Se connecter / S'enregistrer
Votre question

FICHIERS LOCKED APRES INFECTIOn GENDARMERIE BLOCAGE DE VOTRE PC

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Juin 2012 01:09:09

Bonjour, comme nombre d'internautes je me suis fait infecté par le virus Gendarmerie version blocage. j'ai réussi à le supprimer via Rogue killer mais tous mes fichiers sont locked. j'ai lancé OTL et voici les liens vers mes 2 rapports !

Al'aide !!!

Merci bcp par avance !!
http://pjjoint.malekal.com/files.php?id=20120607_p10x61...
http://pjjoint.malekal.com/files.php?id=20120607_o5g11x...

Merci bcp d'avance !!!

Autres pages sur : fichiers locked infection gendarmerie blocage

a c 614 8 Sécurité
7 Juin 2012 11:27:01

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

- Java(TM) 6 Update 13 (64-bit) (version obsolète)

- CrazyLoader (logiciel sponsorisé par des adwares)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=fac8f28500000000000000225f970e46
    CHR - plugin: OfferBox (Enabled) = C:\Users\Matthieu SAUTEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2524.23_0\offerbox_air_chrome.dll
    CHR - Extension: OfferBox = C:\Users\Matthieu SAUTEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2524.23_0\
    O3 - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O33 - MountPoints2\{49a5468a-9871-11de-9152-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{b519be30-80e3-11de-9037-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{b519be34-80e3-11de-9037-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{bc72f524-3fbc-11df-b0ff-002219f4f8af}\Shell\AutoRun\command - "" = ph.exe
    O33 - MountPoints2\{bc72f524-3fbc-11df-b0ff-002219f4f8af}\Shell\open\Command - "" = ph.exe
    [1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [1 C:\*.tmp files -> C:\*.tmp -> ]
    [2012/06/06 23:28:17 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\Babylon
    [2010/07/09 23:52:27 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\CrazyLoader
    [2012/06/06 23:28:25 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\OfferBox
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:77248999

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Pour la suite, il faudra récupérer une copie saine et non modifiée d'un des fichiers crypté (issu d'un autre pc, d'une sauvegarde, d'une clé usn, d'un téléchargement, etc ...)
    L'outil pourrait en avoir besoin.

    :jap: 
    7 Juin 2012 23:53:49

    Bonjour Hyunkel !



    Merci de m'aider !! J'ai effectué la manip avec OTL et supprimé les 2 programmes demndé. VOici le rapport en .txt. J'attends ton aide pour la suite ! Merci !!

    http://pjjoint.malekal.com/files.php?id=20120607_h9j14r...






    hyunkel30 a dit :
    Bonjour,

    On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

    /!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 13 (64-bit) (version obsolète)

    - CrazyLoader (logiciel sponsorisé par des adwares)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=fac8f28500000000000000225f970e46
    CHR - plugin: OfferBox (Enabled) = C:\Users\Matthieu SAUTEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2524.23_0\offerbox_air_chrome.dll
    CHR - Extension: OfferBox = C:\Users\Matthieu SAUTEL\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2524.23_0\
    O3 - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-591652300-1740531848-398802195-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O33 - MountPoints2\{49a5468a-9871-11de-9152-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{b519be30-80e3-11de-9037-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{b519be34-80e3-11de-9037-002219f4f8af}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{bc72f524-3fbc-11df-b0ff-002219f4f8af}\Shell\AutoRun\command - "" = ph.exe
    O33 - MountPoints2\{bc72f524-3fbc-11df-b0ff-002219f4f8af}\Shell\open\Command - "" = ph.exe
    [1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [1 C:\*.tmp files -> C:\*.tmp -> ]
    [2012/06/06 23:28:17 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\Babylon
    [2010/07/09 23:52:27 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\CrazyLoader
    [2012/06/06 23:28:25 | 000,000,000 | ---D | M] -- C:\Users\Matthieu SAUTEL\AppData\Roaming\OfferBox
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:77248999

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Pour la suite, il faudra récupérer une copie saine et non modifiée d'un des fichiers crypté (issu d'un autre pc, d'une sauvegarde, d'une clé usn, d'un téléchargement, etc ...)
    L'outil pourrait en avoir besoin.

    :jap: 


    Contenus similaires
    a c 614 8 Sécurité
    8 Juin 2012 10:57:23

    Re,

    Ok, on passe au décryptage.
    Tu as pu trouver une copie saine d'un des fichiers crypté ?



    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    13 Juin 2012 01:31:24

    C'est nickel !!!
    Incident résolu. merci bcp ce truc est une vraie merde...
    Je vous suis grandement reconnaissant !
    cordialement,
    a c 614 8 Sécurité
    13 Juin 2012 11:54:31

    Re,

    Attends, nous n'en avons pas terminé, sinon on risque de se revoir très vite ;) 

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement RannohDecryptor.exe


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie ensuite que les anciennes versions sont supprimée dans ta liste des programmes, sinon fais-le : Java(TM) 6 Update 30

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS