Se connecter / S'enregistrer
Votre question

RESOLU fichier locker virus gendarmerie

Tags :
  • Virus
  • photo
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Juin 2012 22:06:52

bonjour à tous ,malheureusement comme beaucoup d'entre nous je suis victime du virus de la gendarmerie.
toutes les photos des enfants sont locker et j'ai vraiment besoin de votre aide.
Merci d'avance

cordialement

ps:je suis sous vista

Autres pages sur : resolu fichier locker virus gendarmerie

5 Juin 2012 22:36:17

Bonsoir
pas de panique, ne supprime rien :) 
on va commencer par voir si l'infection est toujours active avant de déverrouiller tes fichiers.


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.

    Contenus similaires
    5 Juin 2012 22:45:00

    Bonsoir merci pout votre réponse super rapide ,j'ai mis les rapport juste le post d'avant ,mais je suis en train de le refaire

    et merci encore
    5 Juin 2012 22:50:01

    re
    on a posté en même temps...


  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL

    O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
    @Alternate Data Stream - 166 bytes -> C:\ProgramData\TEMP:ECF54A0E
    @Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:661DFA1C


    :files
    C:\Users\soso\AppData\Roaming\Zzxf

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.


    +++++++++++++++++++
    6 Juin 2012 10:33:10

    Bonjour :) 


    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options


  • ++++
    6 Juin 2012 22:02:46

    bonsoir ,
    je viens de faire le scan mais impossible d'envoyer mon rapport avec pjjoint il me dit" Vous n'avez pas choisi de fichier !" ,par contre il ne m'a pas demandé un bon fichier pour faire la comparaison et je n'ai que quelques photos sur usb ,est ce qu'il fallait que je les mettes avant de faire le scan?

    merci
    7 Juin 2012 20:34:08

    bonjour
    attends, je ne comprends pas ce que tu dis:
    Citation :
    en ce moment je les ai en double les fichier locker et les bon mais toujours impossible à ouvrir

    tu veux dire que tu ne peux pas ouvrir les fichiers qui sont déverrouillés?

    quoi qu'il en soit:
    Citation :
    21:32:04.0090 5784 Found: 24323
    21:32:04.0090 5784 Decrypted: 24298

    il faudra refaire une passe car tout n'est pas décrypté.
    7 Juin 2012 21:18:01

    Bonsoir Sham_rock

    oui en effet les fichiers qui sont apparus à coté des fichiers locker ,ils ont l'air bon mais quand je clic dessus ça ne marche pas :( 

    j'ai aussi relancé rannohdecrytor en rajoutant une photo saine à coté de son double locker ,et l'analyse est en cour mais j'ai encore un décalage entre les fichiers trouvés et ceux décriptés

    je post le rapport des que possible

    en tous les cas merci de ton aide
    7 Juin 2012 21:49:52

    voilà le rapport j'ai toujours ce décalage entre les fichiers trouvés et décriptés

    <a href="http://www.casimages.com/f.php?f=12060709531436146.txt" target="_blank">Lien vers mon fichier</a>

    et pour mes fichiers rien ne s'ouvre et la photo saine que j'avais mise ne s'ouvre plus ,seulement une quinzaine de titre mp3 remarche

    voilà :( 
    7 Juin 2012 23:10:52

    re ,
    une petite question est ce que quand on relance rannohdecryptor il faut effacer les fichier décripter qui ne marche pas ?
    8 Juin 2012 21:07:40

    Bonsoir
    pour l'instant, tu n'effaces rien, tu gardes les fichiers cryptés car j'aimerai comprendre pourquoi les fichiers décryptés ne marchent pas...

    les images de tes enfants par exemple, tu ne peux plus les visualiser?
    8 Juin 2012 22:08:00

    bonsoir Sham_Rock ,

    et oui impossible de les visualisé :(  pour les photos et aussi doc(CV et lettre de motivation) impossible de les ouvrir,seulement les mp3 qui remarchent.

    ps:J'ai ma femme qui me met la pression :D 
    9 Juin 2012 14:56:32

    Bonjour
    bizarre, c'est la première fois que je vois cela...
    tu peux essayer de copier un fichier que tu as dévérouillé sur une clé usb et essayer de l'ouvrir sur un pc sain.
    Il faut que je comprenne si c'est le dévérouillage qui a bloqué ou si c'est le pc qui a un souci. ( peut-être un souci de réassociation de fichier, à voir...)
    9 Juin 2012 18:25:18

    bonjour Sham_rock

    "bizarre, c'est la première fois que je vois cela..." :D  moi ça m'etonne qu'à moitié tellement j'ai jamais de chance :D 

    Bon je viens de tester une photo et devinez quoi ,elle ne marche pas :( 

    9 Juin 2012 21:06:06

    Bonsoir :) 
    sur les dizaines de problèmes que l'on traite , c'est arrivé une fois à chantal11 et une fois à Hyunkel....
    donc ce n'est pas si dramatique.

    en gros:
    tes fichiers "locked" sont les sains, donc surtout, tu n'y touches pas. Quoi qu'il advienne, on se servira d'eux pour récupérer tes fichiers légitimes.

    il va falloir supprimer tous les autres et relancer RannohDecryptor. je sais que cela va te prendre du temps, mais c’est la seule solution....
    9 Juin 2012 21:51:36

    Bonsoir Sham_rock ;) 

    Ok j'efface tous les fichiers et je relance rannohdecryptor avec les même options que la première fois

    De toute façon je suis prêt à faire n'importe quoi pour les photos de ma femme et même jusqu'à perdre une ......... :D 

    En tout cas merci ;) 
    10 Juin 2012 14:17:37

    Bonjour
    alors, pour que l'outil marche bien, il faut de l'espace libre sur le disque dur, ton problème de dysfonctionnement est donc lié à cela:
    Citation :
    Drive C: | 286,09 Gb Total Space | 42,94 Gb Free Space | 15,01% Space Free


    si tu peux, fais de la place sur ton disque dur avant de relancer RannohDecryptor.

    surtout, j'insiste bien: tu ne supprimes pas les fichiers locked car c'est eux qui sont sains.

    avec de la patience et du temps, tu vas sauver tes données et tes "..." :D 

    10 Juin 2012 14:57:42

    :D 

    Bonjour sham_rock ,ton message me rassure ,c'est cool surtout pour enfin vous savez quoi :) 

    bon je viens de faire de la place j'y suis depuis ce matin donc là je me retrouve avec 160go de libre ,j'ai bien entendu pas touché les fichiers locker

    bon je lance rannohdecrytor et poste le rapport dès qu'il finit. ;) 
    10 Juin 2012 15:13:22

    Re,

    bon je sais pas si j'ai une boulette mais j'ai effacé des fichiers locker qui me servaient à rien ,et quand je lance Rannohdecrytor ça me dit
    "original copy of at least one encrypted files larger than 4096 bytes is required for successfull decrytion.you need to specify path to this file and to encrypted copy after pressing the button continue."

    je suis en panique mais je crois comprendre finallement qu'il me demande le chemin d'un fichier sain(enfin j'éspère!!),je crois qu'il faut que j'arrète le café :) 
    10 Juin 2012 17:17:30

    Re,

    Gros Hooah pour toi ,tu as sauvé les photos et mes ......:D 
    il manque 12 fichiers ,il y a en 11 qui appartiennent à mozilla,est ce que desinstallé réinstallé peut résoudre le problème?
    le 12eme je ne l'ai pas trouvé

    Je ne touche plus à rien j'attends tes conseils,je vais vite sauvegarder mes photos et non mes .......:D 

    je te l'ai déjà dis mais merci beaucoup de ton aide et de ta patience ;) 

    le rapport
    <a href="http://www.casimages.com/f.php?f=120610052456676435.txt" target="_blank">Lien vers mon fichier</a>
    11 Juin 2012 21:33:45

    Bonsoir
    c'est super! essaye de désinstaller/réinstaller Firefox effectivement.
    tu peux maintenant supprimer les fichier locked avec RannohDecryptor

    Citation :
    tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options


    deux choses très importantes maintenant:
    changer tes mots de passe:
    Citation :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    mettre à jour les logiciels qui ont laissé passer l'infection:



    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\


    11 Juin 2012 22:01:35

    Salut Sham_Rock et vraiment merci :D 

    une question avant que je finalise tout quand je lance Rannohdecryptor pour les fichier locked je choisis les meme options que la première fois + l'option delete
    et je lance le scan ,ça risque rien pour les photos (oui je sais je suis traumatisé des photos ,mais j'suis pas passé loin de la 3eme guerre mondial avec ma femme :D  )

    Pour l'antivirus je vais prendre avast ,j'ai lu que tu disais que c'était le meilleur des gratuits c'est toujours d'actualité ?


    je post le rapport des que possible ;) 

    Bonne soirée

    11 Juin 2012 22:06:42

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 2
    UserName : soso
    11/06/2012
    22:07:18
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.2.202.235
    Flash Player ActiveX n'est pas à jour!

    Name : FlashPlayer Plugin
    Version : 11.2.202.235
    Flash Player Plugin n'est pas à jour!

    Nom : Mozilla Firefox 12.0 (x86 fr)
    Version : 12.0

    Nom : Mozilla Maintenance Service
    Version : 12.0

    Java Information :
    Nom : Java(TM) 6 Update 20
    Version : 6.0.200
    Java(TM) 6 Update 20 n'est pas à jour!

    Name : Adobe Reader 8.1.3 - Français
    Version : 8.1.3
    Adobe Reader n'est pas à jour!
    Nom : Internet Explorer
    Version : 8.0.6001.19222

    ça à l'air pas bon tout ça :D 
    11 Juin 2012 22:08:51

    Bonsoir
    oui, avast est bien
    Citation :
    quand je lance Rannohdecryptor pour les fichier locked je choisis les meme options que la première fois + l'option delete
    et je lance le scan ,ça risque rien pour les photos

    ne me dis pas que tu n'as pas fait de sauvegarde cette fois !
    tu files t'acheter une clé usb grosse capacité et tu sauvegardes tes photos.
    franchement, j'ai déjà rencontré qui perdaient tous eurs souvenirs comme cela: disque dur cassé et il n'y a rien à faire.

    perso, j'ai des sauvegardes chez moi mais aussi à l’extérieur de chez moi.

    sinon, oui, c'est ce qu'il faut faire avec Rannohdecryptor . :) 



    Rien n'est à jour...
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    relance SX Check&Update
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Tutoriel: SX Check&Update


    11 Juin 2012 22:21:47

    Re ,
    Ok pour avast
    et pour mes photos je suis entrain de le faire ,mais 80go de photos c'est long :D 
    je les sauvegarde sur carte SD et je vais prendre un disque dur externe en plus je vais suivre tes conseils

    une dernière chose est ce que le scan de rannoh peut attendre ou les fichiers locker sont dangereux (juste quelques jours histoire de finir la sauvegarde),
    et pour les mise à jour je pense qu'il n'y a pas de souci :) 
    11 Juin 2012 22:37:35

    fais tes mises à jour :o 
    c'est le plus important car sinon, tu vas te réinfecter et faudra tout recommencer :D 
    un dd externe, tu en trouves un correct à moins de 70 euros...
    12 Juin 2012 20:45:13

    Bonsoir Sham_rock

    bon je suis toujours en train de sauvegarder les photos ,j'ai pas beaucoup de temps en ce moment :D 

    sinon voici le dernier rapport avec un souci , je n'arrive pas a mettre FlashPlayer Plugin à jour après 3 tentatives :( 
    et l'ordi est ce soir super lent (pour 100 photos 30 minutes) si tu as une idée ??

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 2
    UserName : soso
    12/06/2012
    20:42:01
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer Plugin
    Version : 11.3.300.257
    Flash Player Plugin n'est pas à jour!

    Nom : Mozilla Firefox 12.0 (x86 fr)
    Version : 12.0

    Nom : Mozilla Maintenance Service
    Version : 12.0

    Java Information :
    Nom : Java(TM) 6 Update 32
    Version : 6.0.320
    Java(TM) 6 Update 32 est à jour

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 8.0.6001.19222


    Bonne soirée ;) 
    12 Juin 2012 22:31:52

    re ,
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 2
    UserName : soso
    12/06/2012
    22:29:36
    version = v0.2.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer Plugin
    Version : 11.3.300.257
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 12.0 (x86 fr)
    Version : 12.0

    Nom : Mozilla Maintenance Service
    Version : 12.0

    Java Information :
    Nom : Java(TM) 6 Update 32
    Version : 6.0.320
    Java(TM) 6 Update 32 est à jour

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 8.0.6001.19222


    Là je crois que c'est bon ,je finis les sauvegardes des photos d'ici quelques jours et finirai par relancer rannohdecryptor + l'option delete

    Un grand merci à toi pour ton aide et ta patience ;) 
    13 Juin 2012 13:34:38

    Bonjour
    ok, tu supprimeras quand tu auras fait toutes tes sauvegardes.
    pour moi c'est ok,



    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 

    ++++++++
    13 Juin 2012 19:49:06

    bonjour Sham_Rock

    mes sauvegardes sont en cours,j'ai commander un petit disque dur externe :D 

    je te le redis encore mais un très grand merci ;)  et bonne continuation :) 
    13 Juin 2012 21:59:43

    de rien
    bon surf !
    :hello: 
    24 Juin 2012 10:21:03

    Bonjour pourrais tu m'aider à moi aussi car j'ai rencontré le même problème?!

    24 Juin 2012 12:12:38



    Vous avez besoin d'aide?

    Créez vos sujets, on ne répondra pas sur celui-ci.
    C'est très simple, il suffit de cliquer sur ce bouton:
    Une équipe de Helpers bénévoles vous prendra en charge rapidement.
    http://www.infos-du-net.com/forum/id-2108643/creer-nouv...


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS