d'un téléchargement, etc ...

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    4 Juin 2012 23:18:51

    Bonsoir,

    N'ayant plus de place sur mon disque dur à cause du doublet fichiers bloqués/fichiers débloqués, j'ai dû arrêter le scan. Les films qui ont été décryptés marchent. Voulez-vous voir le rapport de ce qui a déjà été fait? Et surtout, puis-je faire Delete crypted files after decryption, ce qui me permettrait de relancer le scan et de finir de débloquer mes fichiers?

    Merci beaucoup de votre aide.
    a c 614 8 Sécurité
    4 Juin 2012 23:59:41

    Re,

    Oui, j'avais oublié de te le préciser (... je vois tellement de cas en ce moment, que je surveille plus la place des disques dur ...)

    Oui, si les fichiers décrypté fonctionne, lance l'option de suppression, puis relance une nouvelle passe de décryptage, et ainsi de suite.
    Lors de la dernière passe, fournis-moi juste les dernières lignes du rapport.

    :jap: 
    5 Juin 2012 14:46:57

    Bonjour,

    Scan terminé, fichiers débloqués. Voici les dernières lignes du rapport:

    14:39:40.0716 1560 Statistic:
    14:39:40.0716 1560 Processed: 251573
    14:39:40.0716 1560 Suspicious: 0
    14:39:40.0716 1560 Found: 14783
    14:39:40.0716 1560 Decrypted: 14783
    14:39:40.0716 1560 ================================================================================
    14:39:40.0716 1560 Scan finished
    14:39:40.0716 1560 ================================================================================
    14:40:01.0651 4076 Deinitialize success

    Merci beaucoup pour votre aide: elle est rapide, simple et efficace! :) 
    a c 614 8 Sécurité
    5 Juin 2012 17:36:54

    Re,

    Parfait l'ensemble des fichiers semblent avoir été décrypté.

    Pour conclure et éviter une nouvelle infection :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux supprimer manuellement RanohDecryptor.exe


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Supprime ensuite dans ta liste des programmes si encore présent : Java(TM) 6 Update 24

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Si ne sont pas à jour, selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS