Votre question

Fichier locked malware gendarmerie

Tags :
  • Malware
  • Trojan
  • locked
  • Communauté
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Mai 2012 22:06:22

J'ai vu plusieurs différentes demande d'aide concernant ce sujet donc je suppose que c'est du cas par cas.
J'ai exécuté dans un premier temps malwarbytes qui m'a trouvé et supprimé le trojan affectant l'explorer mais les ficher se retrouve bloqué avec une extension comprenant 4 caractères aléatoires.

J'ai déjà fait l'étape une demandé dans la plus parts des posts voici donc les deux fichier text donnés par otl:

http://pjjoint.malekal.com/files.php?read=OTL_20120529_...
http://pjjoint.malekal.com/files.php?read=OTL_Extras_20...

Je remercie la communauté pour l'aide qu'elle va l'offrir ^^.

Autres pages sur : fichier locked malware gendarmerie

a b 8 Sécurité
29 Mai 2012 22:26:46

Bonjour,

Tu as juste fait OTL ?

  • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    &

    • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne l'option Recherche
    • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse
    Contenus similaires
    a b 8 Sécurité
    30 Mai 2012 12:22:47

    C'est normal, le décryptage c'est pour la fin ;) 
    Refais un scan OTL puis poste le rapport.
    30 Mai 2012 14:12:59

    Voici le nouveau scan OTL demandé : ( j'ai utilisé ce script de personnalisation lors de l’analyse)
    Spoiler
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


    Rapport OTL : http://pjjoint.malekal.com/files.php?read=OTL_20120530_...

    Grand merci pour tes réponses DarkAngel
    a b 8 Sécurité
    30 Mai 2012 16:24:57

    Re,

    Tu as une copie saine d'un fichier crypté ?

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {A7DFD25D-01ED-4055-B5B4-BCD675D702ED}
      IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
      IE - HKU\S-1-5-21-2151381950-4165805684-2304901609-1001\..\SearchScopes,DefaultScope = {CD348FEA-108E-4425-8391-708FCA1E4B3B}
      IE - HKU\S-1-5-21-2151381950-4165805684-2304901609-1001\..\SearchScopes\{5367F693-D320-483D-9904-ED8B37DF375A}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=C6E38492-2B3D-4BFA-AA35-51362F3CE224&apn_sauid=3201A57E-A13A-4416-9473-76253FD3CCE0&
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DDDFBD34-A132-4237-8E11-A4E880A64019}: DhcpNameServer = 100.100.0.102
      MsConfig:64bit - StartUpReg: [b]Boxore Client[/b] - hkey= - key= - File not found
      MsConfig:64bit - StartUpReg: [b]SweetIM[/b] - hkey= - key= - File not found
      [2012/05/30 13:39:04 | 000,016,304 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
      [2012/05/30 13:39:04 | 000,016,304 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a b 8 Sécurité
    30 Mai 2012 20:06:01

    Refais un scan OTL sans extra stp :) 
    a b 8 Sécurité
    30 Mai 2012 21:47:11

    Citation :
    Tu as une copie saine d'un fichier crypté ?

    :) 
    30 Mai 2012 22:54:34

    J'ai une vidéo qui n'est pas locked est ce que c'est ça une copie saine ?
    a b 8 Sécurité
    30 Mai 2012 23:09:40

    Par exemple si la même vidéo est en locked, c'est bon.
    30 Mai 2012 23:24:49

    Ce n'est pas mon ordinateur donc je te remercie et je te transmet l'information demain ^^
    Bonne soirée/nuit.
    a b 8 Sécurité
    30 Mai 2012 23:30:55

    Dès que tu le sais, on peut en finir :) 
    A demain
    31 Mai 2012 12:25:03

    Re Bonjour,
    Donc c'est bon j'ai 2 fichiers identique, un crypté l'autre sain j'attends t'es prochaines directives.
    a b 8 Sécurité
    31 Mai 2012 12:36:28

    C'est parti alors :) 

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    31 Mai 2012 14:34:06

    Voici le dernier rapport : http://pjjoint.malekal.com/files.php?read=20120531_l15e...

    Par contre j'ai vu qu'il n'avait trouvé que 4000 fichiers locked je trouve qu'il n'y en a pas beaucoup je vérifierai si tout est bon.

    En attendant je te remercie et te souhaite une bonne journée.

    MAJ : Tout semble être bon sur l'ordinateur, par contre, mauvaise nouvelle un dde à aussi été affecté et je ne le sais que maintenant. Je demande quoi faire avant de faire une bêtise, je comptais juste relancer RannohDrecryptor avec le dde.
    a b 8 Sécurité
    31 Mai 2012 16:23:16

    Il était branché le DD au moment du décryptage ?
    31 Mai 2012 16:23:45

    Nan justement ^^
    Depuis le début je ne le pensais pas infecté ...
    a b 8 Sécurité
    31 Mai 2012 16:34:44

    Branche le et recommence alors :) 
    31 Mai 2012 16:59:42

    Juste la dernière étape je suppose ?
    a b 8 Sécurité
    31 Mai 2012 17:27:05

    Oui avec RannohDecryptor.exe.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS