Votre question

Fichiers LOCKED suite au virus gendarmerie[RESOLU]

Tags :
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Juin 2012 12:14:59

Bonjour, j'ai eu la visite du sympathique virus gendarmerie, que j'ai enlevé via le mode sans échec et RogueKiller. Problème bien évidemment mes fichiers sont locked !

voici le rapport d'OTL.

log
Extras

J'attends vos réponses avec impatience, beaucoup de fichier importants sont concernés... :( 

Merci d'avance :) 

Autres pages sur : fichiers locked suite virus gendarmerie resolu

a c 614 8 Sécurité
3 Juin 2012 17:41:03

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


Le scan OTL ne s'est pas fait correctement, refais ceci exactement :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, le rapport OTL.Txt s’ouvrira.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    3 Juin 2012 22:28:22

    Re,

    Ok, quelques reste de l'infection, et d'anciennes infections qu'on va nettoyer :

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java(TM) 7 Update 1 (version obsolète, tu possèdes une plus récente)
    - JavaFX 2.0.3 (64-bit) / JavaFX 2.0.3 SDK (inutile, sauf si tu crées des appli web )
    - Adobe AIR (idem)


    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O4 - HKLM..\Run: [EoEngine] "C:\Program Files (x86)\EoRezo\EoEngine.exe" File not found
    O4 - HKLM..\Run: [EoWeather] File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0)
    O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
    [2012/06/02 20:28:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EoRezo
    [2012/06/02 17:19:58 | 000,000,000 | ---D | C] -- C:\Users\Geo\AppData\Roaming\Pfypnvd
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



    Pour le décryptage que l'on va faire ensuite, l'outil peut avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté de ton pc, essaye de trouver cela, d'une sauvegarde, d'un téléchargement, d'une clé usb, etc ...

    :jap: 
    4 Juin 2012 09:27:32

    Rapport de suppression

    Voila, j'ai tout ce qu'il faut pour les fichiers non infectés pour le décryptage :) 

    J'attends pour la suite de l'opération :) 

    Merci beaucoup pour le coup de main ;) 
    4 Juin 2012 10:20:32

    J'ai commencé la procédure de scan avec Kaspersky Rannoh et non Rector qui ne fonctionnait pas ^^ Je met le rapport des que possible :) 
    a c 614 8 Sécurité
    4 Juin 2012 11:03:32

    Re,

    Oui soyez un peu patient s'il vous plait, vous avez vu qu'il y a un nombre assez effroyable de cas, alors laissez-nous le temps de répondre ;) 

    Je te met la procédure quand même, même si tu l'as commencé seul :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    4 Juin 2012 11:10:47

    Oui pardonnez-moi mon impatience, mais je suis dans l'obligation de résoudre le problème pour ne plus être bloquer au boulot ^^

    Voici le rapport post-décryptage ( partiel d'ailleurs )Rapport

    Merci ;) 
    a c 614 8 Sécurité
    4 Juin 2012 11:15:57

    Re,

    Le fichier manquant, tu as vu lequel c'est ? il est important ?
    (tu peux faire une recherche avec le mot clé "copyfile" dans le rapport pour le trouver, ou "error" )
    4 Juin 2012 11:19:38

    10:38:36.0410 7820 Processing file: C:\Users\Geo\AppData\Local\Microsoft\Media Player\locked-CurrentDatabase_372.wmdb.kchf
    10:38:36.0450 7820 CopyFile(C:\Users\Geo\AppData\Local\Microsoft\Media Player\locked-CurrentDatabase_372.wmdb.kchf, C:\Users\Geo\AppData\Local\Microsoft\Media Player\CurrentDatabase_372.wmdb) error 32
    10:38:36.0450 7820 Processing file: C:\Users\Geo\AppData\Local\Microsoft\Media Player\locked-LocalMLS_0.wmdb.gesn


    C'est bien celui-la ? Ca me semble peu important si c'est le cas
    a c 614 8 Sécurité
    4 Juin 2012 11:27:51

    Re,

    Oui, bon non c'est pas important, ce sont des bases de donnée lié à l'utilisation de Windows media player.
    Si tu le peux manuellement, supprime-le.

    Si ce n'est pas déjà fait, repasse l'outil avec l'option de suppression des fichiers en double "locked" (voir procédure précédente)

    Dis-moi si tu rencontres encore des problèmes sur ce pc, sinon on nettoiera les outils et on conclura.

    :jap: 
    4 Juin 2012 11:36:10

    Dernier rapport décrypteur

    J'ai relancé avec la suppression des doublons en locked, il me reste quelques fichiers non décryptés par rapport au scan d'avant. Je regarde leurs importance.


    Merci ;) 
    4 Juin 2012 11:40:44

    Ok , pc checked ! Plus de fichier locked, Merci beaucoup ! J'attends la fin de procédure ;) 
    a c 614 8 Sécurité
    4 Juin 2012 14:42:47

    Re,

    Ok pour conclure alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux supprimer manuellement RanohDecryptor.exe


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Supprime manuellement dans ta liste des programmes si encore présent : Java(TM) 7 Update 1 / Java(TM) 7 Update 3 (64-bit)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    4 Juin 2012 15:05:03

    Merci beaucoup ! Vraiment :D 

    Bonne continuation ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS