Se connecter / S'enregistrer
Votre question

Fichiers locked suite au virus de la gendarmerie HELP!

Tags :
  • Virus
  • Malware
  • analyse
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juin 2012 20:13:49

Bonsoir, voilà que j'ouvre un nouveau sujet. J'ai chopé le virus de la gendarmerie et après avoir utilisé Roguekiller Ransomfix et Malware mon ordi a redémarré normalement mais tous mes fichiers sont locked j'ai installé OTL mais je n'ai pas encore lancé l'analyse merci de m'aider hyunkel30 si vous voulez je vous joint mon rapport RK

Autres pages sur : fichiers locked suite virus gendarmerie help

a c 614 8 Sécurité
7 Juin 2012 11:19:00

Bonjour,

Allons-y.

Pas besoin du rapport Roguekiller.

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    7 Juin 2012 12:55:59

    Bonjour merci de votre réponse bon hier soir j'ai utilisé Rannohdecryptor qui m'a décrypté environ 90% de mes données conséquence j'ai eu 2 fichier un locked et un fichier correspondant décrypté j'ai commencé manuellement à supprimer les fichiers locked mais je sent que mon ordi est plus lourd je vous joint les rapport OTL et extra
    http://pjjoint.malekal.com/files.php?id=20120607_h6j6r1...

    http://pjjoint.malekal.com/files.php?id=20120607_i6u15s...

    Merci d'avoir accepté de m'aider j'ai fais une nuit blanche hier tellement j'avais peur de perdre mes données
    Contenus similaires
    a c 614 8 Sécurité
    7 Juin 2012 14:07:53

    Re,

    On va nettoyer des trucs sur le pc, puis on verra pour les fichiers décrypté.

    /!\ Tu as plusieurs antivirus actif sur ce pc, McAfee et Avast! : multiplier les protection ne sert à rien (la preuve ...) mais peut engendrer ralentissements et conflits/!\

    Supprime l'un des deux antivirus

    Désinstalle aussi ce sponsors publicitaire dans ta liste des programmes :
    - Babylon toolbar on IE


    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 10.0.0.1:8080
    IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 10.0.0.1:8080
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1000\..\SearchScopes\{B0390E3C-36A8-4C63-933D-18B1B5CDA730}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home?affID=110642
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110642&babsrc=SP_def&mntrId=d654dbeb00000000000088ae1dfa98cb
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1001\..\SearchScopes\{BD79EAE1-0CEA-4F42-BCF9-A0C0EAAA067B}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    IE - HKU\S-1-5-21-2669010789-1267314367-360443934-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 10.0.0.1:8080
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O4 - HKU\S-1-5-21-2669010789-1267314367-360443934-1000..\RunOnce: [SysOff] C:\Windows\SysWOW64\SYSPREP\ClosespV.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
    [2012/06/06 19:26:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar
    [2012/06/06 19:26:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    [2012/06/06 19:26:01 | 000,000,000 | ---D | C] -- C:\Users\USER\AppData\Roaming\Babylon
    [2012/06/06 15:17:31 | 000,000,000 | ---D | C] -- C:\Users\USER\AppData\Roaming\Rzrwy
    [2 C:\Users\USER\Documents\*.tmp files -> C:\Users\USER\Documents\*.tmp -> ]
    [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 614 8 Sécurité
    7 Juin 2012 15:00:35

    Re,

    Est-ce que tu as bien supprimer soit Avast! soit Mcafee ?

    Si oui, la suite :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste les dernières lignes dans ta prochaine réponse.


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    7 Juin 2012 15:38:32

    Oui j'ai bien supprimé Mc Afee.
    Comme je vous l'ai dit qu'hier soir j'ai utilisé Rannohdecryptor ci joint les dernières lignes du rapport que j'ai trouvé sur C:

    23:01:25.0885 6276 ProcessDriveEnumEx: Drive D:\ type 5:0
    23:01:25.0885 6276 ProcessDriveEnumEx: Drive Q:\ type 3:0
    23:01:25.0885 6276 ProcessDriveEnumEx: Volume is not accessible (error 5)
    23:01:25.0886 6276
    23:01:25.0886 6276 Statistic:
    23:01:25.0886 6276 Processed: 144132
    23:01:25.0886 6276 Suspicious: 0
    23:01:25.0886 6276 Found: 16097
    23:01:25.0886 6276 Decrypted: 16097
    23:01:25.0886 6276 ================================================================================
    23:01:25.0886 6276 Scan finished
    23:01:25.0886 6276 ================================================================================
    23:18:52.0358 1588 Deinitialize success


    donc là il me reste de supprimer les fichiers locked?
    7 Juin 2012 18:31:19

    Merci infinilent hyunkel30 de m'avoir aidée voici les dernières lignes du rapport je pense que là tout est bon:
    18:22:26.0455 5140 ProcessDriveEnumEx: Drive Q:\ type 3:0
    18:22:26.0455 5140 ProcessDriveEnumEx: Volume is not accessible (error 5)
    18:22:26.0455 5140
    18:22:26.0455 5140 Statistic:
    18:22:26.0455 5140 Processed: 138485
    18:22:26.0455 5140 Suspicious: 0
    18:22:26.0455 5140 Found: 8498
    18:22:26.0455 5140 Decrypted: 8498
    18:22:26.0455 5140 ================================================================================
    18:22:26.0455 5140 Scan finished
    18:22:26.0455 5140 ================================================================================
    18:23:12.0585 6136 Deinitialize success
    a c 614 8 Sécurité
    7 Juin 2012 20:17:57

    Re,

    Ok d'après les rapports tout est décrypté.

    Vérifie si ce n'est pas fait quelques fichiers décrypté voir s'ils s'ouvrent sans souci, etc ...
    Ensuite, si ce n'est pas fait non plus, relance l'outil avec l'option de suppression des fichiers en double crypté (voir procédure précédente)

    Viens me confirmer cela, puis on passera au nettoyage des outils et très important, les mises à jour pour éviter une nouvelle infection.

    :jap: 
    7 Juin 2012 20:25:16

    Rebonsoir, c'est bon il n'ya plus de fichiers locked et j'arrive à ouvrir mes fichiers c'est parfait entre temps j'ai essayé de mettre à jour mon avast mais ça n'a pas marché!
    a c 614 8 Sécurité
    7 Juin 2012 22:25:42

    Re,

    Mettre à jour sa base de définition ou le programme lui même ?
    C'est quoi l'erreur qu'il renvoi ?

    En attendant on va commencer le nettoyage :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux supprimer manuellement RannohDecryptor.exe


    2) Mise à jour du système et des logiciels :

    Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> tous les programmes -> Windows Update

    Met à jour les programmes suivants :
    - Java vers la version 7 update 4 (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) 6 Update 17 )


    :jap: 
    8 Juin 2012 09:54:15

    bonjour

    la solution s'applique à tous ?
    a c 614 8 Sécurité
    8 Juin 2012 10:56:23

    Bonjour alain,

    oui et non, une partie le peut, mais pas la suppression initiale de l'infection, donc merci d'ouvrir ton propre sujet, tu seras pris en charge par un helper rapidement.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS