Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] comment recupérer mes fichier locked

Tags :
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juin 2012 12:50:28

bonjour suis a un virus gendarmerie je pense mais je n'ai aucun message qui c affichier
tou mes fichiers son passé en locked , j'ai désinfecté mon pc mais impossible de décrypter
mes fichier avec rannohdecryptor.
quelqu'un peu m'aider? merci

Autres pages sur : resolu recuperer fichier locked

a b 8 Sécurité
6 Juin 2012 13:38:31

Bonjour,

Tu as effectué quoi comme scan pour la désinfection ?
6 Juin 2012 17:10:53

g scanné mon pc avec Malwarebytes Anti-Malware et j'ai supprimer les fichier dangereux qui etait sur le rapport
Contenus similaires
a b 8 Sécurité
6 Juin 2012 18:57:48

Merci d'éviter le langage sms. On peut avoir ce rapport ?
6 Juin 2012 19:22:00

voila le rapport

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.03.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
dj-saxbe aka brianza :: DJ-SAXBE [administrateur]

Protection: Activé

05/06/2012 23:09:53
mbam-log-2012-06-05 (23-09-53).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288801
Temps écoulé: 1 heure(s), 52 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\System Volume Information\_restore{76428814-A470-44CC-B33B-D2DD101DEAAB}\RP1\A0000114.dll (Adware.Gibmedia) -> Mis en quarantaine et supprimé avec succès.

(fin)
a b 8 Sécurité
6 Juin 2012 21:35:56

Il n'a pas trouvé grand chose, on continue la recherche avant de décrypter.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    6 Juin 2012 23:29:20

    ok c'est en cours d'analyse
    a b 8 Sécurité
    7 Juin 2012 13:29:53

    Re,

    Désinstalle si possible :
    SweetIM Toolbar for Internet Explorer 3.8
    SweetIM for Messenger 3.0

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&tt=010412_crm&babsrc=SP_crm
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
      O3 - HKU\S-1-5-21-838495512-120959280-3190152394-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
      O3 - HKU\S-1-5-21-838495512-120959280-3190152394-1005\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
      O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-838495512-120959280-3190152394-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

      :reg
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
      {7A27764B-5434-4DAA-BD43-3ACF4FFCD7FE} =-
      {2D7C3E18-E696-4B67-8B5D-45CD3BE6B27E} =-

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    7 Juin 2012 17:31:48

    ok je fais tous ca et je te poste les rapports. merci
    a b 8 Sécurité
    7 Juin 2012 22:01:53

    Recommence pour OTL alors.
    7 Juin 2012 22:03:45

    je recommence une analyse normal ou la correction?
    a b 8 Sécurité
    7 Juin 2012 22:07:23

    La correction :) 
    8 Juin 2012 08:29:18

    re j'ai recommencer mais mon pc ne veux pas redémarré alors je le redemarre moi meme
    et otl crée bien un fichier avec la date de l'operation (dans c:o LT ) .mais quand j'ouvre le fichier il n'y a pas de rapport dedans le dossier est vide.
    a b 8 Sécurité
    8 Juin 2012 16:13:10

    Refais l'analyse OTL alors, on va voir s'il a bien fait la correction.
    8 Juin 2012 17:10:19

    ok je refais l'analyse
    a b 8 Sécurité
    9 Juin 2012 16:16:21

    On va faire autrement. Tu as une copie saine d'un fichier locked ?
    9 Juin 2012 18:25:38

    oui sur une clé usb
    a b 8 Sécurité
    10 Juin 2012 13:34:20

    Ok c'est parti alors.
    Fais un scan avec combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    a b 8 Sécurité
    11 Juin 2012 00:38:58

    J'aimerais bien Combofix, faudrait pas que l'infection revienne.
    12 Juin 2012 12:58:29

    re j'ai deja essayé deux fois combofix mais bon mon ordi plante.je vais rééssayer cette aprem apres le boulot.
    a b 8 Sécurité
    12 Juin 2012 13:01:35

    Ok tiens moi au courant.
    12 Juin 2012 14:58:15

    Bonjour !

    Même souci que les autres : infection gendarmerie, fichiers locked...

    J'ai suivi toutes les étapes précédant l'utilisation du rannoh decryptor.
    (nettoyage ac Kaspersky + mbam + drweb + OTL)

    Je suis sur que le PC est clean.
    Or au moment d'utiliser le programme de décryptage, Je fais la manip nikel (avec fichier intact et crypté)
    mais le logiciel me sort un message d'erreur :
    " Cannot find decrption key, may be unknown trojan program motification"

    J'ai fait des recherches sur le net et personne ne parle de ce message.
    Je suis également aller voir le rapport Kaspersky ac lequel je l'ai initialement désinfecté.
    Kaspersky me donne deux noms de virus :
    - Jorik Totem
    - ZAccess

    Or poursuivant mes recherches, je m'aperçois que pour ces virus là, il n'est jamais question de décryptage de fichiers...

    Si quelqu'un pouvait m'aider ce serait cool

    Merci d'avance en tout cas !
    a b 8 Sécurité
    12 Juin 2012 15:19:18

    @Eki Solorzano : merci de créer ton propre sujet :) 
    12 Juin 2012 22:17:17

    re pas moyen de faire l'analyse au bout de deux heures le pc ce bloque et rien
    je suis obligé de le redémarrer.une solution ou on laisse tomber?
    a b 8 Sécurité
    12 Juin 2012 22:35:10

    Essaye juste de faire la correction avec OTL en mode sans échec
    13 Juin 2012 19:31:48

    impossible de redémarré en mode sans echec du coup j'ai refait la correction en mode normal
    le pc n'a pas redémarré donc je l'ai fait manuellement et la j'ai eu ce message au démarrage

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
    a b 8 Sécurité
    13 Juin 2012 21:21:59

    Comment ça manuellement ?
    13 Juin 2012 21:28:06

    j'ai du l'éteindre avec le bouton est le redémarré, l'écran était fix avec plus rien dessus a par l'image de mon fond d'écran
    a b 8 Sécurité
    13 Juin 2012 21:38:46

    C'est bizarre :/  dernier essai, fais ceci avant de lancer les correction :

    • Télécharge RKill (de Grinler) et enregistre-le sur ton Bureau.
      /!\ Important -> Quitte tous les programmes en cours /!\
    • Double-clique sur le fichier RKill.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Une fenêtre de l'Invite de commandes s'ouvre brièvement, puis se referme.
    • Copie-colle le contenu du rapport rkill.log dans ta prochaine réponse.

  • NB : Ne pas redémarrer le système après l'utilisation de RKill, passer immédiatement à l'outil suivant.
    13 Juin 2012 22:17:12

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 13/06/2012 at 22:03:25.
    Operating System: Microsoft Windows XP


    Processes terminated by Rkill or while it was running:

    C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE


    Rkill completed on 13/06/2012 at 22:03:39.
    a b 8 Sécurité
    13 Juin 2012 22:19:34

    Et tu enchaine avec la correcyion :) 
    13 Juin 2012 22:21:25

    avec la correction du dessus je fais copier collé
    a b 8 Sécurité
    13 Juin 2012 22:22:49

    Oui.
    a b 8 Sécurité
    14 Juin 2012 12:37:56

    Il a fonctionné c'est le plus important. On sécurise maintenant :) 

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


  • On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection.
    15 Juin 2012 12:43:08

    lol .j'ai fais toute les mises a jour autre chose a faire?
    a b 8 Sécurité
    16 Juin 2012 13:44:25

    Lis bien le dossier alors :D 
    Tu as d'autres questions ?
    16 Juin 2012 14:08:56

    merci de ton aide
    a b 8 Sécurité
    17 Juin 2012 17:23:19

    Bonne continuation alors, je ferme le sujet :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS