Votre question

Impossible de décrypter fichiers suite à virus Gendarmerie

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Juin 2012 15:21:31

Bonjour !

Même souci que les autres : infection gendarmerie, fichiers locked...

J'ai suivi toutes les étapes précédant l'utilisation du rannoh decryptor.
(nettoyage ac Kaspersky + mbam + drweb + OTL)

Je suis sur que le PC est clean.
Or au moment d'utiliser le programme de décryptage, Je fais la manip nikel (avec fichier intact et crypté)
mais le logiciel me sort un message d'erreur :
" Cannot find decrption key, may be unknown trojan program motification"

J'ai fait des recherches sur le net et personne ne parle de ce message.
Je suis également aller voir le rapport Kaspersky ac lequel je l'ai initialement désinfecté.
Kaspersky me donne deux noms de virus :
- Jorik Totem
- ZAccess

Or poursuivant mes recherches, je m'aperçois que pour ces virus là, il n'est jamais question de décryptage de fichiers...

Si quelqu'un pouvait m'aider ce serait cool

Merci d'avance en tout cas !

Autres pages sur : impossible decrypter fichiers suite virus gendarmerie

a b 8 Sécurité
12 Juin 2012 15:26:57

Bonjour,

Merci c'est plus simple de suivre les désinfections avec un nouveau topic :) 
Tu as le rapport de Kaspersky ?
12 Juin 2012 15:48:20

Extrait du rapport kaspersky :



07/06/2012 16:57:22 Supprimés cheval de Troie Trojan.Win32.Jorik.Totem.is E:\Users\Jean\AppData\Local\Temp\D71B.tmp
07/06/2012 16:57:23 Supprimés cheval de Troie Backdoor.Win32.ZAccess.swa E:\Users\Jean\AppData\Local\Temp\DB12.tmp
07/06/2012 16:57:23 Supprimés cheval de Troie Trojan-Downloader.Java.Agent.rb E:\Users\Jean\AppData\Local\Temp\Main.class
07/06/2012 16:57:37 Réparés cheval de Troie Exploit.Java.CVE-2012-0507.ak E:\Users\Jean\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\5f238796-3546a5b6
07/06/2012 16:57:37 Réparés cheval de Troie Exploit.Java.CVE-2012-0507.ix E:\Users\Jean\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\5f238796-3546a5b6/ba/bb.class
07/06/2012 16:57:37 Réparés cheval de Troie Exploit.Java.CVE-2012-0507.ak E:\Users\Jean\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\5f238796-3546a5b6/ba/ba.class
07/06/2012 16:57:37 Réparés cheval de Troie Exploit.Java.CVE-2012-0507.ak E:\Users\Jean\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\5f238796-3546a5b6/ba/T.class
État : En quarantaine (événements : 4)
07/06/2012 16:57:28 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic E:\Users\Jean\AppData\Local\Temp\msimg32.dll
07/06/2012 16:57:37 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic E:\Users\Jean\AppData\Roaming\Jpbnenqaio\A77A4ECD885E3CE54531.exe
07/06/2012 18:34:09 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic E:\System Volume Information\_restore{C25D2824-5F33-4CBD-A82A-EDFAF9D59DFA}\RP126\A0054052.dll
07/06/2012 17:51:03 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic E:\System Volume Information\_restore{C25D2824-5F33-4CBD-A82A-EDFAF9D59DFA}\RP126\A0054053.exe
Contenus similaires
12 Juin 2012 16:13:16

Rapport Combofix :


ComboFix 12-06-12.01 - Jean 12/06/2012 16:08:23.1.4 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3325.2407 [GMT 2:00]
Lancé depuis: c:\users\Jean\Desktop\Downloads\ComboFix.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-05-12 au 2012-06-12 ))))))))))))))))))))))))))))))))))))
.
.
2012-06-12 14:11 . 2012-06-12 14:11 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-06-12 12:48 . 2012-06-12 12:48 -------- d-----w- C:\_OTL
2012-06-12 09:56 . 2012-06-12 09:56 -------- d--h--w- c:\windows\PIF
2012-06-12 08:06 . 2012-06-12 14:11 -------- d-----w- c:\users\Jean\AppData\Local\temp
2012-06-11 14:48 . 2012-06-11 14:48 -------- d-----w- c:\users\Jean\Doctor Web
2012-06-11 13:59 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
2012-06-11 13:59 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
2012-06-11 13:56 . 2012-06-11 13:56 -------- d-----w- c:\users\Jean\AppData\Local\Macromedia
2012-06-11 13:54 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2012-06-11 13:54 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-11 13:54 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-11 13:54 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2012-06-11 13:54 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2012-06-11 13:54 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2012-06-11 13:54 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2012-06-11 13:54 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-11 13:54 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-11 13:53 . 2012-06-11 13:53 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-09 08:19 . 2012-06-09 08:19 -------- d-----w- c:\users\Jean\AppData\Roaming\Malwarebytes
2012-06-09 08:19 . 2012-06-09 08:19 -------- d-----w- c:\programdata\Malwarebytes
2012-05-30 19:31 . 2012-06-07 14:57 -------- d-----w- c:\users\Jean\AppData\Roaming\Jpbnenqaio
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-11 13:53 . 2011-08-24 14:40 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-26 13:11 . 2011-08-24 13:06 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2011-08-22 19:53 . 2011-08-24 16:30 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-07 1038136]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-08-22 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-24 6111232]
"FujiKeyboard"="c:\acer\Preload\Autorun\DRV\FUJI Keyboard\ABoard.exe" [2008-09-18 79416]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2011-08-22 30192]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-07 1038136]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-16 13584928]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-11 257224]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-11 13:53]
.
2012-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-08-22 22:07]
.
2012-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-08-22 22:07]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp32&d=0811&m=imedia_x4530_fr
mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp32&d=0811&m=imedia_x4530_fr
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.50
FF - ProfilePath - c:\users\Jean\AppData\Roaming\Mozilla\Firefox\Profiles\aqkc7bs5.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-12 16:11
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-06-12 16:12:43
ComboFix-quarantined-files.txt 2012-06-12 14:12
ComboFix2.txt 2012-06-12 08:06
.
Avant-CF: 537 581 973 504 octets libres
Après-CF: 537 560 457 216 octets libres
.
- - End Of File - - 75F390BC22BEA2691088961CB305F554
a b 8 Sécurité
12 Juin 2012 16:25:30

Hmm je pensais qu'il y avait de plus gros restes de Zaccess.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    a b 8 Sécurité
    12 Juin 2012 17:15:49

    Re,

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      [2012/06/07 16:57:37 | 000,000,000 | ---D | M] -- C:\Users\Jean\AppData\Roaming\Jpbnenqaio
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3294433468-2857038606-2661294900-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3294433468-2857038606-2661294900-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
      NetSvcs: Nla - File not found
      NetSvcs: Ntmssvc - File not found
      NetSvcs: NWCWorkstation - File not found
      NetSvcs: Nwsapagent - File not found
      NetSvcs: SRService - File not found
      NetSvcs: WmdmPmSp - File not found
      NetSvcs: LogonHours - File not found
      NetSvcs: PCAudit - File not found
      NetSvcs: helpsvc - File not found
      NetSvcs: uploadmgr - File not found

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge Gmer (de Przemyslaw Gmerek).
    • Dézippe-le dans un dossier dédié ou sur ton Bureau.
    • Déconnecte toi d'Internet puis ferme tous les programmes.
    • Double-clique sur Gmer.exe.
      Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    • Clique sur l'onglet Rootkit.
    • A droite, coche seulement Files, Services & Registry.
    • Clique maintenant sur Scan.
    • Lorsque le scan est terminé, clique sur Copy.
    • Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
    • Le rapport doit alors apparaître.
    • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    13 Juin 2012 10:37:54

    Bonjour !

    Voici les deux scans demandés !

    Scan OTL :

    All processes killed
    ========== OTL ==========
    C:\Users\Jean\AppData\Roaming\Jpbnenqaio folder moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
    Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-21-3294433468-2857038606-2661294900-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-3294433468-2857038606-2661294900-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xporter vers Microsoft Excel\ deleted successfully.
    Nla removed from NetSvcs value successfully!
    Ntmssvc removed from NetSvcs value successfully!
    NWCWorkstation removed from NetSvcs value successfully!
    Nwsapagent removed from NetSvcs value successfully!
    SRService removed from NetSvcs value successfully!
    WmdmPmSp removed from NetSvcs value successfully!
    LogonHours removed from NetSvcs value successfully!
    PCAudit removed from NetSvcs value successfully!
    helpsvc removed from NetSvcs value successfully!
    uploadmgr removed from NetSvcs value successfully!
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users
    -> No Temporary Internet Files cache folder defined!

    User: Default
    -> No Temporary Internet Files cache folder defined!

    User: Default User
    -> No Temporary Internet Files cache folder defined!

    User: Jean
    -> No Temporary Internet Files cache folder defined!

    User: Public
    -> No Temporary Internet Files cache folder defined!

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 0,00 mb


    OTL by OldTimer - Version 3.2.48.0 log created on 06122012_172749

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...




    Scan Gmer :

    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2012-06-13 10:35:26
    Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\0000004c WDC_WD64 rev.01.0
    Running: gmer.exe; Driver: C:\Users\Jean\AppData\Local\Temp\uglyypob.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    .text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x9080B320, 0x3DE7B7, 0xE8000020]

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

    ---- EOF - GMER 1.0.15 ----
    a b 8 Sécurité
    13 Juin 2012 14:15:12

    Tu as une copie saine d'un fichier locked ?
    13 Juin 2012 15:43:15

    Oui par exemple une image par défaut qui se trouve sur vista comme foret ou jardin
    a b 8 Sécurité
    13 Juin 2012 16:38:07

    Si elle est en version locked sur le pc ça peut fonctionner.

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    13 Juin 2012 17:02:48

    C'est à cette étape là que je bloque depuis le début :
    Je lui donne les fichiers sources et locked et il me répond texto :

    " Cannot find decrption key, may be unknown trojan program motification"

    a b 8 Sécurité
    13 Juin 2012 17:09:13

    Tu as essayé de supprimer ta version et recommencer après la correction OTL ?
    13 Juin 2012 17:26:26

    Exactement même message...
    a b 8 Sécurité
    13 Juin 2012 17:33:36

    Tu peux essayer le programme suivant avant de lancer le scan ?

    • Télécharge RKill (de Grinler) et enregistre-le sur ton Bureau.
      /!\ Important -> Quitte tous les programmes en cours /!\
    • Double-clique sur le fichier RKill.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Une fenêtre de l'Invite de commandes s'ouvre brièvement, puis se referme.
    • Copie-colle le contenu du rapport rkill.log dans ta prochaine réponse.

  • NB : Ne pas redémarrer le système après l'utilisation de RKill, passer immédiatement à l'outil suivant.
    a b 8 Sécurité
    13 Juin 2012 17:35:06

    C'était pas plus simple de dire que tu étais sur plusieurs forums ? Au lieu de risquer de foutre en l'air ton pc et nous manquer de respect ?
    edit : essaye de faire ce que Malekal à dit au moins
    13 Juin 2012 17:42:46

    Voici le rapport (qui est vide) :
    Je ne pense vraiment pas que ça vienne de restes d'infections mais plutôt du programme lui même (rannohdecryptor) qui n'arrive pas à décrypter l’algorithme de cryptage de ce virus...
    Mais je n'ai aucune autre solution...



    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 13/06/2012 at 17:40:10.
    Operating System: Windows Vista (TM) Home Premium


    Processes terminated by Rkill or while it was running:



    Rkill completed on 13/06/2012 at 17:40:13.
    a b 8 Sécurité
    13 Juin 2012 17:46:14

    Merci de lire toutes mes réponses :

    Citation :
    C'était pas plus simple de dire que tu étais sur plusieurs forums ? Au lieu de risquer de foutre en l'air ton pc et nous manquer de respect ?
    edit : essaye de faire ce que Malekal à dit au moins

    http://forum.malekal.com/topic38628.html
    13 Juin 2012 17:58:31

    Bon d'abord merci d'avoir pris le temps tout le long de répondre
    Ensuite, je suis désolé mais ce n'est pas parce que je poste le même message sur 2 forums que c'est un manque de respect...Du moins pas selon mes critères...
    Je voulais avoir deux avis différents, voilà tout, je vois pas où est la gêne...
    a b 8 Sécurité
    13 Juin 2012 21:17:35

    Au final tu fais travailler deux bénévoles, qui doivent comprendre pourquoi des trucs apparaissent et disparaissent sans raison.
    Je voulais juste que tu le comprennes, c'était sur le coup de l'énervement. Malekal pourra transmettre les infos de ta variante pour essayer de trouver une solution.
    14 Juin 2012 09:15:25

    Angeldark a dit :
    Au final tu fais travailler deux bénévoles, qui doivent comprendre pourquoi des trucs apparaissent et disparaissent sans raison.


    Je comprend pas trop la deuxième partie de la phrase. Ok pour la première, désolé je ne pensai vraiment pas mal faire.

    Bon en tout cas encore merci d'avoir pris de ton temps. Si je trouve la solution je ne manquerai pas de t'en faire part ;) 

    a b 8 Sécurité
    14 Juin 2012 12:50:16

    Imaginons que je te donne un script à faire et lui t'en donne un autre. Les rapports ne vont pas concorder et on va se poser des questions pour rien.
    Je regarde le sujet sur Malekal ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS