Votre question

Pourriez-vous m'aider à debloquer mes fichiers?

Tags :
  • Virus
  • locked
  • Musique
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Juin 2012 17:16:20

Bonjour à tous,

Je suis une nouvelle victime du Virus gendarmerie, la majorité de mes fichiers (images, musique, raccourcis...) ont reçu une nouvelle extansion et sont devenus inutilisables. J'ai lancé un scan Avast lors du démarrage de mon ordi sans succès.
Pourriez-vous m'aider s'il vous plaît car beaucoup de ces fichiers sont des photos de famille et je ne souhaite pas les perdre.
Merci d'avance pour votre aide

Autres pages sur : pourriez aider debloquer fichiers

a c 614 8 Sécurité
8 Juin 2012 20:19:19

Bonsoir,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    9 Juin 2012 00:09:14

    Bonsoir et merci hyunkel30
    Voici les rapports :
    Extras.txt : http://pjjoint.malekal.com/files.php?id=20120609_f9f12o...
    OTL.txt : http://pjjoint.malekal.com/files.php?id=20120609_e11v9k...




    hyunkel30 a dit :
    Bonsoir,

    On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

    /!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    Contenus similaires
    a c 614 8 Sécurité
    9 Juin 2012 11:03:33

    Re,

    Ok tu as aussi une bonne dose d'adwares (logiciels publicitaires) qu'on va nettoyer ...

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    (note : si tu rencontres une erreur à la désinstallation, passe au suivant et poursuis la procédure)

    - Java(TM) 6 Update 7 (version obsolète)
    - McAfee Security Scan Plus (inutile avec ton antivirus)
    - LiveUpdate (Symantec Corporation) (inutile tu n'as plus de produit symantec)

    - SweetIM Toolbar for Internet Explorer 4.2 (adware)
    - SweetIM for Messenger 3.6 (idem)
    - Avanquest FR Toolbar (barre d'outil liée à un sponsor publicitaire)
    - Babylon toolbar on IE (idem)
    - DealPly (adware)
    - PricePeep for FireFox (idem)
    - Wincore MediaBar (barre d'outil sponsorisée par un adware)
    - Windows iLivid Toolbar (adware)


    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2010/01/15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
    SRV - [2007/12/28 21:52:48 | 003,192,184 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Symantec\LiveUpdate\LuComServer_3_4.EXE -- (LiveUpdate)
    SRV - [2007/12/28 21:52:12 | 000,243,064 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Symantec\LiveUpdate\AluSchedulerSvc.exe -- (Automatic LiveUpdate Scheduler)
    IE - HKLM\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801939
    IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\URLSearchHook: {9e96c0cd-a901-4032-9236-0e4a264aeee4} - No CLSID value found
    IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=083eda670000000000000022fb115d14
    IE - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=189&systemid=406&sr=0&q={searchTerms}
    FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=189&systemid=406&sr=0&q="
    [2012/01/25 01:26:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\jan\AppData\Roaming\mozilla\Firefox\Profiles\0f580dyp.default\extensions\ffxtlbr@babylon.com
    [2012/06/08 00:33:33 | 000,000,927 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-conduit.xml.auuf
    [2012/06/08 00:33:33 | 000,002,519 | ---- | M] () -- C:\Users\jan\AppData\Roaming\Mozilla\Firefox\Profiles\0f580dyp.default\searchplugins\locked-Search_Results.xml.qvvf
    File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{6EC85FCF-87AD-41D7-AE1F-F116F8AD4848}
    File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    File not found (No name found) -- C:\USERS\JAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0F580DYP.DEFAULT\EXTENSIONS\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
    [2012/01/25 01:25:08 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    [2012/01/25 20:17:41 | 000,002,519 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xmlO2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
    O2 - BHO: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
    O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
    O3 - HKLM\..\Toolbar: (Avanquest FR Toolbar) - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} - C:\Program Files (x86)\Avanquest_FR\prxtbAvan.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (no name) - {9E96C0CD-A901-4032-9236-0E4A264AEEE4} - No CLSID value found.
    O3 - HKU\S-1-5-21-2268043010-747160157-629875873-1000\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O4 - HKLM..\Run: [ALUAlert] C:\Program Files (x86)\Symantec\LiveUpdate\ALuNotify.exe (Symantec Corporation)
    O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
    O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
    O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\WI371A~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
    [2012/06/07 12:25:18 | 000,000,000 | ---D | C] -- C:\Users\jan\AppData\Roaming\Yyynn
    [2012/06/07 11:54:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\iLivid
    [2012/06/05 22:09:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PricePeep
    [3 C:\*.tmp files -> C:\*.tmp -> ]
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
    [2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
    [2012/06/08 00:31:13 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Babylon
    [2012/06/08 00:33:36 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\OfferBox
    [2009/03/13 23:42:33 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Symantec
    [2012/06/08 13:35:25 | 000,000,000 | ---D | M] -- C:\Users\jan\AppData\Roaming\Yyynn

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{0C4E45EE-6FA9-4FB1-BA11-2B12340557C3}"=-
    "{0EA207AA-7AFC-4D98-BA44-F6794F6033F2}"=-
    "{99000CF0-95D9-4ADA-83F9-9C0319A3179E}"=-
    "{AE02A23A-19E9-4B04-B81F-7351C5ABEB52}"=-
    "{B1F110BA-FC0F-4EE8-B33F-1322294E4747}"=-
    "{E4260EAA-76DC-4800-9C1B-1D6BD25038D4}"=-

    :Files
    C:\Program Files (x86)\Windows iLivid Toolbar
    C:\Program Files (x86)\SweetIM
    C:\Program Files (x86)\Symantec
    C:\Program Files (x86)\McAfee Security Scan
    C:\Program Files (x86)\BabylonToolbar
    C:\Program Files (x86)\iMesh Applications\MediaBar
    C:\Program Files (x86)\DealPly

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 614 8 Sécurité
    9 Juin 2012 16:15:50

    Re,

    Parfait, on passe au décryptage maintenant.

    L'outil pourra avoir besoin (pas obligatoirement), d'une copie saine et non modifiée d'un des fichiers cryptés, que tu aurais sur un autre pc, une clé usb, dans une sauvegarde, par téléchargement, etc ...

    Quand c'est bon, passe à la suite :

    Note : l'outil créant une copie de chaque fichier avant décryptage, il est possible d'obtenir parfois une erreur "disque plein", à ce moment là, viens me le dire.


    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    10 Juin 2012 09:30:19

    Bonjour hyunkel30
    J'avais l'impression que certains de mes fichiers n'avaient pas été décryptés, en fait en vérifiant il s'agissait des copies des fichiers cryptés.
    Voici les dernières lignes du scan :

    00:34:27.0278 5104 Statistic:
    00:34:27.0278 5104 Processed: 176575
    00:34:27.0278 5104 Suspicious: 0
    00:34:27.0278 5104 Found: 6924
    00:34:27.0278 5104 Decrypted: 6917
    00:34:27.0278 5104 ================================================================================
    00:34:27.0278 5104 Scan finished
    00:34:27.0278 5104 ================================================================================

    Je vais supprimer les copies des fichiers cryptés comme tu me l'as indiqué et te confirme dans une prochaine réponse si tout est ok
    a c 614 8 Sécurité
    10 Juin 2012 10:13:42

    Re,

    Si dans le rapport l'erreur est "error 112", c'est généralement que le disque était plein, cela se voit aussi quand c'est plusieurs fichiers à la suite en fin de rapport.

    à ce moment là, oui, il faut vérifier les fichiers décrypté, voir s'ils sont bien fonctionnels, puis passer l'option de suppression des fichiers crypté avec l'outil, et relancer une nouvelle analyse.

    :jap: 
    10 Juin 2012 15:10:16

    Alors à première vue tout à l'air d'être décrypté : houra !
    Après la suppression des fichiers cryptés, j'ai essayé de relancer une nouvelle analyse comme tu me l'avais conseillé, mais rannoh m'a demandé le chemin d'un fichier sain et d'un fichier crypté (ce qu'il n'avait pas fait lors de mes scans précédents) et comme je ne vois plus de fichiers cryptés, ça n'a pas marché.
    Mais bon, comme tout à l'air d'être rétabli, je n'ai pas envie d'en retrouver des fichiers cryptés :D  !

    Merci beaucoup de ton aide hyunkel30, quels conseils pourrais-tu me donner pour que ce type de virus n'infecte plus ma machine ?

    a c 614 8 Sécurité
    10 Juin 2012 16:13:28

    Re,

    Ok, tu as regardé à la fin du rapport si le nombre de fichier détecté et décrypté étaient le même ? si oui, c'est ok.

    Il te reste des fichiers "locked" en double ou pas ?

    Citation :
    Merci beaucoup de ton aide hyunkel30, quels conseils pourrais-tu me donner pour que ce type de virus n'infecte plus ma machine ?


    ce sera fait, ne t'inquiète pas, c'est la suite de la procédure, mais je veux m'assurer que tout est ok avant. ;) 
    10 Juin 2012 19:20:20

    Le nombre de fichier n'est pas le même et j'ai trouvé des fichiers qui sont "locked" en double et j'en ai même trouvé un qui apparemment n'a pas été décrypté.:( 
    Ce ne sont pas des fichiers très importants, j'en ai trouvé en faisant une recherche globale sur l'ordi avec le nom "locked" mais je ne sais pas si c'est la bonne méthode pour les trouver tous.
    Je vais essayer de retrouver une version saine d'un des fichiers pour relancer le scan rannoh, mais je vais attendre ta réponse avant d'entreprendre quoi que ce soit. Merci encore de ton aide.
    Voici les dernières lignes du rapport de ce jour avec l'option de suppression des fichiers cryptés :

    13:10:36.0951 3984 Statistic:
    13:10:36.0951 3984 Processed: 173131
    13:10:36.0951 3984 Suspicious: 0
    13:10:36.0951 3984 Found: 3677
    13:10:36.0951 3984 Decrypted: 3669
    13:10:36.0951 3984 ================================================================================
    13:10:36.0951 3984 Scan finished
    13:10:36.0951 3984 ================================================================================
    14:22:00.0482 3872 Can't initialize on pair
    14:22:00.0482 3872 Can't init decryptor
    14:23:14.0411 2656 Can't initialize on pair
    14:23:14.0411 2656 Can't init decryptor
    14:24:07.0593 4340 Can't get clean file path
    14:24:07.0593 4340 Can't init decryptor
    14:24:08.0213 0592 Deinitialize success
    a c 614 8 Sécurité
    10 Juin 2012 22:30:29

    Re,

    Trouve-moi dans le rapport une ligne en erreur et copie-la moi pour voir (prend large, une ligne au dessus, une en dessous pour que je vois bien tout)

    Citation :
    Ce ne sont pas des fichiers très importants, j'en ai trouvé en faisant une recherche globale sur l'ordi avec le nom "locked" mais je ne sais pas si c'est la bonne méthode pour les trouver tous.


    Si c'est la méthode la plus simple, apparemment il ne t'en manquerait que 8 en plus ...
    11 Juin 2012 09:39:46

    Bonjour hyunkel30,

    Voici une ligne d'erreur du rapport :
    11:44:33.0193 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq
    11:44:33.0194 4384 CopyFile(C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_1.VOB.xppq, C:\Users\jan\Documents\VIDEO_TS\VTS_01_1.VOB) error 32
    11:44:33.0194 4384 Processing file: C:\Users\jan\Documents\VIDEO_TS\locked-VTS_01_3.VOB.oggg

    Quand je fais la recherche globale sur l'ordi avec le mot clé "locked", je trouve 27 fichiers. Pour la plupart, je ne les trouve pas dans le dernier rapport rannoh.
    a c 614 8 Sécurité
    11 Juin 2012 14:11:18

    Re,

    Ok, vérifie que tu ai encore de la place sur le disque dur C:

    Ensuite essaye de trouver une copie saine d'un de ces fichiers "locked" et tente de relancer l'outil de décryptage.
    Par exemple celui que tu me montre, c'est issue d'un dvd surement, tu n'a pas ce dvd encore ? ou une copie quelque part ?

    Parmi les autres fichiers "locked", y'en a pas qui sont des fichiers qu'on peut trouver sur un autre pc ?
    11 Juin 2012 22:27:30

    J'ai réussi à remettre la main sur une clé usb sur laquelle j'avais une copie saine d'un fichier locked.
    Donc avant de relancer rannoh, j'ai fait du ménage sur le disque dur pour libérer un max de place.
    L'outil de décryptage a bien fonctionné. Il reste toujours des fichiers "locked" lorsque je fais une recherche globale sur le disque dur (j'en trouve cette fois 26), mais ce ne sont pas des fichiers de prime importance alors j'ai bien envie de les supprimer.
    Pour info, voici les dernières lignes du rapport :
    21:43:53.0981 3696 Statistic:
    21:43:53.0981 3696 Processed: 170217
    21:43:53.0981 3696 Suspicious: 0
    21:43:53.0981 3696 Found: 13
    21:43:53.0981 3696 Decrypted: 13
    21:43:53.0981 3696 ================================================================================
    21:43:53.0981 3696 Scan finished

    a c 614 8 Sécurité
    12 Juin 2012 09:43:11

    Re,

    D'après le rapport il a tout décrypté.

    Ces fichiers que tu trouves "locked" doivent être les copies non encore supprimée.

    Teste des fichiers décrypté pour voir s'ils fonctionnent.


    Relance ensuite l'outil avec l'option de suppression des fichiers "locked" (voir procédure précédente), et regarde ensuite si tu retrouve encore des fichiers "locked"

    12 Juin 2012 12:26:07

    Bonjour hyunkel30,
    J'avais coché l'option de suppression des fichiers "locked" lors de l'analyse, alors certains fichiers ont bien été décryptés, ils fonctionnent bien après test et leurs copies "locked" ont bien été supprimées, mais d'autres restent "locked" sans copie décryptée, c'est le cas du fichier dont j'ai retrouvé une version saine sur une clé usb.

    J'ai relancé le scan rannoh avec l'option de suppression des fichiers "locked" et il n'y a plus qu'un seul fichier trouvé et décrypté. En relançant une dernière fois encore l'analyse, rannoh trouve toujours ce même fichier qui est noté comme étant décrypté.

    J'ai toujours les 26 fichiers lorsque je lance la recherche avec le mot clé "locked". Comme ce ne sont pas des fichiers très importants que penses-tu de les supprimer ?

    En fait, vu qu'il y avait pas mal de bazar sur mon disque dur, je compte le reformater après sauvegarde de mes fichiers sur un disque dur externe.


    a c 614 8 Sécurité
    12 Juin 2012 14:04:46

    Re,

    Ok, tu peux me donner une ou plusieurs exemple de ces fichiers "locked" ?
    Le chemin d'accès et le nom entier du fichier s'il te plait ;) 
    12 Juin 2012 22:15:13

    Alors en voici un premier, c'est une photo que j'avais enregistrée :
    locked-DEVISE QUEBEC.hccr c:\users\jan\Pictures

    locked-InstallTime20120601045813.hhyy c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
    locked-InstallTime20111104165243.lkkb c:\users\jan\AppData\Roaming\Mozilla\Firefox\Crash Reports
    a c 614 8 Sécurité
    12 Juin 2012 22:29:19

    Re,

    Ils n'ont pas d'extensions ces fichiers ? (à part celle rajoutée par l'infection ..)
    C’est peut-être ceci qui bloque le logiciel de décryptage ...
    13 Juin 2012 13:35:04

    Bonjour hyunkel30,
    Oui c'est vrai aucun des fichiers "locked" que je trouve n'a d'extension autre que celle ajoutée par l'infection. Que me conseilles-tu de faire ?
    a c 614 8 Sécurité
    13 Juin 2012 18:37:38

    Re,

    Tu n'avais rien modifié de toi même avant le décryptage genre pour tester avec une autre extension etc ?

    Je pense que l'outil ne les reconnais pas à cause de cela, et si on modifie l'extension pour en rajouter une, cela empêchera le décryptage, on est donc dans l'impasse ...

    Donne-moi la liste des fichiers en jeu pour voir si on peu les supprimer sans souci ou si certains sont important
    Par exemple ceux du dossier crashreport de firefox, tu peux les supprimer sans aucun soucis. ;) 
    13 Juin 2012 21:37:47

    En fait les fichiers qui sont "locked" sont tous des fichiers crashreport de firefox sauf le fichier photo dont je t'ai parlé, trois vidéos que j'ai par ailleurs sur cd et un fichier que j'avais en version saine sur la clé usb. Donc en somme des fichiers que je peux supprimer sans crainte.
    a c 614 8 Sécurité
    13 Juin 2012 22:22:12

    Re,

    Bon alors, tu peux supprimer sans crainte.

    Si ce n'est pas déjà fat ensuite, repasse l'outil avec l'option de suppression des fichier "locked"

    Puis on conclus :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux supprimer manuellement RannohDecryptor.exe


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

    /!\ Cette étape est très importante, car ton infection est arrivée car ces logiciels n'étaient pas à jour ! /!\

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Supprime ensuite les anciennes versions si encore présente dans ta liste des programmes : Java(TM) 6 Update 26

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )


  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide

    :jap: 
    14 Juin 2012 15:12:58

    Bonjour hyunkel30,

    Voilà j'ai suivi toutes les étapes de ton dernier message, merci beaucoup de m'avoir consacré du temps pour m'aider à résoudre ce problème :) 
    14 Juin 2012 21:00:50

    Merci beaucoup! J'ai eu le même problème.

    Benjamin.
    a c 614 8 Sécurité
    14 Juin 2012 21:58:41

    Bonsoir,

    @ KaiN_BzH : attention une partie nécessite des scripts personnalisés (dossier au nom aléatoire), si ce n'est pas déjà fait ouvre un nouveau sujet pour vérification.

    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS