Se connecter / S'enregistrer
Votre question

Virus gendarmerie - Délocker les locked

Tags :
  • Virus
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Juin 2012 10:35:11

Bonjour,

Apparment je suis loin d'être le seul au vu des autres sujets du même type, mais j'ai chopper le redouté virus de la gendarmerie >< j'ai nettoyé comme il fallait avec malwarebytes pour reprendre la main sur le pc, mais maintenant l'intégralité de mes fichier sont lock. Je viens donc à genou pour tenter de trouver de l'aide T_T (j'ai un rapport à rendre pour la semaine prochaine, et toutes mes données sont corrompues ><).

J'ai suivi la procédure données sur un autre sujet pour faire le scan OTL, voici les rapports :

http://pjjoint.malekal.com/files.php?id=20120607_s8h5x1...
http://pjjoint.malekal.com/files.php?id=20120607_m1213c...

Et voici un document locked avec l'original :
https://rapidshare.com/files/982283670/locked-FEALS-Tab...
https://rapidshare.com/files/2487105262/FEALS-Tables_mi...

Merci d'avance pour toute l'aide que vous pourrez m'apporter

Autres pages sur : virus gendarmerie delocker locked

a c 614 8 Sécurité
7 Juin 2012 11:38:19

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\

Pour le document sain et sa copie cryptée, conserve-les sur ton pc, l'outil en aura besoin, pas la peine de me les envoyer ;) 

1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

- Java(TM) 6 Update 17 (64-bit)
- Java(TM) 7 Update 2 (64-bit) (version obsolète)

- pdfforge Toolbar v5.8 (barre d'outil sponsorisée par un adware)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2012/05/25 15:12:54 | 000,785,344 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe -- (Application Updater)
    IE - HKU\S-1-5-21-2884535125-1333431124-1788541707-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll (Spigot, Inc.)
    [2010/10/19 16:54:51 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    [2011/02/04 00:40:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll (Spigot, Inc.)
    O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll (Spigot, Inc.)
    O4 - HKLM..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
    O4 - HKU\S-1-5-21-2884535125-1333431124-1788541707-1000..\Run: [] C:\Users\Emilien\AppData\Local\Temp\~!#1AB1.tmp ()
    MsConfig:64bit - StartUpReg: SearchSettings - hkey= - key= - C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
    [2012/06/06 09:22:05 | 000,000,000 | ---D | C] -- C:\Users\Emilien\AppData\Roaming\Zlsar
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/05/29 10:58:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Application Updater
    [2012/05/29 10:58:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Spigot
    [2012/05/29 10:58:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pdfforge Toolbar
    [2011/11/15 14:15:10 | 000,000,000 | ---D | M] -- C:\Users\Emilien\AppData\Roaming\4106F
    [2012/01/02 17:40:50 | 000,000,000 | ---D | M] -- C:\Users\Emilien\AppData\Roaming\D8F41
    @Alternate Data Stream - 191 bytes -> C:\ProgramData\Temp:50DD4118

    :Files
    C:\Program Files (x86)\Common Files\Spigot
    C:\Program Files (x86)\Application Updater

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    7 Juin 2012 14:10:19

    Re,

    Ok, on passe au décryptage :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    m
    0
    l
    7 Juin 2012 20:53:09

    Décryptage fait, c'était super long mais c'est bon ><

    Citation :
    19:27:05.0053 5452 Statistic:
    19:27:05.0053 5452 Processed: 584640
    19:27:05.0053 5452 Suspicious: 0
    19:27:05.0053 5452 Found: 175314
    19:27:05.0053 5452 Decrypted: 175313
    19:27:05.0053 5452 ================================================================================
    19:27:05.0053 5452 Scan finished
    19:27:05.0053 5452 ================================================================================


    Voila ^^ dès qu'il y a confirmation je relance le prog pour tout nettoyer, merci beaucoup pour l'aide en tout cas :p 
    m
    0
    l
    a c 614 8 Sécurité
    7 Juin 2012 22:28:28

    Re,

    Ben 175 000 fichiers à décrypter c'est normal ;) 

    Il semble qu'un fichier n'est pas été décrypté, regarde dans le rapport si tu trouves lequel, tu peux faire une recherche avec le mot clé "error"
    Ouvre le rapport puis : "edition" -> rechercher

    m
    0
    l
    7 Juin 2012 22:36:13

    l'erreur concerne D:\preload\base.wim (type error 112)

    je sais pas si c'est important ...
    m
    0
    l
    a c 614 8 Sécurité
    7 Juin 2012 23:05:06

    Re,

    ça peut l'être ...
    Il pèse combien ce fichier sur ton disque ? Je veux voir si c'est parce qu'il est trop petit pour être décrypté ...
    Ton disque dur D: n'est pas plein ?
    m
    0
    l
    7 Juin 2012 23:30:30

    Le disque n'est pas plein, mais je n'arrive pas à trouver le fichier. Il est peut-être en caché m'enfin après le locked ça aurait du sauter non ?
    m
    0
    l
    a c 614 8 Sécurité
    8 Juin 2012 10:50:52

    Re,

    Attention, c'était sur le disque D: hein, et il était déjà bien rempli avant :
    Citation :
    Drive D: | 23,55 Gb Total Space | 3,44 Gb Free Space | 14,61% Space Free | Partition Type: NTFS


    Normalement l'erreur 112 sur cet outil, c'est que le disque est plein, c'est pour cela que je demande ;) 
    m
    0
    l
    8 Juin 2012 11:11:50

    Hum...

    Le fichier en question est dans la partition de récupération système, je sais pas trop comment y avoir accès du coup ><

    Ca serait possible de lancer le nettoyage par Rannoh en exceptant ce fichier ?
    m
    0
    l
    a c 614 8 Sécurité
    8 Juin 2012 11:48:20

    Re,

    C'est quoi cette partition, là où tu fais tes sauvegardes ?
    Où c'est la partition recovery du constructeur ? (ce qui m'étonne car normalement elle sont "cachée" et sans lettre de lecteur)

    Par contre oui, si le reste des fichiers c'est ok (essaye quelques un différent pour voir s'ils sont bien opérationnels), tu peux lancer l'option de suppression des doubles crypté (voir procédure dans post précédent), peut-être que tu récupèreras un peu de place pour le relancer ensuite et finir le décryptage de ce fichier.
    m
    0
    l
    8 Juin 2012 12:04:03

    Oui, c'est bien la partition recovery auquelle est alouée le disque D, mais l'intérieur est caché.

    L'option de suppression fera que effacer les locked ou refera le décryptage total à nouveau ? vu que ça m'avait pris 6h hier je peux pas le relancer entièrement aujourd'hui ><

    en tout cas merci de ton aide ^^
    m
    0
    l
    a c 614 8 Sécurité
    8 Juin 2012 14:11:22

    Re,

    Ok, normal alors que tu n'y ais pas accès, mais étrange comme manière de la part de ce constructeur ... on verra après nettoyage.

    Alors l'option refais une passe oui, "normalement" cela va plus vite puisqu'il n'ya plus de décryptage, mais cela risque quand même de demander du temps, donc fais-le dans de bonnes conditions, si tu n'as pas le temps aujourd'hui, attends d'en avoir. ;) 
    m
    0
    l
    9 Juin 2012 13:52:28

    Bon j'ai relancé le scan en supprimant les locked, ça a tout nettoyé parfaitement, sauf le base.wim. Pour l'instant j'ai pas vu de bug particuliers.
    m
    0
    l
    a c 614 8 Sécurité
    9 Juin 2012 16:08:19

    Re,

    Tu peux me dire combien y'a d'espace libre sur le disque D: maintenant ?
    (clic-droit -> propriétés)
    m
    0
    l
    9 Juin 2012 17:51:38

    Il reste 3.43 Go de libre sur 23.5 de la partition
    m
    0
    l
    a c 614 8 Sécurité
    9 Juin 2012 22:04:52

    Re,

    Ok donc le souci reste le même il n'a pas la place pour décrypter ...
    Y'a quelque chose de visible et accessible directement sur cette partition D: que tu pourrais déplacer le temps du décryptage ?

    Sinon on fera apparaitre le fichier et on le déplacera si on y arrive, mais je sais pas ce que cela donnera s'il est lié à des fichiers de recovery...
    m
    0
    l
    11 Juin 2012 16:40:10

    Dsl du temps de réponse ><

    Le disque D ne contient que 3 fichier txt (quelques ko), un .FLG et le "dossier" Recovery.
    m
    0
    l
    a c 614 8 Sécurité
    11 Juin 2012 18:39:20

    Re,

    Pas de souci, c’est toi qui est en demande ;) 

    Bon je t'explique mon problème, je peux sans doute te permettre d'accéder au dossier recovery, mais j'ai peur qu'en faisant cela celui-ci ne soit plus fonctionnel.
    Cependant, le fichier "locked" étant lui-même un élément essentiel de ce recovery, c'est déjà peut être trop tard ...

    Donc on va essayer d'accéder à ce dossier et traiter ce fichier, mais avant je voudrais savoir si tu possèdes les cd/dvd recovery de ce pc afin d'avoir une issue de secours un jour prochain où tu en aurais l'utilité ?
    m
    0
    l
    11 Juin 2012 21:55:25

    heu... ils doivent être dans un coin, mais présentement je n'en ai aucune idée.

    Ca ne serait pas possible d'agrandir la partition ?
    m
    0
    l
    a c 614 8 Sécurité
    12 Juin 2012 09:47:44

    Re,

    C'est une solution, mais bon, on va tester comme cela pour voir.

    Affiche les fichiers et dossiers cachés :
    Clique sur Ordinateur -> Organiser -> Options des dossiers et de recherche/ puis dans l'onglet Affichage :
  • Coche Afficher les fichiers, dossiers et lecteurs cachés
  • Décoche Masquer les extensions des fichiers dont le type est connu
  • Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    Regarde si tu peux accéder au fameux dossier.
    Si tu obtiens une erreur de droit d'accès, viens me le dire, on les modifera.

    Si tu peux accéder au dossier, regarde combien pèse :
    D:\preload\base.wim (clic-droit -> propriétés)
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS