Se connecter / S'enregistrer
Votre question

Gendarmerie : fichiers locked & Rogkiller ne marche pas ... [résolu]

Tags :
  • angel a sa licence
  • locked
  • Windows
  • photo
  • virus gendarmerie
  • Virus
  • Programme
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Juin 2012 14:55:35

Bonjour,

Il semble que ce problème soit assez répandu (dans un sens ça rassure un peu ...). J'ai donc essayé de comprendre et de suivre les conseils d'autres topics, mais sans succès ...

Mon PC ayant été infecté par le fameux "Virus Gendarmerie" (je l'avais prêté, on me l'a rendu infecté ... merci du cadeau), j'ai finalement réussi à en reprendre le contrôle. Je peux donc maintenant lancer Windows et utiliser le PC, mais beaucoup de mes fichiers sont locked, y compris toutes les photos de mes enfants. Ca commence à m'engoisser, 3 ans de photos inutilisables ...

J'ai essayé Rogkiller, il pré-scan, puis quand je lance le scan le programme se ferme au bout de 2 secondes.

Voilà, après je ne sais pas quoi faire. Je commence à m'affoler pour les photos. Je serais très reconnaissant si quelqu'un pouvait m'aider à les retrouver.

Merci beaucoup par avance.

Autres pages sur : gendarmerie fichiers locked rogkiller marche resolu

2 Juin 2012 21:35:06

Bonsoir
pas de panique :) 
ne supprime rien sans que je te le demande.
on va regarder si l'infection est encore présente, puis on déverrouillera tes fichiers.

Citation :
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.

    m
    0
    l
    3 Juin 2012 00:51:37

    D'abord un grand merci de prendre le temps de te pencher sur mon souci.

    J'ai donc suivi tes instructions, mais OTL ne génère que le fichier OTL.txt (pas de fichier Extras.txt). J'ai essayé plusieurs fois et il n'y a toujours qu'un seul fichier. Le voici : http://pjjoint.malekal.com/files.php?id=20120603_r7w12u...

    Par contre, cet après-midi j'avais déjà utilisé OTL après avoir lu d'autres topics d'aide. Et là il y avait bien eu les deux fichiers. Les voici au cas où c'est utile :
    - OTL.txt : http://pjjoint.malekal.com/files.php?id=20120603_x157o9...
    - Extras.txt : http://pjjoint.malekal.com/files.php?id=20120603_z11n11...
    Mais ces 2 rapports ont été générés avec des réglages différents de ceux que tu m'as demandés (lesquels, je ne sais plus par contre ...).

    Voilà, j'espère que ça ira avec ça ...
    m
    0
    l
    Contenus similaires
    3 Juin 2012 10:40:20

    Bonjour
    l'infection est encore active:
    Citation :
    O4 - HKU\S-1-5-21-1410236154-1455553273-2078879821-1001..\Run: [d8lvg7366m] C:\Users\Doudoue_2\d8lvg7366m.exe (Tmd)


    On va supprimer ça:

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>

    +++++++++++++++++++++


    m
    0
    l
    3 Juin 2012 12:35:33

    Voici le rapport de Combofix :

    Citation :

    ComboFix 12-06-03.01 - Doudoue 03/06/2012 11:56:16.1.4 - x86
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3566.2587 [GMT 2:00]
    Lancé depuis: c:\users\Doudoue_2\Desktop\ComboFix.exe
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    C:\data
    c:\programdata\FullRemove.exe
    c:\users\Doudoue_2\AppData\Roaming\.#
    c:\users\Doudoue_2\d8lvg7366m.exe
    c:\windows\system32\ijl11.dll
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-05-03 au 2012-06-03 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-06-03 10:01 . 2012-06-03 10:01 -------- d-----w- c:\users\Doudoue\AppData\Local\temp
    2012-06-02 21:53 . 2012-06-02 22:14 512 ----a-w- C:\PhysicalMBR.bin
    2012-06-02 16:41 . 2012-06-02 16:50 -------- d-----w- c:\users\Doudoue\AppData\Local\NPE
    2012-06-02 16:41 . 2012-06-02 16:42 -------- d-----w- c:\programdata\Norton
    2012-05-25 01:07 . 2012-05-25 01:07 -------- d-----w- c:\program files\FileHippo.com
    2012-05-24 22:03 . 2012-06-02 11:55 14080 ----a-w- c:\windows\system32\drivers\TrueSight.sys
    2012-05-24 21:08 . 2012-05-24 21:08 -------- d-----w- c:\users\Doudoue_2\AppData\Roaming\Malwarebytes
    2012-05-24 21:03 . 2012-05-24 21:03 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2012-05-24 21:03 . 2012-05-24 21:03 -------- d-----w- c:\users\Doudoue\AppData\Roaming\Malwarebytes
    2012-05-24 21:03 . 2012-05-24 21:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2012-05-24 21:03 . 2012-05-24 21:03 -------- d-----w- c:\programdata\Malwarebytes
    2012-05-24 21:03 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-05-24 20:08 . 2012-05-24 20:08 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
    2012-05-24 19:19 . 2012-05-24 19:19 -------- d-----w- c:\users\Doudoue\AppData\Local\Mozilla
    2012-05-24 09:15 . 2012-05-24 09:15 -------- d-----w- c:\users\Doudoue_2\AppData\Roaming\Pblrpy
    2012-05-09 13:34 . 2012-03-30 10:23 1291632 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2012-05-09 13:34 . 2012-03-31 04:29 936960 ----a-w- c:\program files\Common Files\Microsoft Shared\ink\journal.dll
    2012-05-09 13:34 . 2012-03-31 04:30 1221632 ----a-w- c:\program files\Windows Journal\NBDoc.DLL
    2012-05-09 13:34 . 2012-03-31 04:29 989184 ----a-w- c:\program files\Windows Journal\JNTFiltr.dll
    2012-05-09 13:34 . 2012-03-31 04:29 969216 ----a-w- c:\program files\Windows Journal\JNWDRV.dll
    2012-05-09 13:34 . 2012-03-31 04:39 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2012-05-09 13:34 . 2012-03-31 04:39 3913072 ----a-w- c:\windows\system32\ntoskrnl.exe
    2012-05-09 13:34 . 2012-03-31 02:36 2343424 ----a-w- c:\windows\system32\win32k.sys
    2012-05-09 13:34 . 2012-03-17 07:27 56176 ----a-w- c:\windows\system32\drivers\partmgr.sys
    2012-05-09 13:34 . 2012-03-03 05:31 1077248 ----a-w- c:\windows\system32\DWrite.dll
    2012-05-06 11:41 . 2012-05-06 11:41 -------- d-----w- c:\users\Doudoue_2\AppData\Roaming\EAC
    2012-05-06 11:41 . 2012-05-16 08:25 -------- d-----w- c:\users\Doudoue_2\AppData\Roaming\AccurateRip
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-05-24 20:08 . 2012-02-02 13:33 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-01-29 16:20 . 2012-02-02 13:26 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
    "FileHippo.com"="c:\program files\FileHippo.com\UpdateChecker.exe" [2012-03-26 306688]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-10-29 7862816]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-10-10 1578280]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-04 13830760]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    .
    c:\users\Doudoue_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    RogueKiller - Raccourci.lnk - c:\users\Doudoue\Desktop\RogueKiller.exe [N/A]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "mixer8"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-10-03 02:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APLangApp]
    2009-10-20 09:12 13312 ----a-w- c:\program files\AnyPC Client\APLangApp.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
    2011-09-27 06:22 59240 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
    2009-06-03 11:59 103720 ------w- c:\program files\CyberLink\Power2Go\CLMLSvc.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
    2011-07-28 23:08 1259376 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2011-10-09 17:06 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
    2009-04-15 14:54 50472 ------w- c:\program files\CyberLink\PowerDVD8\Language\Language.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2011-10-24 13:28 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
    2009-04-15 14:52 91432 ------w- c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2011-06-09 12:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UCam_Menu]
    2009-05-19 21:16 222504 ------w- c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateLBPShortCut]
    2009-05-19 13:16 222504 ------w- c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateP2GoShortCut]
    2009-05-19 13:16 222504 ------w- c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePDRShortCut]
    2008-01-04 02:02 222504 ------w- c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePPShortCut]
    2008-12-03 13:15 218408 ------w- c:\program files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePSTShortCut]
    2009-07-21 02:39 210216 ------w- c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 135664]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 135664]
    R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-05-24 40776]
    R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-09-23 1343400]
    S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 10752]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe [2009-08-13 44312]
    S2 Rezip;Rezip;c:\windows\SYSTEM32\Rezip.exe [2009-03-05 311296]
    S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
    S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-06-27 66080]
    S3 rtl819xp;Pilote NT pour carte réseau (Mini-) PCI Realtek RTL8190/RTL8192E pour réseau Wi-Fi 802.11n;c:\windows\system32\DRIVERS\rtl819xp.sys [2010-02-01 557088]
    S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-09-28 315392]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 08:36]
    .
    2012-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-09-23 08:36]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Doudoue\AppData\Roaming\Mozilla\Firefox\Profiles\fkfkq649.default\
    FF - prefs.js: browser.startup.homepage - hxxps://www.google.fr/
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-Locked - (no file)
    SafeBoot-mcmscsvc
    SafeBoot-MCODS
    MSConfigStartUp-Google Update - c:\users\Doudoue\AppData\Local\Google\Update\GoogleUpdate.exe
    MSConfigStartUp-KPeerNexonEU - c:\nexon\NEXON_EU_Downloader\nxEULauncher.exe
    AddRemove-Deus Ex - c:\deusex\System\Setup.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2012-06-03 12:04:00
    ComboFix-quarantined-files.txt 2012-06-03 10:03
    .
    Avant-CF: 46 294 843 392 octets libres
    Après-CF: 47 475 912 704 octets libres
    .
    - - End Of File - - ABC0BBCABC2E0A52363E0C5E49952C35


    m
    0
    l
    3 Juin 2012 18:23:57

    ok

    1

    Télécharge SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    http://jpshortstuff.247fixes.com/SystemLook.exe

    * Double-click SystemLook.exe pour le lancer.
    * Clic droit/copier le contenu du cadre ci dessous ,et clic droit/coller dans le cadre blanc de SystemLook:


    :dir
    c:\users\Doudoue_2\AppData\Roaming\Pblrpy


    * Click le bouton Look pour commencer le scan.
    * Laisse l'outil travailler, cela peut prendre quelques minutes.
    * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

    Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt


    2

    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    m
    0
    l
    3 Juin 2012 19:11:13

    Voici le rapport de SystemLook :

    Citation :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 18:54 on 03/06/2012 by Doudoue
    Administrator - Elevation successful

    ========== dir ==========

    c:\users\Doudoue_2\AppData\Roaming\Pblrpy - Parameters: "(none)"

    ---Files---
    C6876DDA5A77C441987B.exe --ah--- 57856 bytes [09:15 24/05/2012] [09:15 24/05/2012]

    ---Folders---
    None found.

    -= EOF =-


    Pour ce qui est de RannohDecryptor, je l'ai téléchargé.
    Il faut maintenant que je trouve un fichier sain qui soit la copie d'un fichier locked, c'est bien ça ?
    Est-ce que je peux, pour chercher ce fichier sain, connecter à mon PC une clé USB ou un disque dur externe ? Il n'y a pas de risque de contaminer aussi les fichiers qu'ils contiennent ?
    m
    0
    l
    3 Juin 2012 21:14:06

    Bonjour
    Citation :
    Il faut maintenant que je trouve un fichier sain qui soit la copie d'un fichier locked, c'est bien ça ?

    oui
    Citation :
    Est-ce que je peux, pour chercher ce fichier sain, connecter à mon PC une clé USB ou un disque dur externe ? Il n'y a pas de risque de contaminer aussi les fichiers qu'ils contiennent ?

    regarde déjà sur ton pc, tu as certainement des fichiers sains :) 

    avant de faire ça, on va supprimer ce dossier:


  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :


    :files
    c:\users\Doudoue_2\AppData\Roaming\Pblrpy
    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    m
    0
    l
    3 Juin 2012 23:12:17


    Voici le rapport :

    Citation :
    All processes killed
    ========== FILES ==========
    c:\users\Doudoue_2\AppData\Roaming\Pblrpy folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Doudoue
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 20182064 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 132014704 bytes
    ->Google Chrome cache emptied: 359289438 bytes
    ->Flash cache emptied: 2847 bytes

    User: Doudoue_2
    ->Temp folder emptied: 1133 bytes
    ->Temporary Internet Files folder emptied: 18343554 bytes
    ->Java cache emptied: 24930018 bytes
    ->FireFox cache emptied: 891516755 bytes
    ->Google Chrome cache emptied: 423214936 bytes
    ->Apple Safari cache emptied: 41160704 bytes
    ->Flash cache emptied: 373757 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 15802 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 1,823.00 mb


    OTL by OldTimer - Version 3.2.45.0 log created on 06032012_224334

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...


    Sinon, à propos du fichier sain :

    Citation :
    regarde déjà sur ton pc, tu as certainement des fichiers sains

    Oui j'ai des fichiers sains sur ce PC, mais ce ne sont pas les mêmes que ceux qui sont locked.

    Si j'ai bien compris, j'ai une photo locked et il faut que je trouve exactement la même photo mais saine, donc copiée avant l'infection sur un autre support et non modifiée. Si c'est bien ça, j'avais copié quelques photos sur une clé USB pour les montrer à ma famille. Reste à savoir à quelle photos cryptées elles correspondent car une fois locked on ne peut plus visualiser les photos. Je retourne à la recherche du sésame ...
    m
    0
    l
    4 Juin 2012 13:35:05

    Bon j'ai trouvé un fichier sain qui doit être (si je ne fais pas erreur ...) une copie d'un des fichiers infectés. C'est une vidéo de 800 Mo. Elle est sur un autre PC, je peux le connecter pour copier la vidéo sans risque d'infecter ce 2e PC ? Ensuite je lance RannohDecryptor ?
    m
    0
    l
    4 Juin 2012 21:50:50

    Bonsoir
    normalement oui...
    pourquoi tu ne fais pas la manip avec des photos de ta clé usb?
    les fichiers photos n'ont pas été modifiés donc ça marchera.
    m
    0
    l
    5 Juin 2012 04:10:13

    Oui j'ai finalement trouvé un fichier plus petit et lancé le décryptage avec RannohDecryptor.
    Les fichiers ont bien été récupérés (sauf 2) ! Ouf !
    Comme demandé je te mets le rapport de RannohDecryptor :
    http://pjjoint.malekal.com/files.php?id=20120605_q6z12r...

    Est-ce que ça signifie que le PC n'est plus infecté ?
    m
    0
    l
    5 Juin 2012 21:31:24

    Bonsoir
    parfait !

    tu as changé tes mots de passes j'espère...

    on va mettre à jours tes programmes car l'infection est arrivée par là.



    On va vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\

    m
    0
    l
    5 Juin 2012 22:19:01

    Voici le rapport :

    Citation :
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 32 bits
    Service Pack : 1
    UserName : Doudoue
    05/06/2012
    22:07:43
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.2.202.235
    Flash Player ActiveX n'est pas à jour!

    Name : FlashPlayer Plugin
    Version : 11.2.202.235
    Flash Player Plugin n'est pas à jour!

    Nom : Mozilla Firefox 12.0 (x86 fr)
    Version : 12.0

    Nom : Mozilla Maintenance Service
    Version : 12.0

    Java Information :
    Nom : Java(TM) 6 Update 22
    Version : 6.0.220
    Java(TM) 6 Update 22 n'est pas à jour!

    Java Information :
    Nom : Java(TM) 6 Update 30
    Version : 6.0.300
    Java(TM) 6 Update 30 n'est pas à jour!

    Name : Adobe Reader 9.5.1 - Français
    Version : 9.5.1
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421



    Concernant l'anti-virus, comment dire ... en fait je n'en ai pas (ceci explique peut-être cela ...).
    Je vais télécharger MSE je pense. Je ne sais pas si c'est le meilleur, mais ce sera toujours mieux que rien.
    J'ai vu qu'il y a un dossier à ce sujet sur le forum ; je vais prendre un moment pour le lire.

    A propos des mots de passe : certains sont enregistrés dans les navigateurs, c'est ceux-là que je dois changer ? Parce qu'il y a d'autres mdp que je n'ai jamais enregistrés, ceux-là ne risquent rien ?
    m
    0
    l
    9 Juin 2012 19:43:54

    Les mises à jour sont faites pour Flash et Java.
    Pour l'antivirus, j'ai installé AVAST en suivant le lien de l'article que tu m'as donné. Mais en fait il s'agit d'une version d'essai de 30 jours. C'était pas un logiciel gratuit à une époque ?
    m
    0
    l
    9 Juin 2012 21:08:59

    bonsoir
    avast est gratuit, il suffit juste d'installer la version gratuite:
    http://forum.security-x.fr/tutoriels-317/%28tutoriel%29...!-antivirus-gratuit/




    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 

    ++++++++
    m
    3
    l
    21 Juin 2012 09:39:16

    Un grand MERCI Sham_Rock pour ton aide précieuse !
    Je vais prendre un peu de temps pour lire et essayer de comprendre les dossiers du forum sur la sécurité. Une mine d'or ce forum ! :love: 
    m
    6
    l
    21 Juin 2012 21:27:35

    Bonsoir
    de rien
    bon surf !
    :hello: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS