Votre question

[Résolu] Fichier locked suite au virus gendarmerie

Tags :
  • Windows
  • Virus
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Juin 2012 17:55:01

Bonjour à tous,
Cela fais plusieurs semaines que j'ai été infecté par le "virus gendarmerie" ! J'ai réussi à m'en débarasser grâce à Avast. Suite à cela j'ai pu redémarrer mon ordinateur (qui est sous windows ). Mais, depuis ce temps la tout mes fichiers (document, photo, musique etc ...) sont précédés du mot "locked".
Merci d'avance
Cordialement

Autres pages sur : resolu fichier locked suite virus gendarmerie

a c 639 8 Sécurité
a b 9 Windows
16 Juin 2012 18:25:12

bonjour

nous allons vérifier avant que ton pc est bien clean, si tu le veux bien

====================
1)


ZHPDiag de Nicolas Coolman

Télécharge ZHPDiag
deNicolas Coolman sur ton Bureau

Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven
fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

il faut vérifier si la version de zhpdiag est bien à jour.

si elle n'y est pas
clique sur la grosse flèche verte pour la mise à jour de l'outil

Clic sur la petite loupe en haut à gauche pour débuter l'analyse :

L'analyse peut durer une dizaine de minutes

Une fois le scan terminé,

  • clique sur l'icône en forme de disquette
  • et enregistre le fichier sur ton bureau.

    Le rapport généré par l'outil se nomme ZHPDiag.txt,

    Tu hébergeras le fichier contenant ce rapport ici : cjoint

    * Clique sur Parcourir pour rechercher le rapport ZHPDiag.txt
    qui se trouve sur le bureau

    * puis clique sur : Cliquez ici pour déposer le fichier

    * Donne le lien dans le sujet.

    * Il est de type : http://cjoint.com/?jdkmb35QPK

    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport
    pour que je puisse le télécharger et l'analyser


    /!\Information relative à Internet Explorer 9 : /!\

    Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



    Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
    (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


    Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"


    Autre lien de téléchargement de l'outil sans alerte : ZHPDiag.zip (Site de l'éditeur)



    Contenus similaires
    a c 639 8 Sécurité
    a b 9 Windows
    19 Juin 2012 21:28:32

    Miomio51 a dit :
    Voici le rapport :

    Je vous remercie de votre aide et attend la suite de la procédure.


    bonsoir

    ta version de windows est elle officielle ?

    tu es très très très infecté, je ne sais comment ton pc peut encore tourner

    Recommandations pendant la période de désinfection :


    • utilise ton PC le moins possible, l'idéal serait que tu ne l'utilises que pour la désinfection et surtout n'installe aucun autre programme (hormis les outils indiqués)
    • suis bien les instructions dans l'ordre indiquées et n'utilise aucun outil de désinfection de ta propre initiative.
    • signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
    • un blocage est toujours possible pendant la procédure de désinfection
    • sauvegarde toutes tes données personnelles avant de commencer la désinfection ou dès que c'est possible
    • les symptômes ne se manifestent plus, ne veut pas dire que le système est propre, il faut donc aller jusqu'au terme de la désinfection




  • Le pc a été infecté car certains plugins et addons (adobe reader, flash, java ...) n'étaient pas à jour
    les mises à jour se feront en fin de désinfection

    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
    il convient donc dans les jours à venir de surveiller tous vos comptes mail, réseaux sociaux et banque,
    et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs. /!\

    /!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\

    ====================
    1)
    désinstalle tout ce que tu peux dans cette liste par programmes et fonctionnalités

    babylon
    1clickdownload
    conduit
    pricegonh
    iminent
    offerbox
    eorezo

    ====================
    2)

    ===================
    Adwcleaner


    Option Suppression :

    ===================

    * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    * Lance le, clique sur [Suppression]



    * puis patiente le temps du scan.
    * Une fois le scan fini, un rapport s'ouvrira.
    * Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ===================

    3)

    Malwaresbyte's Anti-Malware


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    en cliquant sur Download Now version FREE


    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
      Une fois l'installation et la mise à jour effectuées :

    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
    • Afin de lancer la recherche, clic sur "Rechercher
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

      *_* Attention Deux possibilités s'offrent à toi :

    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

    • Si des infections sont présentes, clic sur " Afficher les résultats"
    • puis sur " Supprimer la sélection ".

    • Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE :
      Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
      accepte en cliquant sur Ok.




  • si au reboot , ton pc reste figé

    il faut faire la combinaison des touches suivantes ==>>

    ctrl+ alt+ suppr
    dans le gestinonnaire de taches
    nouvelle tache
    taper explorer.exe
    entrée

    ==============================
    3)
    remets ici un nouveau rapport zhpdiag










    19 Juin 2012 23:26:24

    1) Il me dit que 1ClickDownloader est correctement désinstéllé mais il reste dans les programmes...
    Les programmes suivants n'éxistent pas dans la liste de "programmes et fonctionnalités" :
    conduit
    pricegonh
    iminent
    offerbox


    Pour les autres, c'est fait.

    2) J'ai posté les rapports sur le même principe que la réponse précédente...
    Voici le rapport d'AdwCleaner : http://cjoint.com/?BFtxwyqeB3F
    3) Et celui de MalwareByte's Anti-Malware : http://cjoint.com/?BFtxwXZfVbo
    4) Et le dernier de zhpdiag : http://cjoint.com/?BFtxxoJ3QYd
    19 Juin 2012 23:30:25

    J'ai oublié de te signaler pour la version de Windows que plusieurs indices m'indique qu'elle ne l'est pas !! Mais j'en ai pas la certitude puisque c'est un PC reconstruit par un collègue de mon ancienne boîte que je ne vois donc plus aujourd'hui... je peux pas lui demander :( 
    a c 639 8 Sécurité
    a b 9 Windows
    20 Juin 2012 14:22:14

    Miomio51 a dit :
    J'ai oublié de te signaler pour la version de Windows que plusieurs indices m'indique qu'elle ne l'est pas !! Mais j'en ai pas la certitude puisque c'est un PC reconstruit par un collègue de mon ancienne boîte que je ne vois donc plus aujourd'hui... je peux pas lui demander :( 


    hello

    je peux te dire que c'est une version piratée

    ========================
    1)

    ZHPFix : nettoyage, le raccourci est sur ton bureau


    • Lance ZHPFix : double clic pour xp
    • pour Windows Vista ou Windows 7, lance le par un clic-droit l'icône zhpfix : exécuter en temps qu'administrateur.
    • Copie les lignes suivantes : entre les étoiles mais sans les étoiles

  • *****************************************************
    O43 - CFD: 15/12/2011 - 13:22:27 - [0,133] ----D C:\Users\Benjamin Amiot\AppData\Roaming\BeNaughtyChat
    O43 - CFD: 07/06/2012 - 17:34:26 - [0] ----D C:\Users\Benjamin Amiot\AppData\Roaming\Byshcri
    O43 - CFD: 11/03/2012 - 18:07:53 - [0,002] ----D C:\Users\Benjamin Amiot\AppData\Roaming\DB-Main
    O43 - CFD: 15/12/2011 - 13:22:21 - [0] ----D C:\Users\Benjamin Amiot\AppData\Roaming\vcards
    O44 - LFC:[MD5.76EDA54AF9F5EDF6A7E92E24A7BA5098] - 19/06/2012 - 21:56:10 ---A- . (...) -- C:\AdwCleaner[S1].txt [25521]
    [MD5.5980FAECF83024065D003A9E5F6FAF8F] [SPRF][27/08/2011] (...) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\defaultCache.reg [1008052]
    [MD5.D01F91E621C52939CF5A34BE7C9D52FA] [SPRF][27/09/2010] (...) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\IncrediMail_MediaBar_2.exe [2466128]
    [MD5.0BDC52BF0EB5D9AE3438C54D56076932] [SPRF][09/08/2011] (...) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\insFC58.tmp.exe [19107840]
    [MD5.FDA696F6443BBAAE99E98885A8CDFF36] [SPRF][15/01/2012] (.Rentabiliweb - Rencontres Hard installator.) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\Messenger-full-installer.exe [6832032]
    [MD5.15F97872BF8D6BBBDCC9F3F23CFD2BC5] [SPRF][19/06/2012] (...) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\Uninst.bat [721]
    [HKCU\Software\Grand Virtual]
    C:\Program Files (x86)\Mozilla Firefox\Extensions\ffxtlbr@babylon.com
    C:\Users\Benjamin Amiot\AppData\Roaming\Mozilla\Firefox\Profiles\extensions\prefs.js (.not file.) => Fichier absent
    O43 - CFD: 28/05/2012 - 17:30:04 - [31,068] ----D C:\Program Files (x86)\Betclic Poker.fr
    O43 - CFD: 05/06/2012 - 03:35:59 - [0,000] ----D C:\Users\Benjamin Amiot\AppData\Local\rencontreshard
    O43 - CFD: 28/05/2012 - 17:30:04 - [31,068] ----D C:\Program Files (x86)\Betclic Poker.fr
    O44 - LFC:[MD5.0319139E87AD89C1F98803203CFBEF31] - 05/06/2012 - 02:18:00 ---A- . (...) -- C:\user.js [237]
    [MD5.3BA3C21D186D6F0AAB95EB232C8A43E7] [SPRF][12/09/2010] (...) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\GLF1A3A.tmp.ConduitEngineSetup.exe [157536]
    [MD5.69843F20BD1D0D0ED608709E746AEE31] [SPRF][18/09/2011] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\tbBit0.dll [4371752]
    [MD5.895C4812245E244B2F81C71BAD0C4E55] [SPRF][12/09/2010] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Benjamin Amiot\AppData\Local\Temp\tbIncr.dll [3863136]
    SYSRESTORE
    EMPTYTEMP
    EMPTYCLSID
    FirewallRAZ

    *****************************************************

    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Les lignes se collent automatiquement dans ZHPFix.
    • vérifier que ce sont les bonnes lignes et rien d'autres

    • Clique sur : Go

    • le bureau va disparaître le temps de la suppression.



  • • Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperai ZHPFix.
    • Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.
    • Redémarre le pc, copie et colle le rapport ZHPFix.txt qui s'affiche

    Note : le rapport est enregistré sous C:\ZHPDiag\ZHPFixReport.txt

    ===================================

    tu recherches un fichier sain ( même nom, même taille) qu'un fichier locked

    un fichier.txt, une image sur ton DD ou clé usb, dd externe

    peu importe , il te faut un fichier sain pour faire la suite

    20 Juin 2012 18:27:39

    Voici le rapport : http://www.cjoint.com/confirm.php?cjoint=BFusxxdL2g9

    En ce qui est du fichier sain, c'est bon je l'ai trouvé mais ce sont des fichiers en .mp3

    Je n'en ai pas trouvé sous d'autres formats.. s'il le faut, j'essaierai de rechercher encore. Je dois bien en avoir un quelqu'un part quand même.

    Que dois-je en faire maintenant?
    a c 639 8 Sécurité
    a b 9 Windows
    20 Juin 2012 19:06:21

    Miomio51 a dit :
    Voici le rapport : http://www.cjoint.com/confirm.php?cjoint=BFusxxdL2g9

    En ce qui est du fichier sain, c'est bon je l'ai trouvé mais ce sont des fichiers en .mp3

    Je n'en ai pas trouvé sous d'autres formats.. s'il le faut, j'essaierai de rechercher encore. Je dois bien en avoir un quelqu'un part quand même.

    Que dois-je en faire maintenant?


    hello

    le fichier mp3 fera l'affaire

    ==================================



    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit ==>> "Exécuter en tant qu'administrateur" )

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan



  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand il te le sera demandé ton fichier mp3

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir"
    et poste simplement le lien obtenu dans ta réponse.

    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi,
    avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci Chantal11 pour la procédure

  • [/color]
    20 Juin 2012 20:22:38

    Les fichiers ont étés récupérés par contre, pas de souci de ce côté là apparemment !
    Encore merci
    a c 639 8 Sécurité
    a b 9 Windows
    20 Juin 2012 20:56:03

    Miomio51 a dit :
    Les fichiers ont étés récupérés par contre, pas de souci de ce côté là apparemment !
    Encore merci


    hello
    ceci m'aurait suffit

    Citation :

    20:10:25.0927 4988 Statistic:
    20:10:25.0927 4988 Processed: 125908
    20:10:25.0927 4988 Suspicious: 0
    20:10:25.0927 4988 Found: 6711
    20:10:25.0927 4988 Decrypted: 6711
    20:10:25.0927 4988 ================================================================================
    20:10:25.0927 4988 Scan finished
    20:10:25.0927 4988 ================================================================================
    20:13:22.0752 0916 Deinitialize success


    c'est parfait du 1er coup
    on a pas fini, enfin surtout toi

    =============================

    SX Check&Update :

    • Télécharge SX Check&Update de igor51
      et enregistre-le sur ton Bureau

    • Ferme toutes les applications, y compris ton navigateur, et désactive ton antivirus

    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • *_* Au menu principal *_*

    • clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert,
      Internet Explorer et Firefox dans ton cas
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/flashplayer/



    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement==>> http://www.java.com/fr/download/
      ==>>désinstalle toutes les autres versions plus anciennes

    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/reader/?promoid=HTEGU

    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre, google chrome pour adobe)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.




  • ========================================
    voilà on touche au but .

    Je ne suis pas là pour te faire la morale, mais fais attention, ne clique pas trop vite, prends le temps de lire les clauses
    et surtout télécharger toujours les outils sur le site de l'éditeur.

    une explication vaut mieux qu'un grand discours

    Je finalise donc la procédure par Quelques précisions, conseils et précautions :




  • ===============================
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
    il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque,
    et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs
    /!\

    Citation :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier"
    (en bas, en forme de crayon) dans ton tout premier message.
    ===>>> Ajoute ensuite [Résolu] à coté du sujet et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert),
    valider une "meilleure réponse",
    ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrits et connectés à la création initiale du sujet peuvent effectuer ces manipulations. /!\






    20 Juin 2012 21:18:04

    Désolé mais encore un petit problème... SXCU ne démarre pas :( 
    le menu principal dont tu me parles ne s'affiche pas... j'éxécute bien en tant qu'administrateur pourtant...
    a c 639 8 Sécurité
    a b 9 Windows
    20 Juin 2012 21:22:00

    Miomio51 a dit :
    Désolé mais encore un petit problème... SXCU ne démarre pas :( 
    le menu principal dont tu me parles ne s'affiche pas... j'éxécute bien en tant qu'administrateur pourtant...


    tu as désactivé ton antivirus? pour mener à bien les mises à jours

    20 Juin 2012 21:29:41

    Oui.

    Avast est désactivé. Un message m'a dit que mon ordinateur n'était plus protégé...
    20 Juin 2012 21:31:43

    Désolé je n'avais pas vu que plusieurs types de protection existait...
    Je les ai toutes arrétés cette fois, voyons si c'est mieux
    20 Juin 2012 21:42:58

    Tout à marché au poils ;) 
    Par contre j'utilise google chrome et non firefox... Tu penses que c'est une mauvaise idée?
    Merci de ton aide, voila le rapport :


    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Benjamin Amiot
    20/06/2012
    21:38:23
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.3.300.257
    Flash Player ActiveX est à jour

    Nom : Mozilla Thunderbird 13.0 (x86 fr)
    Version : 13.0

    Java Information :
    Nom : Java(TM) 7 Update 5
    Version : 7.0.50
    Java(TM) 7 Update 5 est à jour

    Nom : Adobe Reader X (10.1.3) - Français
    Version : 10.1.3
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 8.0.7601.17514
    a c 639 8 Sécurité
    a b 9 Windows
    20 Juin 2012 21:55:16

    Miomio51 a dit :
    Tout à marché au poils ;) 
    Par contre j'utilise google chrome et non firefox... Tu penses que c'est une mauvaise idée?


    Nom : Internet Explorer
    Version : 8.0.7601.17514


    c'est ton choix entre chrome et FF

    par contre IE8 n'est pas à jour, passe même si tu ne l'utilises pas à IE9

    voilà bon vent à toi

    20 Juin 2012 21:57:47

    Merci beaucoup en tout cas !!! Bonne continuation!!
    Ciao ;) 
    a c 639 8 Sécurité
    a b 9 Windows
    21 Juin 2012 13:43:29

    Miomio51 a dit :
    Merci beaucoup en tout cas !!! Bonne continuation!!
    Ciao ;) 


    hello

    n'oublie pas de mettre [Résolu] devant le sujet de ton 1er message

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS