Votre question

Virus gendarmerie - fichiers locked

Tags :
  • Virus
  • photo
  • Pdf
  • locked-
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juin 2012 17:54:03

Bonjour,
j'ai été infecté par le virus de la gendarmerie qui m'a scripté tous mes fichiers t renommés en locked-...
J'ai suivi les instructions qui ont été données sur le forum :
Lancer Riguekiller
Lancer ranohdecryptor
Cela a marché pour certains fichiers doc, pdf, photos, xls mais pas pour d'autres. Quelqu'un a une idée ? De plus je ne sais pas si le virus a bien été supprimé ?
Merci pour votre aide.
AB

Autres pages sur : virus gendarmerie fichiers locked

a c 627 8 Sécurité
a b w Photo
9 Juin 2012 22:13:07

Bonsoir,

Généralement c'est à cause d'un manque de place sur les disque dur, mais on va d'abord vérifier l'absence de l'infection avant de revenir sur le décryptage :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 627 8 Sécurité
    a b w Photo
    10 Juin 2012 10:30:41

    Re,

    Ok on va commencer par nettoyer les restes de l'infection et une autre infection par adware sur ton pc (logiciel publicitaire)

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 29 (version obsolète)
    - Ask Toolbar (barre d'outil, sauf réelle utilité)

    - IMinent Toolbar (adware : logiciel publicitaire)
    - Iminent (idem)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2010/07/02 09:54:58 | 002,607,872 | ---- | M] () -- C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll
    MOD - [2010/07/02 09:54:58 | 000,305,920 | ---- | M] () -- C:\Program Files (x86)\IMinent Toolbar\tbhelper.dll
    IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
    IE - HKU\S-1-5-21-1152376212-973518322-1003194762-1000\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found
    IE - HKU\S-1-5-21-1152376212-973518322-1003194762-1000\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
    IE - HKU\S-1-5-21-1152376212-973518322-1003194762-1000\..\SearchScopes\{1E6564BD-806A-410A-9209-4EF0E8E72FFE}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    FF - prefs.js..browser.startup.homepage: "http://search.iminent.com/?appId=8109d3af-3c78-41e3-b7a4-a087391963f0&lcid=1036&ref=homepage"
    FF - prefs.js..browser.search.defaultenginename: "SearchTheWeb"
    [2012/06/09 18:31:27 | 000,002,270 | ---- | M] () -- C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\48smi6yt.default\searchplugins\SearchTheWeb.xml
    O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found
    O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
    O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
    O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found.
    O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
    O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
    O3 - HKU\S-1-5-21-1152376212-973518322-1003194762-1000\..\Toolbar\WebBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
    O4 - HKLM..\Run: [Iminent] C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
    O4 - HKLM..\Run: [IminentMessenger] C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
    O4 - HKLM..\Run: [mcui_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
    [2012/06/09 18:31:24 | 000,000,000 | ---D | C] -- C:\Users\Utilisateur\AppData\Roaming\Iminent
    [2012/06/09 18:31:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
    [2012/06/09 18:31:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\IMinent Toolbar
    [2012/06/09 18:30:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
    [2012/06/09 18:30:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Iminent
    [2012/06/06 07:46:13 | 000,000,000 | ---D | C] -- C:\Users\Utilisateur\AppData\Roaming\Rueqrwnvlb
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2011/12/17 12:13:16 | 000,000,146 | ---- | C] () -- C:\Users\Utilisateur\AppData\Roaming\eraseme.bat
    [2011/12/17 12:13:13 | 007,862,786 | ---- | C] () -- C:\Users\Utilisateur\AppData\Roaming\Temp1238.msi

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{FE24EDD5-B9DA-4614-85FF-503EBABEE9C7}"=-

    :Files
    C:\Program Files\McAfee.com

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    a c 627 8 Sécurité
    a b w Photo
    10 Juin 2012 16:09:53

    Re,

    Ok, on repasse maintenant au décryptage.

    On va refaire une passe avec l'outil pour voir d'abord on s'occupera ensuite des problèmes s'il y en a, ne lance donc pas pour le moment l'option de suppression des fichiers "locked" !

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.


    Merci à Chantal11 pour la procédure
    a c 627 8 Sécurité
    a b w Photo
    11 Juin 2012 21:31:54

    Re,

    Ok il semble qu'un fichier n'ai pas pu être décrypté, cherche-le dans le rapport (avec l’occurrence "error", tu dois trouver rapidement la ligne)
    Poste-moi cette ligne (avec une ou deux au dessus et en dessous pour être sur)

    As-tu vérifié à présent si les fichiers étaient opérationnels ?
    Vois-tu encore des fichiers crypté ?
    a c 627 8 Sécurité
    a b w Photo
    16 Juin 2012 18:45:48

    Re,

    Ok pour le fichier manquant il doit être trop petit, mais il n'est pas important, on verra à le supprimer après.

    Pour les fichiers corrompu, pour chaque fichier impossible à ouvrir, supprime-le, attention, celui décrypté, pas le "locked", puis repasse l'outil pour voir si le décryptage est meilleur.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS