Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] Problème virus gendarmerie nationale/ fichiers locked

Tags :
  • Ordinateur
  • Virus
  • fichiers locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Mai 2012 22:48:46

Bonjour,

mon ordinateur a été infecté il y a une semaine par le virus "gendarmerie nationale", j'ai a priori réussi à m'en débarasser en utilisant RogueKiller mais j'ai maintenant le même problème que de nombreuses personnes c'est-à-dire que la quasi totalité de mes fichiers est inaccessibles. Ils sont tous précédés du mot locked et une suite de 4 lettres au hasard est écrite après l'extension.
Est-ce que quelqu'un saurait comment m'aider s'il vous plaît?
Je ne sais pas si c'est important mais je dispose de windows 7.

Merci d'avance

Autres pages sur : resolu probleme virus gendarmerie nationale fichiers locked

a c 614 8 Sécurité
29 Mai 2012 10:23:28

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


1) Fournis-moi le rapport Roguekiller :
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici



    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    Il faudra aussi trouver un original non modifié d'un des fichier crypté pour permettre à l'outil qui viendra ensuite de décrypter

    :jap: 
    29 Mai 2012 15:37:26

    Bonjour,

    merci pour ta réponse, malheureusement je ne possède plus le rapport RogueKiller désolé... Pour ce qui est de l'analyse avec OTL j'ai fait tout ce que tu m'as dit mais à la fin il n'y a qu'un seul rapport qui s'est ouvert, j'ai essayé de trouvé l'autre mais je n'y arrive pas.
    Voila le rapport OTL.txt : http://pjjoint.malekal.com/files.php?id=20120529_l11m9j...
    Contenus similaires
    a c 614 8 Sécurité
    29 Mai 2012 17:03:51

    Re,

    C'est parce qu'OTL avait déjà été utilisé sur ce pc avant ou que tu l'as lancé deux fois, pas grave.


    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java version 6 update 18 (64bits) (version obsolète)

    - Application Updater (lié à un adware, logiciel publicitaire)
    - Advanced SystemCare 4 (lié à un éditeur peu scrupuleux, et souvent installé sans consentement, ne sert à rien)
    - Search Settings (adware)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2011/09/27 20:08:40 | 000,745,880 | ---- | M] (Spigot, Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe -- (Application Updater)
    SRV - [2011/05/28 14:46:56 | 000,353,168 | ---- | M] (IObit) [Disabled | Stopped] -- C:\Program Files (x86)\IObit\Advanced SystemCare 4\ASCService.exe -- (AdvancedSystemCareService)
    DRV:[b]64bit:[/b] - [2011/02/23 16:50:14 | 000,018,232 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\SmartDefragDriver.sys -- (SmartDefragDriver)
    IE:64bit: - HKLM\..\SearchScopes\{44C52540-F5A3-42DE-9033-923538F6C948}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    IE:64bit: - HKLM\..\SearchScopes\{E6042866-D4BA-4DF4-84BC-588E0A3452BC}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
    IE - HKLM\..\SearchScopes\{44C52540-F5A3-42DE-9033-923538F6C948}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
    IE - HKLM\..\SearchScopes\{E6042866-D4BA-4DF4-84BC-588E0A3452BC}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Baptiste\AppData\Local\RewardsArcade\498\Firefox
    O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.7\iobitToolbarIE.dll (Spigot, Inc.)
    O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O2 - BHO: (AOL Toolbar BHO) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
    O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.7\iobitToolbarIE.dll (Spigot, Inc.)
    O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
    O3 - HKU\S-1-5-21-3389708557-2861650230-1196119372-1010\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-3389708557-2861650230-1196119372-1010\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll (AOL LLC)
    O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16:64bit: - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    MsConfig:64bit - StartUpReg: Advanced SystemCare 4 - hkey= - key= - C:\Program Files (x86)\IObit\Advanced SystemCare 4\ASCTray.exe (IObit)
    MsConfig:64bit - StartUpReg: Megakey - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: MegakeyUpdater - hkey= - key= - File not found
    MsConfig:64bit - StartUpReg: SearchSettings - hkey= - key= - C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
    [2012/05/28 15:50:05 | 000,000,000 | ---D | C] -- C:\Users\Baptiste\AppData\Roaming\Gvhbt

    :Files
    C:\Program Files (x86)\Application Updater\
    C:\Program Files (x86)\IObit\
    C:\Users\Baptiste\AppData\Local\RewardsArcade
    C:\Program Files (x86)\IObit Toolbar
    C:\Program Files (x86)\Common Files\Spigot

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



    Tu as pu trouver un fichier sain correspondant à un des fichier crypté pour la suite ?
    a c 614 8 Sécurité
    29 Mai 2012 19:48:38

    Re,

    C'est ok pour le rapport, on passe au décryptage donc :

    /!\ L'espace sur ton disque dur principal étant réduit, tu risques de rencontrer une erreur disque plein car l'outil copie chaque fichier en double avant de décrypter, il conviendra donc de faire plusieurs passage en activant à chaque fois l'option de suppression auto des fichier crypté /!\

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    29 Mai 2012 21:05:40

    OK c'est bon, par contre j'avais déjà utilisé RannohDecryptor hier avant de faire la correction avec OTL . Pour le rapport je n'arrive pas à le poster on me dit que le type de fichier choisi n'est pas le bon, mais ça à l'air d'aller j'ai de nouveau accès à mes fichiers. En tout cas merci beraucoup pour ton aide.
    a c 614 8 Sécurité
    29 Mai 2012 22:50:29

    Re,

    Ouais il doit être trop long, poste-moi juste les dernière ligne où il résume les fichiers crypté et non crypté.

    Si tout est ok, je te ferais la conclusion ensuite, et surtout les mises à jour
    a c 614 8 Sécurité
    30 Mai 2012 11:59:55

    Re,

    Oui, très bien.

    On voit qu'il y a un fichier qui n'a pas été décrypté sur l'ensemble, as-tu vu si c'était un fichier important ou pas pour toi ?
    Généralement c'est plutôt des petits fichiers (trop petit pour être correctement décrypté), des restes d'installations, rapports et autres log de logiciel ...

    30 Mai 2012 17:31:17

    Re,

    à mon avis ça doit être bon, mais je n'arrive même pas à trouver le fichier je ferai un recherche plus approfondie plus tard mais je pense qu'on peut continuer sans crainte.
    En tout cas merci.
    a c 614 8 Sécurité
    30 Mai 2012 18:53:31

    Re,

    Ok tu peux faire une recherche par nom avec "locked"

    Si ce n'est pas déjà fait tu peux lancer la suppression des fichiers "locked" décrypté avec l'outil (voir option dans mon précédent message.)

    On va mettre à jour et conclure pendant ce temps :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    S'il indique "à jour", c'est bon.

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    S'il indique "à jour", c'est bon.

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    S'il indique "à jour", c'est bon.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    30 Mai 2012 19:28:20

    Re,

    ça y est j'ai tout fait merci mille fois pour ton aide et tes conseils!!!

    A bientôt si je rencontre d'autres problèmes! :D 
    a c 614 8 Sécurité
    30 Mai 2012 19:31:09

    Re,

    espérons que non :) 

    Tu peux supprimer manuellement Rannohdecryptor.exe si c'est terminé avec lui.

    Bonne soirée.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS