Se connecter / S'enregistrer
Votre question

Encore un cas de fichiers locked !

Tags :
  • Informatique
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Juin 2012 12:55:00

Bonjour,
Je fais partis de ceux qui ont chopé cette avarie informatique du moment...
J'ai un rapport OTL à soumettre quelqu'un peut m'aider ??
http://pjjoint.malekal.com/files.php?id=OTL_20120601_v7...

Avez-vous besoin des rapports roguekiller ? je les ai également

un TRES grand merci

David

Autres pages sur : cas fichiers locked

a c 548 8 Sécurité
1 Juin 2012 14:23:34

Bonjour,

Il me faudrait le rapport Extra.txt qui accompagnait celui que tu as posté, il doit être sur ton bureau avec l'autre.
Poste-le de la même manière.
Pas besoin de Roguekiller par contre.

:jap: 
Contenus similaires
a c 548 8 Sécurité
1 Juin 2012 19:34:53

Re,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

Tu as aussi des infections par adwares (logiciels publicitaire), on va traiter ne même temps, je te déconseille l'utilisation de 01net qui propose des logiciels repacké avec des logiciels publicitaires ...


1) Désinstalle les programmes suivant via "ajout/suppression des programmes" (si présents) :


- Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
- Java(TM) 6 Update 20 et J2SE Runtime Environment 5.0 Update 5 (version obsolètes, c'est à cause d'elle que tu t'es fait infecté, on mettra la version à jour en fin de procédure)

- Conduit Engine (adware : logiciel publicitaire)
- Hotbar (idem)
- Softonic_France Toolbar (barre d'outil liée à un sponsor publicitaire)
- Searchqu Toolbar (adware)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2012/03/07 10:02:35 | 001,694,608 | ---- | M] (Bandoo Media, inc) -- C:\Program Files\Searchqu Toolbar\Datamngr\datamngrUI.exe
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys -- (SYMIDSCO)
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-813168954-2331887013-1376355990-1008\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
    IE - HKU\S-1-5-21-813168954-2331887013-1376355990-1008\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\HBLite@HBLite.com: C:\Program Files\HBLite\bin\11.0.323.0\firefox\extensions [2010/11/29 17:05:55 | 000,000,000 | ---D | M]
    O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
    O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-813168954-2331887013-1376355990-1008\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-813168954-2331887013-1376355990-1008\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\S-1-5-21-813168954-2331887013-1376355990-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05)
    O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
    MsConfig - StartUpReg: HBLiteSA - hkey= - key= - File not found
    MsConfig - StartUpReg: jswtrayutil - hkey= - key= - File not found
    [2012/05/28 17:49:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Iaqhrydlam
    [2012/05/28 17:49:11 | 000,081,920 | -H-- | C] (MagicIso) -- C:\WINDOWS\System32\F6A5B51F02D3AAC37A35.exe
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2012/05/28 17:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
    [2012/05/28 17:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
    [2012/05/28 17:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
    [2012/05/28 17:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
    [2012/05/28 17:49:47 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
    [2010/11/30 15:51:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\HBLiteSA
    [2008/11/25 00:22:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
    [2010/11/29 17:14:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\CrazyLoader
    [2010/11/29 17:05:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\HBLite
    [2012/05/28 17:49:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Iaqhrydlam
    [2011/09/16 19:19:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\PriceGong
    [2011/09/25 12:22:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\searchquband
    [2012/04/20 06:53:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\searchqutoolbar

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Program Files\AOL 9.0\waol.exe"=-
    "C:\Program Files\CrazyLoader\crazyloader.exe"=-
    "C:\Program Files\Java\jre6\launch4j-tmp\crazyloader.exe"=-
    "C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe"=-

    :Files
    C:\Program Files\AOL 9.0
    C:\Program Files\CrazyLoader
    C:\Program Files\Java\jre6\launch4j-tmp\crazyloader.exe
    C:\Program Files\Searchqu Toolbar
    C:\Program Files\HBLite
    C:\Program Files\ConduitEngine
    C:\Program Files\Softonic_France

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Pour la suite, il faut que tu récupères d'une sauvegarde, d'un autre pc, d'une clé usb ou autre, la copie saine et non modifiée d'un des fichiers cryptés, l'outil pourrait en avoir besoin, dis-moi si c'est bon dans ta prochaine réponse avec le rapport OTL.
    1 Juin 2012 21:08:00

    merci pour tous ces précisions, je vais faire ça demain matin !
    Je te tiens au courant
    bonne soirée
    2 Juin 2012 08:28:28

    voici le rapport :


    All processes killed
    ========== OTL ==========
    No active process named datamngrUI.exe was found!
    Service SYMIDSCO stopped successfully!
    Service SYMIDSCO deleted successfully!
    File C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys not found.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ not found.
    HKEY_USERS\S-1-5-21-813168954-2331887013-1376355990-1008\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_USERS\S-1-5-21-813168954-2331887013-1376355990-1008\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ not found.
    File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\HBLite@HBLite.com: C:\Program Files\HBLite\bin\11.0.323.0\firefox\extensions not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
    C:\Program Files\ConduitEngine\prxConduitEngine.dll moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}\ not found.
    C:\Program Files\Softonic_France\prxtbSof0.dll moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
    File C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D717F81-9148-4f12-8568-69135F087DB0}\ not found.
    C:\Program Files\Searchqu Toolbar\Datamngr\BrowserConnection.dll moved successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
    File C:\Program Files\ConduitEngine\prxConduitEngine.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{4daac69c-cba7-45e2-9bc8-1044483d3352} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}\ not found.
    File C:\Program Files\Softonic_France\prxtbSof0.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
    File C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-813168954-2331887013-1376355990-1008\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
    File C:\Program Files\ConduitEngine\prxConduitEngine.dll not found.
    Registry value HKEY_USERS\S-1-5-21-813168954-2331887013-1376355990-1008\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4DAAC69C-CBA7-45E2-9BC8-1044483D3352} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4DAAC69C-CBA7-45E2-9BC8-1044483D3352}\ not found.
    File C:\Program Files\Softonic_France\prxtbSof0.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DATAMNGR not found.
    File C:\Program Files\Searchqu Toolbar\Datamngr\datamngrUI.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-813168954-2331887013-1376355990-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll deleted successfully.
    C:\Program Files\Searchqu Toolbar\Datamngr\datamngr.dll moved successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll deleted successfully.
    C:\Program Files\Searchqu Toolbar\Datamngr\IEBHO.dll moved successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\HBLiteSA\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\jswtrayutil\ deleted successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\Iaqhrydlam folder moved successfully.
    C:\WINDOWS\system32\F6A5B51F02D3AAC37A35.exe moved successfully.
    C:\WINDOWS\System32\ConduitEngine.tmp deleted successfully.
    C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
    C:\WINDOWS\msdownld.tmp folder deleted successfully.
    C:\WINDOWS\system32\winsh324 moved successfully.
    C:\WINDOWS\system32\winsh323 moved successfully.
    C:\WINDOWS\system32\winsh322 moved successfully.
    C:\WINDOWS\system32\winsh321 moved successfully.
    C:\WINDOWS\system32\winsh320 moved successfully.
    C:\Documents and Settings\All Users\Application Data\HBLiteSA folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\French folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009 folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files folder moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\CrazyLoader\FRD folder moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\CrazyLoader folder moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\HBLite folder moved successfully.
    Folder C:\Documents and Settings\Compaq_Propriétaire\Application Data\Iaqhrydlam\ not found.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\PriceGong\Data folder moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\PriceGong folder moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Application Data\searchquband folder moved successfully.
    Folder C:\Documents and Settings\Compaq_Propriétaire\Application Data\searchqutoolbar\ not found.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\AOL 9.0\waol.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\CrazyLoader\crazyloader.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Java\jre6\launch4j-tmp\crazyloader.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe not found.
    ========== FILES ==========
    File\Folder C:\Program Files\AOL 9.0 not found.
    File\Folder C:\Program Files\CrazyLoader not found.
    C:\Program Files\Java\jre6\launch4j-tmp\crazyloader.exe moved successfully.
    C:\Program Files\Searchqu Toolbar\Datamngr folder moved successfully.
    C:\Program Files\Searchqu Toolbar folder moved successfully.
    C:\Program Files\HBLite\bin\11.0.323.0\firefox\extensions\plugins folder moved successfully.
    C:\Program Files\HBLite\bin\11.0.323.0\firefox\extensions folder moved successfully.
    C:\Program Files\HBLite\bin\11.0.323.0\firefox folder moved successfully.
    C:\Program Files\HBLite\bin\11.0.323.0 folder moved successfully.
    C:\Program Files\HBLite\bin folder moved successfully.
    C:\Program Files\HBLite folder moved successfully.
    C:\Program Files\ConduitEngine folder moved successfully.
    C:\Program Files\Softonic_France folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Compaq_Propriétaire

    User: Compaq_Propriétaire
    ->Temp folder emptied: 44407916 bytes
    ->Temporary Internet Files folder emptied: 371660131 bytes
    ->Java cache emptied: 29569162 bytes
    ->FireFox cache emptied: 39318148 bytes
    ->Google Chrome cache emptied: 6378842 bytes
    ->Apple Safari cache emptied: 76628992 bytes
    ->Flash cache emptied: 2828529 bytes

    User: Compaq_Propri‚taire

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33438 bytes
    ->Java cache emptied: 228 bytes
    ->Flash cache emptied: 1550 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 1704407 bytes
    ->Java cache emptied: 413623 bytes
    ->Flash cache emptied: 6100 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3563609 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 66057148 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 897 bytes

    Total Files Cleaned = 613,00 mb


    OTL by OldTimer - Version 3.2.45.0 log created on 06022012_080945

    Files\Folders moved on Reboot...
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\Perflib_Perfdata_e9c.dat not found!
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\~DF672E.tmp not found!
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\~DF6F3A.tmp not found!
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\~DF90AB.tmp not found!
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\~DF9B83.tmp not found!
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\MHY4T1KW\badges[1].eot moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\JWZ5SWOW\fpcs.201201241844[1].htm moved successfully.
    File\Folder C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\34996-2[2].htm not found!
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\afr[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\iframe[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\if[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\like[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\net[3].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\H4MO2V23\search[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\5774[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\ads[2].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\cas-fichiers-locked[1].html moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\emily[1].html moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\fastbutton[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\like[3].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\xd_arbiter[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\G5NOA9WJ\xd_arbiter[2].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\ads[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\click[2].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\cookie_pooling[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\fastbutton[2].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\files[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\google_fr[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\C389V0GK\si[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\9P7MJ3E9\empty[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6JTYW9CG\oauthCA9IA3TE.htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6JTYW9CG\send[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6JTYW9CG\si[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6JTYW9CG\sso[1].htm moved successfully.
    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6JTYW9CG\write_js[1].htm moved successfully.

    Registry entries deleted on Reboot...
    2 Juin 2012 08:29:01

    et que faire maintenant avec tout ça ?
    a c 548 8 Sécurité
    2 Juin 2012 10:23:12

    Re,

    Ne t'inquiète pas, je suis là, juste laisse-moi le temps de répondre :) 

    Maintenant nous passons au décryptage des fichiers :

    As-tu trouvé une copie saine d'un des fichier crypté au besoin ? Si oui, passe à la suite :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    2 Juin 2012 14:16:46

    ok je vais faire toutes ces manip' et je te tiens au courant...
    2 Juin 2012 16:37:25

    nickel ! encore merci ! qu'est-ce que je vous dois docteur ?
    a c 548 8 Sécurité
    2 Juin 2012 16:45:36

    Re,

    Il me faudrait au moins la fin du rapport si possible (10 dernières lignes), ou le rapport entier en suivant les instruction dans mon message précédent.
    2 Juin 2012 18:20:52

    voici les dernières lignes du rapport :

    13:24:22.0937 4052 ProcessDriveEnumEx: Drive E:\ type 5:0
    13:24:22.0937 4052 ProcessDriveEnumEx: Drive F:\ type 2:0
    13:24:22.0953 4052 ProcessDriveEnumEx: Volume is not accessible (error 21)
    13:24:22.0953 4052 ProcessDriveEnumEx: Drive G:\ type 2:0
    13:24:22.0953 4052 ProcessDriveEnumEx: Volume is not accessible (error 21)
    13:24:22.0953 4052 ProcessDriveEnumEx: Drive H:\ type 2:0
    13:24:22.0953 4052 ProcessDriveEnumEx: Volume is not accessible (error 21)
    13:24:23.0000 4052 ProcessDriveEnumEx: Drive I:\ type 2:0
    13:24:23.0000 4052 ProcessDriveEnumEx: Volume is not accessible (error 21)
    13:24:23.0000 4052 ProcessDriveEnumEx: Drive J:\ type 2:0
    13:24:23.0546 4052
    13:24:23.0546 4052 Statistic:
    13:24:23.0546 4052 Processed: 143158
    13:24:23.0546 4052 Suspicious: 0
    13:24:23.0546 4052 Found: 19180
    13:24:23.0546 4052 Decrypted: 8872
    13:24:23.0546 4052 ================================================================================
    13:24:23.0546 4052 Scan finished
    13:24:23.0546 4052 ================================================================================
    14:05:17.0859 3692 Deinitialize success




    a c 548 8 Sécurité
    2 Juin 2012 22:41:05

    Re,

    Tu as de nombreux fichier qui n'ont pas été décrypté, surement que ton ou tes disques étaient plein. (l'outil crée un double de chaque fichier crypté)

    Il faut donc passer l'option pour supprimer les doublon décrypté, et relancer une nouvelle passe de décryptage avec l'outil. (voir procédure précédente)
    3 Juin 2012 10:12:56

    ok message reçu ! je vais m'y mettre tout de suite ! bon dimanche
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS