Votre question

Virus police nationale fichiers -locked et inutilisables!!! Help

Tags :
  • Virus
  • Kaspersky
  • analyse
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Juin 2012 16:32:26

Bonjour,

J'ai été infecté par un virus "police nationale" etc..., je fais une analyse avec Kaspersky qui apparemment m'a nettoyer le virus, mais les fichiers sont toujours inutilisable. J'ai de nombreux devis à taper, et d'infos à récupérer je suis sacrément embêtée.
Merci de m'aider

Autres pages sur : virus police nationale fichiers locked inutilisables help

a b 8 Sécurité
8 Juin 2012 16:36:25

Bonjour,

On va s'en charger, merci de rester jusqu'au bout le procédure si tu ne veux pas revenir le lendemain.
Par respect pour les helpeurs et surtout pour préserver ton pc des procédures mal gérées, ne poste pas ton problème sur plusieurs forums.
Merci :) 

On va voir s'il y a des restes de l'infections déjà :

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Contenus similaires
    a b 8 Sécurité
    11 Juin 2012 15:04:19

    Re,

    On attaque en supprimant les restes alors.

    Désinstalle si possible :
    Conduit Engine
    SFT_France Toolbar

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
      IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
      IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031774
      IE - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
      IE - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031774
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
      FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
      FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
      O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll (Conduit Ltd.)
      O2 - BHO: (SFT_France Toolbar) - {4d51f677-2a0b-43e2-b444-a2b384d24b91} - C:\Program Files (x86)\SFT_France\prxtbSFT_.dll (Conduit Ltd.)
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll (Conduit Ltd.)
      O3 - HKLM\..\Toolbar: (SFT_France Toolbar) - {4d51f677-2a0b-43e2-b444-a2b384d24b91} - C:\Program Files (x86)\SFT_France\prxtbSFT_.dll (Conduit Ltd.)
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll (Conduit Ltd.)
      O3 - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001\..\Toolbar\WebBrowser: (SFT_France Toolbar) - {4D51F677-2A0B-43E2-B444-A2B384D24B91} - C:\Program Files (x86)\SFT_France\prxtbSFT_.dll (Conduit Ltd.)
      O4 - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001..\Run: [Global Registration] "C:\Program Files (x86)\Packard Bell\Registration\GREG.exe" BOOT File not found
      O4 - HKU\S-1-5-21-1294178478-4072143899-3695314288-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
      O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O8:[b]64bit:[/b] - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 File not found
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 File not found
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      [2012/06/11 13:51:39 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{9709331E-C240-4D7F-AC89-2B645C3154F2}
      [2012/06/11 13:51:27 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{D379BC90-F04F-4034-8BD3-DC48237E5245}
      [2012/06/08 15:07:00 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{03C917C9-2626-4A24-B5DA-69C65A16F34E}
      [2012/06/08 15:06:48 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{E58AFCEE-023B-4998-8BE1-8592CB8AF115}
      [2012/06/08 12:10:53 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{E157F17F-AB5A-40E6-AA09-105EC3D122C5}
      [2012/06/08 12:10:40 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{2264FC75-7B27-48F4-94C3-15373B61300D}
      [2012/06/08 09:09:00 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{E0D898DF-1F0B-4D99-82B6-214E2EC8FFE7}
      [2012/06/08 09:08:49 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{DCC72D09-AB65-42E4-A27D-2C87B493CFF0}
      [2012/06/07 19:45:56 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{CF01A7B3-9441-44BD-BFF7-99E37F3CEE99}
      [2012/06/07 19:45:45 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{E04714E9-942C-4DD2-899E-3127953F45F8}
      [2012/06/07 19:13:00 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{1319CD2E-00FF-4004-9F7D-A19998F74FF1}
      [2012/06/07 18:57:50 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{A2C0DF5A-F6FF-4265-9816-B579F5342299}
      [2012/06/07 18:53:54 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{B3920922-5550-4522-90AA-96CA65DF8BF9}
      [2012/06/07 18:53:43 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{DF10B03F-9D5A-470E-89FA-8FA533F73747}
      [2012/06/07 18:45:30 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{6B2728DB-918C-4776-9D27-8E7AC0C0C8CE}
      [2012/06/07 18:45:19 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{C1EB5186-9519-4B3D-AFA7-64C151DA2D59}
      [2012/06/07 15:31:34 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{EA3765C2-F31D-40A1-9D7A-FC2A70FBD158}
      [2012/06/07 15:31:22 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{4BF75F25-54A9-4181-811A-8B00174B5392}
      [2012/06/07 14:26:35 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{4BB760EC-7088-45ED-B1A1-F0245046839A}
      [2012/06/07 14:26:24 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{93F9AA98-5659-4FAC-A04A-96D574D818B4}
      [2012/06/07 14:23:11 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{A06C62A1-62FA-4330-A229-40DCE3317CE4}
      [2012/06/07 14:23:00 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{1CF02145-5717-4102-BFB2-535C8219DC67}
      [2012/06/07 08:10:17 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{0D38034B-220C-40F3-B745-0A8F95EEB122}
      [2012/06/07 08:10:06 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{48E1F753-0675-4979-8285-F648D3E4874E}
      [2012/06/06 13:11:05 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{8A440231-1ACA-41D8-A075-559F6B1ED398}
      [2012/06/06 13:10:54 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{C7C81786-9B84-4D2E-A4CB-E608D6FE54E1}
      [2012/06/01 08:24:06 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{B026CA0E-6277-4195-A32F-F88F90ABA38B}
      [2012/06/01 08:23:55 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{7962EA6D-3518-4196-8DB2-6F94E631F134}
      [2012/05/31 14:05:54 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{FDD7FCA1-ADFA-4F05-9C42-A5C875C4C33E}
      [2012/05/31 14:05:43 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{AFB09A6E-E020-464A-8E92-DE851552239E}
      [2012/05/29 09:51:04 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{7F5858A0-4177-4D25-9A78-1E4CA421EBCF}
      [2012/05/29 09:50:53 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{1F84D712-9A92-4D4C-8E9A-6325DEB8B75F}
      [2012/05/24 18:34:40 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{2E90F2B0-5584-4D9D-8A1A-ED61A6C61D5F}
      [2012/05/24 18:34:29 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{B0E336F8-5C53-40FA-AF16-4C4E7E6A317C}
      [2012/05/24 10:01:12 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{03096C5B-AED3-449B-967C-00F3D7D1C0C7}
      [2012/05/24 10:01:01 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{BA5A4274-AEED-4366-A3EC-AD281CF488C1}
      [2012/05/23 08:54:24 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{1F9F6721-5710-4459-A887-A509F09EC3AD}
      [2012/05/23 08:54:12 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{EBC05B9E-5DF9-4C59-9460-79AAA0A7F3A8}
      [2012/05/21 09:05:49 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{2287F0C6-1385-49FE-A7C8-33B6D1E2A00C}
      [2012/05/21 09:05:38 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{F1CE22F2-F3FD-43F9-888A-FE66EA1DEE9D}
      [2012/05/18 08:00:05 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{820A8849-C4CC-4C93-8F2F-5467A2B451E7}
      [2012/05/18 07:59:54 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{5331ED1D-3DE6-4D3B-B4AF-2D5A96DE2B34}
      [2012/05/16 09:22:04 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{B715C2C3-0307-4910-A8F8-A3F09504B194}
      [2012/05/16 09:21:52 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{19E3596D-3FF8-4300-B9A1-B81A6194CFD5}
      [2012/05/15 09:30:12 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{E0A18AAD-22F3-4881-9CD2-EBC8B36DCAB6}
      [2012/05/15 09:30:01 | 000,000,000 | ---D | C] -- C:\Users\Marjorie\AppData\Local\{4B55FC25-A11A-40C4-BF1A-F650E5CF3716}
      [2012/06/11 13:58:26 | 000,015,072 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
      [2012/06/11 13:58:26 | 000,015,072 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

      :reg
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
      "conduitEngine" =-
      "SFT_France Toolbar" =-

      :Files
      C:\Program Files (x86)\SFT_France
      C:\Program Files (x86)\ConduitEngine

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    11 Juin 2012 15:49:23

    Re,

    Voici le lien du rapport après suppression SFT_france et Conduit engine et correction.
    11 Juin 2012 16:21:22

    Il me demande ma licence pour Windows 7, est-ce normal? Le problème va être de remettre la main dessus...
    a b 8 Sécurité
    11 Juin 2012 18:55:00

    Cela peut arriver. Le redémarrage n'a pas corrigé le problème ?
    11 Juin 2012 19:09:00

    Non il me demande toujours le numéro de licence même après démarrage. Que dois je faire ensuite ,
    11 Juin 2012 19:09:04

    Non il me demande toujours le numéro de licence même après démarrage. Que dois je faire ensuite ?
    a b 8 Sécurité
    11 Juin 2012 19:54:47

    Tu as pas le numéro de licence sur ton boitier ?
    Si tu as une copie saine d'un fichier locked, tu peux faire ce qui suit :

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    13 Juin 2012 12:30:52

    Bonjour, j'ai fait l'analyse avec RannohDecryptor. A aucun moment il ne me demande le chemin d'un fichier non crypté... est-ce normal ? J'ai relancé une analyse, cela fati 10mn toujours aucune demande...
    a b 8 Sécurité
    13 Juin 2012 14:13:27

    Attends de voir la fin s'il a réussi le décryptage :) 
    13 Juin 2012 15:24:51

    Analyse finit, je n'arrive pas à poser le rapport sur pjjoint.fr,cela me met "fichier invalide". ???

    a b 8 Sécurité
    13 Juin 2012 16:37:14

    Re,

    A la fin il y a le nombre de fichiers locked trouvés avec celui des décryptés.
    Ils correspondent ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS