Se connecter / S'enregistrer
Votre question

resolu plein de fichiers locked

Tags :
  • Virus
  • photo
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Juin 2012 23:35:07

Bonjour,

j'ai été victime aussi du virus gendarmerie et j'ai quand même reussi a m'en sortir avec une ancienne restauration (02/12).
Maintenant,je remarque que j'ai plein de fichiers locked (photos,videos,....)
Ca m'embete un peu car ce sont des documents auxquels je tiens beaucoup.

Est-ce que quelqu'un pourrait me donner un coup de main SVp?

Autres pages sur : resolu plein fichiers locked

a c 547 8 Sécurité
a b w Photo
13 Juin 2012 12:03:05

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


1) Supprime les programmes suivants dans ta liste des programmes (si présents) :

- McAfee Security Scan Plus (inutile)
- PriceGong 2.5.4 (adware : logiciel publicitaire)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 547 8 Sécurité
    a b w Photo
    13 Juin 2012 22:28:37

    Re,

    Ok plus de trace de l'infection, on va juste nettoyer quelques restes puis on passe au décryptage :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    CHR - Extension: PriceGong = C:\Users\Maison\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok\5.6.2_0\
    O8:64bit: - Extra context menu item: Rechercher sur le Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
    O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
    [2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]

    :Files
    C:\Program Files (x86)\SweetIM

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

    Note : l'outil pourrait avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté, issu d'un autre pc, d'une sauvegarde, d'une clé sub, d'un téléchargement, etc ... rapatrie-le sur le pc au cas où

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté s'il le demande

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    14 Juin 2012 18:33:27

    Salut,
    j'ai relancé OTL et voici le rapport:
    http://pjjoint.malekal.com/files.php?id=20120614_i7i7f1...

    Par contre,ca veut dire quoi:ne lancez pas OTL en mode sandbox ?

    Quand je fait SCAN sur RannohDecryptor,il m'affiche un message:

    original copy of at least one of encryptedfiles larger than 4096 bytes is required for successfull decryption.You need to specify path to the file and to encrypted copy after pressing the button continue.

    Je ne comprend pas trop ce qu'il faut faire:l'outil pourrait avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté, issu d'un autre pc, d'une sauvegarde, d'une clé sub, d'un téléchargement, etc ... rapatrie-le sur le pc au cas où.

    Merci pour ton aide.
    A bientôt.



    a c 547 8 Sécurité
    a b w Photo
    14 Juin 2012 22:05:50

    Re,

    Citation :
    Par contre,ca veut dire quoi:ne lancez pas OTL en mode sandbox ?


    Certaines solution de sécurité et antivirus comporte un mode "bac à sable" (sandbox), qui lance un exécutable (programme), dans un environnement "fermé" pour éviter les intéraction possiblement dangereuse avec le système, ceci empêche alors un outil comme OTL d'effectuer ses corrections.
    Apparemment vu le rapport, ce n'est pas le cas, donc ok.

    Citation :
    Quand je fait SCAN sur RannohDecryptor,il m'affiche un message:

    original copy of at least one of encryptedfiles larger than 4096 bytes is required for successfull decryption.You need to specify path to the file and to encrypted copy after pressing the button continue.


    C'est en rapport avec la phrase dans la procédure :
    Citation :
    L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté s'il le demande


    Et donc avec ce que je te demandais :
    Citation :
    l'outil pourrait avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté, issu d'un autre pc, d'une sauvegarde, d'une clé sub, d'un téléchargement, etc ... rapatrie-le sur le pc au cas où.


    L'outil nécessite s'il ne trouve pas de lui même la clé de cryptage un fichier sain (donc non crypté) à comparer avec un fichier crypté.

    à ce moment là, il faut que tu lui indiques ce fameux fichier sain, que tu dois récupérer d'un autre pc, d'une sauvegarde ou quoi que ce soit, qui sera une copie non-modifié d'un fichier sur ton pc qui est bloqué (une photo, etc ...)

    Tu comprends ?
    14 Juin 2012 22:47:17

    Re,
    merci beaucoup hyunkel30.

    J'ai reussi à trouver un fichier sain et le logiciel etait en train de scanner,donc du coup ,pas eu le temps de te repondre pour te dire que j'avait reussi à lancer le scan.
    Donc,voici les dernieres lignes du rapport:

    22:31:17.0244 3928 Processing file: E:\F1\audio\dictionaries\dd_music_orig\locked-mus_r_paddock.WIP.rhpl
    22:31:18.0383 3928 ProcessDriveEnumEx: Drive F:\ type 3:0
    22:31:18.0383 3928
    22:31:18.0383 3928 Statistic:
    22:31:18.0383 3928 Processed: 105442
    22:31:18.0383 3928 Suspicious: 0
    22:31:18.0383 3928 Found: 1177
    22:31:18.0383 3928 Decrypted: 1175
    22:31:18.0383 3928 ================================================================================
    22:31:18.0383 3928 Scan finished
    22:31:18.0383 3928 ================================================================================
    22:37:43.0513 2204 Deinitialize success


    Par contre,j'ai une partition nommée F (où il y a plein de photos) qui n'as pas été scannée et du coup,c'est ce qui m'interesse le plus.

    Comment ca ce fait qu'il n'as pas scanné cette partition?

    Merci.a+
    14 Juin 2012 23:04:46

    Re,

    ensuite,pour effacer ces fameux fichiers locked,il faut donc relancer un scan encochant l'option Delete crypted files.....
    C'est bien ca?

    merci,a+
    a c 547 8 Sécurité
    a b w Photo
    15 Juin 2012 10:05:14

    Re,

    Alors pour la première passe, il y a deux fichiers qui n'ont pas été décryptés, trouve dans le rapport les lignes comportant la mention "error" et copie-les moi.

    Ensuite :
    Citation :
    Par contre,j'ai une partition nommée F (où il y a plein de photos) qui n'as pas été scannée et du coup,c'est ce qui m'interesse le plus.

    Comment ca ce fait qu'il n'as pas scanné cette partition?


    As-tu bien coché le disque F: dans les paramètres ?
    Citation :
    Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK


    Citation :
    ensuite,pour effacer ces fameux fichiers locked,il faut donc relancer un scan encochant l'option Delete crypted files.....


    Oui, mais attend qu'on soit certain que tous est décrypté et que les fichiers décryptés soient fonctionnels ;) 

    :jap: 
    15 Juin 2012 12:48:23

    Salut,
    voici les 2 lignes ou il y a erreur:
    CopyFile(D:\Resident evil\sr-reorc\locked-sr-reorc.iso.twgl, D:\Resident evil\sr-reorc\sr-reorc.iso) error 112
    CopyFile(D:\Sniper elite\Sniper.Elite.V2-SKIDROW\locked-sr-sev2.iso.zoqn, D:\Sniper elite\Sniper.Elite.V2-SKIDROW\sr-sev2.iso) error 112

    Ensuite dans le logiciel,j'ai selectionné hard drives et removal drives.

    Je comprend pas pourquoi il n'a pas scanné le disque F.

    Merci,a+

    a c 547 8 Sécurité
    a b w Photo
    15 Juin 2012 14:28:04

    Re,

    L'erreur montre un disque plein normalement, donc vérifie les fichier décrypté, s'ils sont ok, relance l'outil avec l'option de suppression des fichiers "locked" cela fera de la place et tu pourras décrypter ces deux fichiers manquant.

    Pour le lecteur F:, c'est quoi ? Une partition d'un disque dur ? un disque dur externe ? une clé usb ? etc ?
    Si disque dur externe ou clé usb, il n'y a pas de protection dessus ?
    15 Juin 2012 22:02:15

    Ok
    J'ai effacé manuellement certains fichiers puis relancer l'outil.
    Le lecteur F est une partition du disque dur.

    Merci,a+
    a c 547 8 Sécurité
    a b w Photo
    15 Juin 2012 22:18:08

    Re,

    L'analyse et le décryptages sont toujours en cours ?
    Tu me donneras les dernières lignes du rapport comme la dernière fois pour voir.

    Pour le disque F:, cela m'étonne.
    Donne-moi le début du rapport de décryptage pour voir.
    15 Juin 2012 23:39:18

    Voici la fin du rapport,
    2:40:56.0962 2536 Processing file: F:\Photos1\2011-08-13\locked-P1050448.JPG.rcjl
    22:40:57.0118 2536 ProcessDriveEnumEx: Drive G:\ type 3:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive H:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive I:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive J:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive K:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive L:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive M:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive N:\ type 5:0
    22:40:57.0149 2536 ProcessDriveEnumEx: Drive O:\ type 5:0
    22:40:57.0149 2536
    22:40:57.0149 2536 Statistic:
    22:40:57.0149 2536 Processed: 163984
    22:40:57.0149 2536 Suspicious: 0
    22:40:57.0149 2536 Found: 19949
    22:40:57.0149 2536 Decrypted: 14777
    22:40:57.0149 2536 ================================================================================
    22:40:57.0149 2536 Scan finished
    22:40:57.0149 2536 ================================================================================
    22:49:34.0196 4120 Deinitialize success

    Appremment,il y a plein d'erreur dans la partition E car manque espace disque.
    Pour le disque F,c'est bon,j'ai recuperé mes photos et j'ai effacé les fichiers locked manuellement.

    Je te remercie encore,c'est super !!!!!!!!!!!!

    Ensuite,il faut faire autre chose ou pas.

    Merci,a+
    16 Juin 2012 00:55:52

    Re,
    apres mon dernier scan,voici le rapport:

    00:51:29.0278 4828 Statistic:
    00:51:29.0278 4828 Processed: 178166
    00:51:29.0278 4828 Suspicious: 0
    00:51:29.0278 4828 Found: 11707
    00:51:29.0278 4828 Decrypted: 11707
    00:51:29.0278 4828 ================================================================================
    00:51:29.0278 4828 Scan finished
    00:51:29.0278 4828 ================================================================================
    00:51:46.0094 2432 Deinitialize success

    Là,je pense que c'est bon,j'ai recuperé tout ce que je voulais.

    Que faut-il faire après?

    Merci,a+
    a c 547 8 Sécurité
    a b w Photo
    16 Juin 2012 11:40:49

    Re,

    Oui la place manque rapidement puisqu'il double le nombre de fichier.
    Cela semble ok oui sur le dernier rapport.

    Si tu as bien vérifié que les fichiers décryptés sont utiisable, et si ce n'est pas déjà fais de partout, tu peux relancer l'outil avec l'option de suppression des fichiers "locked"

    Ensuite, on conclu :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement RannohDecryotor.exe


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

    /!\ Cette étape est très importante, car tu as été infecté à cause du fait que les logiciels suivant n'étaient pas à jour sur ton pc /!\

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    16 Juin 2012 14:09:59

    Ok

    Merci pour tout,a bientôt.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS