Se connecter / S'enregistrer
Votre question

Infection par un virus gendarmerie nationale - fichiers locked

Tags :
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Juin 2012 19:02:08

Bonsoir,
J'ai choppé le virus gendarmerie nationale au boulot et ma clé USB était connectée au PC. Le problème c'est que tous les fichiers qu'elle contient sont locked...
Quelqu'un peut-il m'aider SVP ? Je risquerais d'avoir besoin d'aide au travail demain car je suppose que mes fichiers sur le PC sont atteints aussi...
Merci d'avance

Autres pages sur : infection virus gendarmerie nationale fichiers locked

5 Juin 2012 21:40:02

Bonsoir
on va commencer par regarder si l'infection est encore présente, puis on déverrouillera tes fichiers :) 


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.

    5 Juin 2012 22:02:01

    Bonsoir, j'ai posté le même post un autre site sur lequel tu me viens également en aide. Je laisse tomber l'autre post et on parle sur celui-ci.
    Je fais la manip que tu m'as indiqué dès demain matin en arrivant au travail. Je t'enverrai le rapport aussitôt.
    Merci encore de ton aide.
    Contenus similaires
    5 Juin 2012 22:18:47

    vu que tu n'as pas le même pseudo, je n'ai pas fait le rapprochement....
    6 Juin 2012 13:02:49

    je ne peux pas allumer mon pc au boulot. Peux-tu m'aider à l'allumer ?
    En fait, le pc démarre, mais au moment de m'afficher le bureau il m'affiche l'image du virus. Comment je peux faire ??
    6 Juin 2012 14:14:10

    Bonjour
    il faut que tu essayes en mode sans échec avec prise en charge réseau:

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis l'option, exécuter Windows en mode sans échec avec prise en charge réseau, puis appuie sur "Entrée".

    si tu peux faire une restauration système à une date antérieur (avant l'infection) et que ça marche, c'est tout bon, sinon tu déroules la procédure avec OTL.

    si ça ne marche pas, on fera avec un cdlive, mais j’espère que ce n'est pas un pc de parc car sinon, il faudra voir avec ton admin... :/ 

    6 Juin 2012 14:29:08

    oui c un pc de parc... il faut que je contacte notre service info... j'espère qu'il pourra m'aider !
    pour les fichiers de ma clef, je vais installé OTL chez moi ce soir, si tu pourras m'aider à les récupérer...
    6 Juin 2012 14:33:04

    essaye quand même de démarrer en mode sans échec :) 

    pour les fichiers qui sont sur ta clé, il faudra au moins un fichier sain et son homologue en locked pour tout déverrouiller.
    6 Juin 2012 14:45:59

    j'ai essayer de démarrer en mode sans &chec mais ça ne marche pas, ni même le mode sans echec avec prise en charge du reseau
    6 Juin 2012 16:37:51

    je n'ai pas de fichiers sains sur ma clef. Tu vas quand-même pouvoir les restaurer ? Dès que j'ai le rapport OTL je te le transmet.
    6 Juin 2012 18:25:26

    l'analyse est en cours. J'ai trouvé des fichiers sains sur mon disque dur correspondant à des fichiers bloqués sur ma clef :) 
    6 Juin 2012 21:09:17

    Bonsoir
    le rapport extra est un peu bizarre ... :) 
    Citation :
    ~o/ \o/ \o~


    Citation :
    J'ai trouvé des fichiers sains sur mon disque dur correspondant à des fichiers bloqués sur ma clef

    pour ta clé, tu la mets dans ton pc et tu déroules la procédure:


    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    6 Juin 2012 21:43:34

    21:11:58.0827 5456 Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
    21:11:59.0177 5456 ============================================================
    21:11:59.0177 5456 Current date / time: 2012/06/06 21:11:59.0177
    21:11:59.0177 5456 SystemInfo:
    21:11:59.0177 5456
    21:11:59.0177 5456 OS Version: 6.0.6002 ServicePack: 2.0
    21:11:59.0177 5456 Product type: Workstation
    21:11:59.0177 5456 ComputerName: PC-DE-ELIOT
    21:11:59.0177 5456 UserName: Eliot
    21:11:59.0177 5456 Windows directory: C:\Windows
    21:11:59.0177 5456 System windows directory: C:\Windows
    21:11:59.0177 5456 Processor architecture: Intel x86
    21:11:59.0177 5456 Number of processors: 2
    21:11:59.0177 5456 Page size: 0x1000
    21:11:59.0177 5456 Boot type: Normal boot
    21:11:59.0177 5456 ============================================================
    21:11:59.0177 5456 Initialize success
    21:12:54.0602 4544 Can't get encrypted file path
    21:12:54.0602 4544 Can't init decryptor
    21:13:38.0058 3404 ProcessDriveEnumEx: Drive C:\ type 3:0
    21:13:39.0518 3404 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-100_3774.JPG.rgvu.lnk
    21:13:39.0518 3404 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-avast_internet_security_setup.exe.eeal.lnk
    21:13:39.0588 3404 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-belgique.docx.lnk
    21:13:47.0514 3404 ProcessDriveEnumEx: Drive D:\ type 3:0
    21:13:47.0670 3404 ProcessDriveEnumEx: Drive E:\ type 5:0
    21:13:47.0670 3404 ProcessDriveEnumEx: Drive F:\ type 2:0
    21:13:47.0670 3404 ProcessDriveEnumEx: Drive H:\ type 2:0
    21:13:47.0670 3404 Processing file: H:\locked-The.Twilight.Saga.Breaking.Dawn.Part.1.2011.TRUEFRENCH.DVDRip.XviD.AC3-Condon.avi.ffff
    21:24:13.0651 6848 ProcessDriveEnumEx: Drive C:\ type 3:0
    21:24:15.0187 6848 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-100_3774.JPG.rgvu.lnk
    21:24:15.0188 6848 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-avast_internet_security_setup.exe.eeal.lnk
    21:24:15.0189 6848 Processing file: C:\Users\Eliot\AppData\Roaming\Microsoft\Windows\Recent\locked-belgique.docx.lnk
    21:24:22.0737 6848 ProcessDriveEnumEx: Drive D:\ type 3:0
    21:24:22.0772 6848 ProcessDriveEnumEx: Drive E:\ type 5:0
    21:24:22.0772 6848 ProcessDriveEnumEx: Drive F:\ type 2:0
    21:24:22.0774 6848 ProcessDriveEnumEx: Drive G:\ type 1:0
    21:24:22.0774 6848 ProcessDriveEnumEx: Drive H:\ type 2:0
    21:24:22.0776 6848 Processing file: H:\locked-The.Twilight.Saga.Breaking.Dawn.Part.1.2011.TRUEFRENCH.DVDRip.XviD.AC3-Condon.avi.ffff
    21:24:22.0795 6848 CopyFile(H:\locked-The.Twilight.Saga.Breaking.Dawn.Part.1.2011.TRUEFRENCH.DVDRip.XviD.AC3-Condon.avi.ffff, H:\The.Twilight.Saga.Breaking.Dawn.Part.1.2011.TRUEFRENCH.DVDRip.XviD.AC3-Condon.avi) error 32
    21:24:22.0796 6848 Processing file: H:\locked-Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring.rar.mwww
    21:25:08.0929 6848 Processing file: H:\locked-sites de cracks.docx.zlzl
    21:25:09.0532 6848 Processing file: H:\Avast.Internet.Security.7.0.1426.0.MultiLangualge.New.Key\Avast Internet Security 7.0.1426.0 MultiLangualge\Licence File\locked-Licence.avastlic.ojno
    21:25:09.0563 6848 Processing file: H:\Avast.Internet.Security.7.0.1426.0.MultiLangualge.New.Key\Avast Internet Security 7.0.1426.0 MultiLangualge\locked-avast_internet_security_setup.exe.eeal
    21:25:48.0564 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\Avast_crack\Avast_crack\locked-AVAST XP ZeNiX.reg.ssss
    21:25:48.0876 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\Avast_crack\Avast_crack\locked-crack.exe.kmwp
    21:25:49.0513 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\Avast_crack\locked-AVAST XP ZeNiX.reg.tttd
    21:25:49.0833 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\Avast_crack\locked-crack.exe.mppk
    21:25:50.0443 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\locked-Avast_crack.rar.oqoq
    21:25:51.0113 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\locked-avast_pro_antivirus_setup.exe.zrlz
    21:26:34.0718 6848 Processing file: H:\Avast_Antivirus_Pro_v7.0.1426_by_ostaraspring\Avast_Antivirus_Pro_v7.0.1426\locked-How_to.txt.papa
    21:26:34.0889 6848 Processing file: H:\locked-100_3779.JPG.oqjq
    21:26:35.0529 6848 Processing file: H:\locked-100_3772.JPG.aale
    21:26:36.0371 6848 Processing file: H:\locked-100_3774.JPG.rgvu
    21:26:36.0917 6848 Processing file: H:\locked-divers liens.docx.wwww
    21:26:37.0058 6848 Processing file: H:\locked-Suivi téléchargement.xlsx.yyfy
    21:26:37.0354 6848 Processing file: H:\locked-100_3775.JPG.cyyy
    21:26:37.0619 6848 Processing file: H:\locked-100_3776.JPG.ihnb
    21:26:38.0165 6848 Processing file: H:\locked-les bodin's grandeur nature.avi.vvug
    21:33:03.0164 6848 Processing file: H:\locked-Maison Appietto - Petite maison avec jardin à 5mn à pied de la plage - 633399.mht.lzls
    21:33:04.0100 6848 Processing file: H:\locked-Amelie.Au.Pays.Des.Bodins.avi.ggrr
    21:38:59.0284 6848 Processing file: H:\locked-my summer of love.mht.nnib
    21:38:59.0643 6848 Processing file: H:\locked-imagine me and you 1fichier.mht.lpea
    21:39:00.0891 6848
    21:39:00.0891 6848 Statistic:
    21:39:00.0891 6848 Processed: 146871
    21:39:00.0891 6848 Suspicious: 0
    21:39:00.0891 6848 Found: 27
    21:39:00.0891 6848 Decrypted: 26
    21:39:00.0891 6848 ================================================================================
    21:39:00.0891 6848 Scan finished
    21:39:00.0891 6848 ================================================================================
    7 Juin 2012 20:30:03

    Bonsoir
    n'importe-quoi d'installer une version pro d'avast crackée...
    colle une gratuite et sois prudent, ça suffira plutôt que dl des cracks :o 

    Citation :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\



    On va vérifier que plusieurs programmes (par lesquels sont arrivés ton infection) sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\
    2 Juillet 2012 19:45:17

    Bonjour ! J'ai moi aussi chopé ce virus, et voilà la solution toute simple que j'ai utilisé:
    Tout d'abord éteindre et redemarrer le PC, appuyer sur F8 avant que le systeme ne se lance.
    Ensuite, selectionne "mode sans echec avec prise en charge réseau", puis télécharge ROGUE KILLER", lance le , les malwares "malicieux" seront evincés ! Redemarre et voilà, le tour est joué ! Lance ensuite (pour etre bien sur que tout est nickel) une aanlyse de "Malwaresbytes" et c'est fini ! Tchu
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS