Pourriez-vous m'aider à debloquer mes fichiers?
Dernière réponse : dans Sécurité et virus
dominique55
8 Juin 2012 17:16:20
Bonjour à tous,
Je suis une nouvelle victime du Virus gendarmerie, la majorité de mes fichiers (images, musique, raccourcis...) ont reçu une nouvelle extansion et sont devenus inutilisables. J'ai lancé un scan Avast lors du démarrage de mon ordi sans succès.
Pourriez-vous m'aider s'il vous plaît car beaucoup de ces fichiers sont des photos de famille et je ne souhaite pas les perdre.
Merci d'avance pour votre aide
Je suis une nouvelle victime du Virus gendarmerie, la majorité de mes fichiers (images, musique, raccourcis...) ont reçu une nouvelle extansion et sont devenus inutilisables. J'ai lancé un scan Avast lors du démarrage de mon ordi sans succès.
Pourriez-vous m'aider s'il vous plaît car beaucoup de ces fichiers sont des photos de famille et je ne souhaite pas les perdre.
Merci d'avance pour votre aide
Autres pages sur : pourriez aider debloquer fichiers
Bonsoir,
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
dominique55
9 Juin 2012 00:09:14
Bonsoir et merci hyunkel30
Voici les rapports :
Extras.txt : http://pjjoint.malekal.com/files.php?id=20120609_f9f12o...
OTL.txt : http://pjjoint.malekal.com/files.php?id=20120609_e11v9k...
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
Voici les rapports :
Extras.txt : http://pjjoint.malekal.com/files.php?id=20120609_f9f12o...
OTL.txt : http://pjjoint.malekal.com/files.php?id=20120609_e11v9k...
hyunkel30 a dit :
Bonsoir,On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
Une aide à l'utilisation ici
Note : Les rapports sont aussi enregistrés sur le bureau
Contenus similaires
- Je voudrais debloquer mon Blackberry Curve 9300. Pourriez-vous m'aider? - Solutions
- Je veux debloquer mon Blackberry torch 9800. Pourriez-vous m'aider? - Solutions
- Pourriez-vous m'aider à debloquer mon S by SFR 343? - Solutions
- Je voudrais débloquer mon Samsung E1190. Pourriez-vous m'aider? - Solutions
- Pourriez-vous m'aider à débloquer mon telephone portable S by SFR 116 ? - Solutions
- Pourriez-vous m'aider à debloquer mon S by SFR 132? - Solutions
Re,
Ok tu as aussi une bonne dose d'adwares (logiciels publicitaires) qu'on va nettoyer ...
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
(note : si tu rencontres une erreur à la désinstallation, passe au suivant et poursuis la procédure)
- Java(TM) 6 Update 7 (version obsolète)
- McAfee Security Scan Plus (inutile avec ton antivirus)
- LiveUpdate (Symantec Corporation) (inutile tu n'as plus de produit symantec)
- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (idem)
- Avanquest FR Toolbar (barre d'outil liée à un sponsor publicitaire)
- Babylon toolbar on IE (idem)
- DealPly (adware)
- PricePeep for FireFox (idem)
- Wincore MediaBar (barre d'outil sponsorisée par un adware)
- Windows iLivid Toolbar (adware)
2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
Dans la fenêtre principal, choisis l'option Suppression.
Valide l'avertissement.
Si le pc demande à redémarrer, accepte.
Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
3) Relance OTL.exe
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2010/01/15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2007/12/28 21:52:48 | 003,192,184 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Symantec\LiveUpdate\LuComServer_3_4.EXE -- (LiveUpdate)
SRV - [2007/12/28 21:52:12 | 000,243,064 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Symantec\LiveUpdate\AluSchedulerSvc.exe -- (Automatic LiveUpdate Scheduler)
IE - HKLM\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801939
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {9e96c0cd-a901-4032-9236-0e4a264aeee4} - No CLSID value found
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=083eda670000000000000022fb115d14
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=189&systemid=406&sr=0&q="
[2012/01/25 01:26:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\jan\AppData\Roaming\mozilla\Firefox\Profiles\0f580dyp.default\extensions\ffxtlbr@babylon.com
[2012/06/08 00:33:33 | 000,000,927 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-conduit.xml.auuf
[2012/06/08 00:33:33 | 000,002,519 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-Search_Results.xml.qvvf
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{6EC85FCF-87AD-41D7-AE1F-F116F8AD4848}
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/01/25 01:25:08 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012/01/25 20:17:41 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xmlO2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O3 - HKLM\..\Toolbar: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (no name) - {9E96C0CD-A901-4032-9236-0E4A264AEEE4} - No CLSID value found.
O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [ALUAlert] C:\Program Files (x86)\Symantec\LiveUpdate\ALuNotify.exe (Symantec Corporation)
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
[2012/06/07 12:25:18 | 000,000,000 | ---D | C] -- C:\Users\jan\AppData\Roaming\Yyynn
[2012/06/07 11:54:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\iLivid
[2012/06/05 22:09:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PricePeep
[3 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
[2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
[2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
[2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
[2009/03/13 23:42:33 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Symantec
[2012/06/08 13:35:25 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Yyynn
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0C4E45EE-6FA9-4FB1-BA11-2B12340557C3}"=-
"{0EA207AA-7AFC-4D98-BA44-F6794F6033F2}"=-
"{99000CF0-95D9-4ADA-83F9-9C0319A3179E}"=-
"{AE02A23A-19E9-4B04-B81F-7351C5ABEB52}"=-
"{B1F110BA-FC0F-4EE8-B33F-1322294E4747}"=-
"{E4260EAA-76DC-4800-9C1B-1D6BD25038D4}"=-
:Files
C:\Program Files (x86)\Windows iLivid Toolbar
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\Symantec
C:\Program Files (x86)\McAfee Security Scan
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\iMesh Applications\MediaBar
C:\Program Files (x86)\DealPly
:Commands
[emptytemp]
Puis clique sur le bouton Correction en haut à gauche
Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Ok tu as aussi une bonne dose d'adwares (logiciels publicitaires) qu'on va nettoyer ...
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
(note : si tu rencontres une erreur à la désinstallation, passe au suivant et poursuis la procédure)
- Java(TM) 6 Update 7 (version obsolète)
- McAfee Security Scan Plus (inutile avec ton antivirus)
- LiveUpdate (Symantec Corporation) (inutile tu n'as plus de produit symantec)
- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (idem)
- Avanquest FR Toolbar (barre d'outil liée à un sponsor publicitaire)
- Babylon toolbar on IE (idem)
- DealPly (adware)
- PricePeep for FireFox (idem)
- Wincore MediaBar (barre d'outil sponsorisée par un adware)
- Windows iLivid Toolbar (adware)
2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
3) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
:OTL
SRV - [2010/01/15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2007/12/28 21:52:48 | 003,192,184 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Symantec\LiveUpdate\LuComServer_3_4.EXE -- (LiveUpdate)
SRV - [2007/12/28 21:52:12 | 000,243,064 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Symantec\LiveUpdate\AluSchedulerSvc.exe -- (Automatic LiveUpdate Scheduler)
IE - HKLM\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801939
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {9e96c0cd-a901-4032-9236-0e4a264aeee4} - No CLSID value found
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=083eda670000000000000022fb115d14
IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=189&systemid=406&sr=0&q="
[2012/01/25 01:26:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\jan\AppData\Roaming\mozilla\Firefox\Profiles\0f580dyp.default\extensions\ffxtlbr@babylon.com
[2012/06/08 00:33:33 | 000,000,927 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-conduit.xml.auuf
[2012/06/08 00:33:33 | 000,002,519 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-Search_Results.xml.qvvf
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{6EC85FCF-87AD-41D7-AE1F-F116F8AD4848}
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/01/25 01:25:08 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012/01/25 20:17:41 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xmlO2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O2 - BHO: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O3 - HKLM\..\Toolbar: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (no name) - {9E96C0CD-A901-4032-9236-0E4A264AEEE4} - No CLSID value found.
O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [ALUAlert] C:\Program Files (x86)\Symantec\LiveUpdate\ALuNotify.exe (Symantec Corporation)
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
[2012/06/07 12:25:18 | 000,000,000 | ---D | C] -- C:\Users\jan\AppData\Roaming\Yyynn
[2012/06/07 11:54:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\iLivid
[2012/06/05 22:09:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PricePeep
[3 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
[2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
[2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
[2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
[2009/03/13 23:42:33 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Symantec
[2012/06/08 13:35:25 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Yyynn
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0C4E45EE-6FA9-4FB1-BA11-2B12340557C3}"=-
"{0EA207AA-7AFC-4D98-BA44-F6794F6033F2}"=-
"{99000CF0-95D9-4ADA-83F9-9C0319A3179E}"=-
"{AE02A23A-19E9-4B04-B81F-7351C5ABEB52}"=-
"{B1F110BA-FC0F-4EE8-B33F-1322294E4747}"=-
"{E4260EAA-76DC-4800-9C1B-1D6BD25038D4}"=-
:Files
C:\Program Files (x86)\Windows iLivid Toolbar
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\Symantec
C:\Program Files (x86)\McAfee Security Scan
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\iMesh Applications\MediaBar
C:\Program Files (x86)\DealPly
:Commands
[emptytemp]
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
dominique55
9 Juin 2012 12:21:38
Voilà j'ai désinstallé les programmes et voici les rapports :
AdwCleaner : http://pjjoint.malekal.com/files.php?id=20120609_13v10p...
rapport de suppression OTL : http://pjjoint.malekal.com/files.php?id=20120609_t7y10l...
AdwCleaner : http://pjjoint.malekal.com/files.php?id=20120609_13v10p...
rapport de suppression OTL : http://pjjoint.malekal.com/files.php?id=20120609_t7y10l...
Re,
Parfait, on passe au décryptage maintenant.
L'outil pourra avoir besoin (pas obligatoirement), d'une copie saine et non modifiée d'un des fichiers cryptés, que tu aurais sur un autre pc, une clé usb, dans une sauvegarde, par téléchargement, etc ...
Quand c'est bon, passe à la suite :
Note : l'outil créant une copie de chaque fichier avant décryptage, il est possible d'obtenir parfois une erreur "disque plein", à ce moment là, viens me le dire.
Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
Clique sur Start scan
![]()
L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Merci à Chantal11 pour la procédure
Parfait, on passe au décryptage maintenant.
L'outil pourra avoir besoin (pas obligatoirement), d'une copie saine et non modifiée d'un des fichiers cryptés, que tu aurais sur un autre pc, une clé usb, dans une sauvegarde, par téléchargement, etc ...
Quand c'est bon, passe à la suite :
Note : l'outil créant une copie de chaque fichier avant décryptage, il est possible d'obtenir parfois une erreur "disque plein", à ce moment là, viens me le dire.
Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Merci à Chantal11 pour la procédure
dominique55
10 Juin 2012 09:30:19
Bonjour hyunkel30
J'avais l'impression que certains de mes fichiers n'avaient pas été décryptés, en fait en vérifiant il s'agissait des copies des fichiers cryptés.
Voici les dernières lignes du scan :
00:34:27.0278 5104 Statistic:
00:34:27.0278 5104 Processed: 176575
00:34:27.0278 5104 Suspicious: 0
00:34:27.0278 5104 Found: 6924
00:34:27.0278 5104 Decrypted: 6917
00:34:27.0278 5104 ================================================================================
00:34:27.0278 5104 Scan finished
00:34:27.0278 5104 ================================================================================
Je vais supprimer les copies des fichiers cryptés comme tu me l'as indiqué et te confirme dans une prochaine réponse si tout est ok
J'avais l'impression que certains de mes fichiers n'avaient pas été décryptés, en fait en vérifiant il s'agissait des copies des fichiers cryptés.
Voici les dernières lignes du scan :
00:34:27.0278 5104 Statistic:
00:34:27.0278 5104 Processed: 176575
00:34:27.0278 5104 Suspicious: 0
00:34:27.0278 5104 Found: 6924
00:34:27.0278 5104 Decrypted: 6917
00:34:27.0278 5104 ================================================================================
00:34:27.0278 5104 Scan finished
00:34:27.0278 5104 ================================================================================
Je vais supprimer les copies des fichiers cryptés comme tu me l'as indiqué et te confirme dans une prochaine réponse si tout est ok
Re,
Si dans le rapport l'erreur est "error 112", c'est généralement que le disque était plein, cela se voit aussi quand c'est plusieurs fichiers à la suite en fin de rapport.
à ce moment là, oui, il faut vérifier les fichiers décrypté, voir s'ils sont bien fonctionnels, puis passer l'option de suppression des fichiers crypté avec l'outil, et relancer une nouvelle analyse.
![:jap:]( ":jap:")
Si dans le rapport l'erreur est "error 112", c'est généralement que le disque était plein, cela se voit aussi quand c'est plusieurs fichiers à la suite en fin de rapport.
à ce moment là, oui, il faut vérifier les fichiers décrypté, voir s'ils sont bien fonctionnels, puis passer l'option de suppression des fichiers crypté avec l'outil, et relancer une nouvelle analyse.
dominique55
10 Juin 2012 15:10:16
Alors à première vue tout à l'air d'être décrypté : houra !
Après la suppression des fichiers cryptés, j'ai essayé de relancer une nouvelle analyse comme tu me l'avais conseillé, mais rannoh m'a demandé le chemin d'un fichier sain et d'un fichier crypté (ce qu'il n'avait pas fait lors de mes scans précédents) et comme je ne vois plus de fichiers cryptés, ça n'a pas marché.
Mais bon, comme tout à l'air d'être rétabli, je n'ai pas envie d'en retrouver des fichiers cryptés![:D]( ":D")
!
Merci beaucoup de ton aide hyunkel30, quels conseils pourrais-tu me donner pour que ce type de virus n'infecte plus ma machine ?
Après la suppression des fichiers cryptés, j'ai essayé de relancer une nouvelle analyse comme tu me l'avais conseillé, mais rannoh m'a demandé le chemin d'un fichier sain et d'un fichier crypté (ce qu'il n'avait pas fait lors de mes scans précédents) et comme je ne vois plus de fichiers cryptés, ça n'a pas marché.
Mais bon, comme tout à l'air d'être rétabli, je n'ai pas envie d'en retrouver des fichiers cryptés
!Merci beaucoup de ton aide hyunkel30, quels conseils pourrais-tu me donner pour que ce type de virus n'infecte plus ma machine ?
Re,
Ok, tu as regardé à la fin du rapport si le nombre de fichier détecté et décrypté étaient le même ? si oui, c'est ok.
Il te reste des fichiers "locked" en double ou pas ?
ce sera fait, ne t'inquiète pas, c'est la suite de la procédure, mais je veux m'assurer que tout est ok avant.![;)]( ";)")
Ok, tu as regardé à la fin du rapport si le nombre de fichier détecté et décrypté étaient le même ? si oui, c'est ok.
Il te reste des fichiers "locked" en double ou pas ?
Citation :
Merci beaucoup de ton aide hyunkel30, quels conseils pourrais-tu me donner pour que ce type de virus n'infecte plus ma machine ?ce sera fait, ne t'inquiète pas, c'est la suite de la procédure, mais je veux m'assurer que tout est ok avant.
dominique55
10 Juin 2012 19:20:20
Le nombre de fichier n'est pas le même et j'ai trouvé des fichiers qui sont "locked" en double et j'en ai même trouvé un qui apparemment n'a pas été décrypté.![:(]( ":(")
Ce ne sont pas des fichiers très importants, j'en ai trouvé en faisant une recherche globale sur l'ordi avec le nom "locked" mais je ne sais pas si c'est la bonne méthode pour les trouver tous.
Je vais essayer de retrouver une version saine d'un des fichiers pour relancer le scan rannoh, mais je vais attendre ta réponse avant d'entreprendre quoi que ce soit. Merci encore de ton aide.
Voici les dernières lignes du rapport de ce jour avec l'option de suppression des fichiers cryptés :
13:10:36.0951 3984 Statistic:
13:10:36.0951 3984 Processed: 173131
13:10:36.0951 3984 Suspicious: 0
13:10:36.0951 3984 Found: 3677
13:10:36.0951 3984 Decrypted: 3669
13:10:36.0951 3984 ================================================================================
13:10:36.0951 3984 Scan finished
13:10:36.0951 3984 ================================================================================
14:22:00.0482 3872 Can't initialize on pair
14:22:00.0482 3872 Can't init decryptor
14:23:14.0411 2656 Can't initialize on pair
14:23:14.0411 2656 Can't init decryptor
14:24:07.0593 4340 Can't get clean file path
14:24:07.0593 4340 Can't init decryptor
14:24:08.0213 0592 Deinitialize success
Ce ne sont pas des fichiers très importants, j'en ai trouvé en faisant une recherche globale sur l'ordi avec le nom "locked" mais je ne sais pas si c'est la bonne méthode pour les trouver tous.
Je vais essayer de retrouver une version saine d'un des fichiers pour relancer le scan rannoh, mais je vais attendre ta réponse avant d'entreprendre quoi que ce soit. Merci encore de ton aide.
Voici les dernières lignes du rapport de ce jour avec l'option de suppression des fichiers cryptés :
13:10:36.0951 3984 Statistic:
13:10:36.0951 3984 Processed: 173131
13:10:36.0951 3984 Suspicious: 0
13:10:36.0951 3984 Found: 3677
13:10:36.0951 3984 Decrypted: 3669
13:10:36.0951 3984 ================================================================================
13:10:36.0951 3984 Scan finished
13:10:36.0951 3984 ================================================================================
14:22:00.0482 3872 Can't initialize on pair
14:22:00.0482 3872 Can't init decryptor
14:23:14.0411 2656 Can't initialize on pair
14:23:14.0411 2656 Can't init decryptor
14:24:07.0593 4340 Can't get clean file path
14:24:07.0593 4340 Can't init decryptor
14:24:08.0213 0592 Deinitialize success
Re,
Trouve-moi dans le rapport une ligne en erreur et copie-la moi pour voir (prend large, une ligne au dessus, une en dessous pour que je vois bien tout)
Si c'est la méthode la plus simple, apparemment il ne t'en manquerait que 8 en plus ...
Trouve-moi dans le rapport une ligne en erreur et copie-la moi pour voir (prend large, une ligne au dessus, une en dessous pour que je vois bien tout)
Citation :
Ce ne sont pas des fichiers très importants, j'en ai trouvé en faisant une recherche globale sur l'ordi avec le nom "locked" mais je ne sais pas si c'est la bonne méthode pour les trouver tous.Si c'est la méthode la plus simple, apparemment il ne t'en manquerait que 8 en plus ...
dominique55
11 Juin 2012 09:39:46
Bonjour hyunkel30,
Voici une ligne d'erreur du rapport :
11:44:33.0193 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq
11:44:33.0194 4384 CopyFile(C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq, C:\Users\jan\Documents\VIDEO_TS\VTS_01_1.VOB) error 32
11:44:33.0194 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_3.VOB.oggg
Quand je fais la recherche globale sur l'ordi avec le mot clé "locked", je trouve 27 fichiers. Pour la plupart, je ne les trouve pas dans le dernier rapport rannoh.
Voici une ligne d'erreur du rapport :
11:44:33.0193 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq
11:44:33.0194 4384 CopyFile(C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq, C:\Users\jan\Documents\VIDEO_TS\VTS_01_1.VOB) error 32
11:44:33.0194 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_3.VOB.oggg
Quand je fais la recherche globale sur l'ordi avec le mot clé "locked", je trouve 27 fichiers. Pour la plupart, je ne les trouve pas dans le dernier rapport rannoh.
Re,
Ok, vérifie que tu ai encore de la place sur le disque dur C:
Ensuite essaye de trouver une copie saine d'un de ces fichiers "locked" et tente de relancer l'outil de décryptage.
Par exemple celui que tu me montre, c'est issue d'un dvd surement, tu n'a pas ce dvd encore ? ou une copie quelque part ?
Parmi les autres fichiers "locked", y'en a pas qui sont des fichiers qu'on peut trouver sur un autre pc ?
Ok, vérifie que tu ai encore de la place sur le disque dur C:
Ensuite essaye de trouver une copie saine d'un de ces fichiers "locked" et tente de relancer l'outil de décryptage.
Par exemple celui que tu me montre, c'est issue d'un dvd surement, tu n'a pas ce dvd encore ? ou une copie quelque part ?
Parmi les autres fichiers "locked", y'en a pas qui sont des fichiers qu'on peut trouver sur un autre pc ?
dominique55
11 Juin 2012 22:27:30
J'ai réussi à remettre la main sur une clé usb sur laquelle j'avais une copie saine d'un fichier locked.
Donc avant de relancer rannoh, j'ai fait du ménage sur le disque dur pour libérer un max de place.
L'outil de décryptage a bien fonctionné. Il reste toujours des fichiers "locked" lorsque je fais une recherche globale sur le disque dur (j'en trouve cette fois 26), mais ce ne sont pas des fichiers de prime importance alors j'ai bien envie de les supprimer.
Pour info, voici les dernières lignes du rapport :
21:43:53.0981 3696 Statistic:
21:43:53.0981 3696 Processed: 170217
21:43:53.0981 3696 Suspicious: 0
21:43:53.0981 3696 Found: 13
21:43:53.0981 3696 Decrypted: 13
21:43:53.0981 3696 ================================================================================
21:43:53.0981 3696 Scan finished
Donc avant de relancer rannoh, j'ai fait du ménage sur le disque dur pour libérer un max de place.
L'outil de décryptage a bien fonctionné. Il reste toujours des fichiers "locked" lorsque je fais une recherche globale sur le disque dur (j'en trouve cette fois 26), mais ce ne sont pas des fichiers de prime importance alors j'ai bien envie de les supprimer.
Pour info, voici les dernières lignes du rapport :
21:43:53.0981 3696 Statistic:
21:43:53.0981 3696 Processed: 170217
21:43:53.0981 3696 Suspicious: 0
21:43:53.0981 3696 Found: 13
21:43:53.0981 3696 Decrypted: 13
21:43:53.0981 3696 ================================================================================
21:43:53.0981 3696 Scan finished
Re,
D'après le rapport il a tout décrypté.
Ces fichiers que tu trouves "locked" doivent être les copies non encore supprimée.
Teste des fichiers décrypté pour voir s'ils fonctionnent.
Relance ensuite l'outil avec l'option de suppression des fichiers "locked" (voir procédure précédente), et regarde ensuite si tu retrouve encore des fichiers "locked"
D'après le rapport il a tout décrypté.
Ces fichiers que tu trouves "locked" doivent être les copies non encore supprimée.
Teste des fichiers décrypté pour voir s'ils fonctionnent.
Relance ensuite l'outil avec l'option de suppression des fichiers "locked" (voir procédure précédente), et regarde ensuite si tu retrouve encore des fichiers "locked"
dominique55
12 Juin 2012 12:26:07
Bonjour hyunkel30,
J'avais coché l'option de suppression des fichiers "locked" lors de l'analyse, alors certains fichiers ont bien été décryptés, ils fonctionnent bien après test et leurs copies "locked" ont bien été supprimées, mais d'autres restent "locked" sans copie décryptée, c'est le cas du fichier dont j'ai retrouvé une version saine sur une clé usb.
J'ai relancé le scan rannoh avec l'option de suppression des fichiers "locked" et il n'y a plus qu'un seul fichier trouvé et décrypté. En relançant une dernière fois encore l'analyse, rannoh trouve toujours ce même fichier qui est noté comme étant décrypté.
J'ai toujours les 26 fichiers lorsque je lance la recherche avec le mot clé "locked". Comme ce ne sont pas des fichiers très importants que penses-tu de les supprimer ?
En fait, vu qu'il y avait pas mal de bazar sur mon disque dur, je compte le reformater après sauvegarde de mes fichiers sur un disque dur externe.
J'avais coché l'option de suppression des fichiers "locked" lors de l'analyse, alors certains fichiers ont bien été décryptés, ils fonctionnent bien après test et leurs copies "locked" ont bien été supprimées, mais d'autres restent "locked" sans copie décryptée, c'est le cas du fichier dont j'ai retrouvé une version saine sur une clé usb.
J'ai relancé le scan rannoh avec l'option de suppression des fichiers "locked" et il n'y a plus qu'un seul fichier trouvé et décrypté. En relançant une dernière fois encore l'analyse, rannoh trouve toujours ce même fichier qui est noté comme étant décrypté.
J'ai toujours les 26 fichiers lorsque je lance la recherche avec le mot clé "locked". Comme ce ne sont pas des fichiers très importants que penses-tu de les supprimer ?
En fait, vu qu'il y avait pas mal de bazar sur mon disque dur, je compte le reformater après sauvegarde de mes fichiers sur un disque dur externe.
dominique55
12 Juin 2012 22:15:13
Alors en voici un premier, c'est une photo que j'avais enregistrée :
locked-DEVISE QUEBEC.hccr c:\users\jan\Pictures
locked-InstallTime20120601045813.hhyy c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
locked-InstallTime20111104165243.lkkb c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
locked-DEVISE QUEBEC.hccr c:\users\jan\Pictures
locked-InstallTime20120601045813.hhyy c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
locked-InstallTime20111104165243.lkkb c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
dominique55
13 Juin 2012 13:35:04
Re,
Tu n'avais rien modifié de toi même avant le décryptage genre pour tester avec une autre extension etc ?
Je pense que l'outil ne les reconnais pas à cause de cela, et si on modifie l'extension pour en rajouter une, cela empêchera le décryptage, on est donc dans l'impasse ...
Donne-moi la liste des fichiers en jeu pour voir si on peu les supprimer sans souci ou si certains sont important
Par exemple ceux du dossier crashreport de firefox, tu peux les supprimer sans aucun soucis.![;)]( ";)")
Tu n'avais rien modifié de toi même avant le décryptage genre pour tester avec une autre extension etc ?
Je pense que l'outil ne les reconnais pas à cause de cela, et si on modifie l'extension pour en rajouter une, cela empêchera le décryptage, on est donc dans l'impasse ...
Donne-moi la liste des fichiers en jeu pour voir si on peu les supprimer sans souci ou si certains sont important
Par exemple ceux du dossier crashreport de firefox, tu peux les supprimer sans aucun soucis.
dominique55
13 Juin 2012 21:37:47
Re,
Bon alors, tu peux supprimer sans crainte.
Si ce n'est pas déjà fat ensuite, repasse l'outil avec l'option de suppression des fichier "locked"
Puis on conclus :
1) Désinstalle AdwCleaner :
Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
2) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Clique sur "Purge d'outils"
Valide l'avertissement par "ok" et laisse le pc redémarrer.
Tu peux supprimer manuellement RannohDecryptor.exe
3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.
/!\ Cette étape est très importante, car ton infection est arrivée car ces logiciels n'étaient pas à jour ! /!\
Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Supprime ensuite les anciennes versions si encore présente dans ta liste des programmes : Java(TM) 6 Update 26
Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Rappel :
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire !
Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )
Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Ici aussi !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
/!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.
A bientôt sur les forums Tom's Guide
![:jap:]( ":jap:")
Bon alors, tu peux supprimer sans crainte.
Si ce n'est pas déjà fat ensuite, repasse l'outil avec l'option de suppression des fichier "locked"
Puis on conclus :
1) Désinstalle AdwCleaner :
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
2) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Tu peux supprimer manuellement RannohDecryptor.exe
3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.
/!\ Cette étape est très importante, car ton infection est arrivée car ces logiciels n'étaient pas à jour ! /!\
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Supprime ensuite les anciennes versions si encore présente dans ta liste des programmes : Java(TM) 6 Update 26
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Rappel :
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire !
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Ici aussi !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
/!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.
A bientôt sur les forums Tom's Guide
dominique55
14 Juin 2012 15:12:58
KaiN_BzH
14 Juin 2012 21:00:50
Contenus similaires
- RésoluPourriez-vous m'aider à débloquer mon Blackberry Curve 8520 SFR? solutions
- RésoluJe souhaite débloquer mon ALCATEL OT - 280. Pourriez-vous m'aider? solutions
- RésoluPourriez-vous m'aider à debloquer mon S by SFR 344? solutions
- RésoluJe voudrais débloquer mon Samsung U600. Pourriez-vous m'aider? solutions
- RésoluJe n'arrive pas à lire un fichier .XML sur Internet Explorer. Pourriez-vous m'aider? solutions
- Je veux débloquer mon téléphone Alcatel One Touch. Pourriez-vous m'aider? solutions
- Voir plus
