Votre question
Fermé

[Résolu] Fichiers locked virus gendarmerie nationale

Tags :
  • Virus
  • Ordinateur
  • gendarmerie nationale
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
a c 614 8 Sécurité
3 Juin 2012 11:41:23

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

- Spybot - Search & Destroy (obsolète et inutile, la preuve, tu es là)
- JavaFX 2.1 (installé avec la dernière version de java, inutile, sauf si tu crées des appli web)
- Bing Bar (barre d'outil, sauf réelle utilité)


ça a l'air d'être ok niveau infection, on passe donc directement au décryptage :

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    Contenus similaires
    a c 614 8 Sécurité
    3 Juin 2012 17:37:26

    Re,

    Oui cela arrive s'il détecte automatiquement la clé de cryptage.

    Citation :
    16:13:42.0452 7008 Found: 26007
    16:13:42.0452 7008 Decrypted: 26007


    Parfait. Vérifie que tes fichiers sont opérationnels, puis, si ce n'est pas fait, relance l'outil avec l'option de suppression des fichiers cryptés (voir procédure précédente)

    Viens me dire quand c'est ok, nous nettoierons les outils utilisé, mettrons à jour le pc pour éviter une nouvelle infection, puis conclurons.

    :jap: 
    3 Juin 2012 18:57:12

    Je viens d effectuer la suppression par contre il y a 2 fichiers qu il n a pas décrypte. Est ce normal. Sinon tout est OK

    a c 614 8 Sécurité
    3 Juin 2012 18:58:46

    Re,

    D'après le rapport il avait tout décrypté.

    Tu as vu cela où ? Quels sont ces fichiers ?
    3 Juin 2012 19:22:20

    J'ai refait un autre scan avec suppression comme tu me l avais dit et il a trouvé 26007 fichiers et décrypte. 26004.je t envoie le rapport vers 21:00
    3 Juin 2012 21:49:35

    j'ai refait une analyse avec Mbam ,j'ai encore des éléments détectés .
    j'ai levé les bras trop vite ,c'est pas encore terminé, voici le rapport

    http://cjoint.com/?3FdvXpDtwfU
    a c 614 8 Sécurité
    3 Juin 2012 22:15:32

    Re,

    Alors déjà je ne t'avais pas demandé malwarebyte's, essaye d'éviter pendant nos procédures de fare d'autres manipulation ;) 
    Ensuite ce qu'il a détecté n'est pas dangereux, tu as deux logiciels repacker avec des pubs parce que tu les télécharge sur des sites que je ne recommande plus : 01net et softonic, à fuir

    Et ceux là, il viennent d'où les logiciels ? des éditeurs ou tu les as téléchargé sur les réseaux p2p ?
    Citation :
    D:\Mes Logiciels\Acronis True Image\Acronis True Image10\CR-ACRONIS.exe (Trojan.Dropper.PGen) -> Aucune action effectuée.
    D:\Mes Logiciels\Alcohol 120%\Alcohol 120% Vista\Alcohol.exe (Trojan.Agent) -> Aucune action effectuée.


    Où en es-tu avec le décryptage ? j'attends le raport pour voir le souci des fichiers non décrypté.
    3 Juin 2012 22:28:10

    ce sont des logiciels que j'ai recupéré via p2p ,mais depuis un moment et jamais ennuyé.maintenant je peux m'en débarrassé
    pour le rapport je n'arrive pas a l'envoyer en fichier joint il est trop lourd
    j'ai regardé dans l'explorateur il y a encore 116 fichiers verrouilles après le decryptage
    a c 614 8 Sécurité
    3 Juin 2012 22:30:28

    Re,

    alors désinstalle-les, et relance malwarebyte's en sélectionnant et supprimant ces détections, si ce n'est pas déjà fait.

    Pour le rapport, envoi-moi juste les dernières lignes, ainsi que celle dans le rapport ou tu verras "error xxx", cela doit correspondre aux trois fichiers non décrypté.
    a c 614 8 Sécurité
    3 Juin 2012 22:51:21

    Re,

    Ok, je vais chercher sur le rapport, envoi-le ici, il devrait passer :
    http://dl.free.fr/

    Poste-moi le lien obtenu.
    3 Juin 2012 23:19:27

    désolé je n'arrive pas a poster ce rapport
    4 Juin 2012 08:53:35

    j'ai regardé dans l'explorateur les 116 fichiers qui sont toujours "locked" ,il ne font que quelques Ko.
    j'ai voulu retenter un scan de décryptage avec Kaspersky,mais il me demande maintenant un fichier source sain ,étant donné que les fichiers locked ne font que quelques Ko ça risque d’être problématique.
    Néanmoins ,ces fichiers ne me sont pas d'une grande utilité (sous D:/), je peux peut être m'en débarrassé?
    D'autre par contre sont sous C:/Utilisateurs/Jerome.G/AppData/ Roaming/Microsoft.... pour ceux la c'est peut être plus problématique?
    J’espère que tu as pu lire le rapport que je pense avoir réussi a t'envoyer hier.
    J'attends ta réponse pour agir à tout à l'heure
    a c 614 8 Sécurité
    4 Juin 2012 11:11:08

    Re,

    Alors oui, les fichiers trop petit (généralement moins de 4ko), sont le plus souvent impossible à décrypter, mais ce qui m'étonne c'est que lors de ton premier passage il avait marqué avoir tout décrypté ...

    Sur ton rapport je ne vois que trois fichier qui n'ont pas réussi à être décrypter surement à cause de cela, mais il suffirait de réinstaller chrome (en supprimant ton profil utilisateur) pour réparer ça.

    Je n'en vois pas sous Roaming dans ce rapport.

    Tu as des exemples à me donner ?
    4 Juin 2012 11:29:24

    Quelques exemples en vrac:
    C:\Users\Jérome.G\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1146331924-4120709418-1364344070-1000
    C:\Users\Jérome.G\AppData\Local\Ahead\Nero Home\idx
    C:\Users\Jérome.G\AppData\Roaming\vlc
    a c 614 8 Sécurité
    4 Juin 2012 12:13:23

    Re,

    ce sont des dossier, les fichiers sont dedans ? tu as un exemple du fichier ?
    A priori rien d'important, mais bon.
    4 Juin 2012 12:31:18

    C:\Users\Jérome.G\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-1146331924-4120709418-1364344070-1000\locked-32bb086089135b93572f42123d5b6395_97a9b5a5-a2db-4269-8705-eb8b7e017e10.ymwf
    a c 614 8 Sécurité
    4 Juin 2012 14:45:09

    Re,

    Ok des trucs pas utile.

    Si ce n'est pas déjà fait, relance l'outil de décryptage avec l'option de suppression des fichiers en double "locked" (voir procédure dans message précédent), puis supprime manuellement les derniers fichiers "locked" existant" (fais une recherche sur le pc au besoin)

    Dis-moi quand c'est ok, nous conclurons.
    4 Juin 2012 14:58:56

    c'est bon c'est fait
    a c 614 8 Sécurité
    4 Juin 2012 15:03:31

    Ok,

    Pour terminer :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux supprimer manuellement RanohDecryptor.exe


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Tu peux ensuite supprimer manuellement dans ta liste des programmes (si présentes) toute version inférieure à 7 update 4

  • Clique sur Update Adobe Reader à droite. S'il doit être mis à jour, le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, S'il doit être mis à jour, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    4 Juin 2012 15:59:16

    merci beaucoup yunkel30 pour ton aide et ta disponibilité ,tout semble ok.je classe le sujet en "résolu"
    Bonne journée
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS