Se connecter / S'enregistrer
Votre question

fichier locked et virus gendramerie !

Tags :
  • Virus
  • analyse
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Juin 2012 23:11:33

Bonjour à tous ! je suis actuellement sur mon pc infecté et comme beaucoup des sujets sur ce forum je suis atteint par le probleme des fichiers locked ! je ne suis pas tres bon en informatique mais j'ai lu quelques sujets, j'ai telechargé OTL et kapersky rahnnodecryptor mais je ne comprend pas du tout le mecanisme des fichiers cryptés..etc quelqu'un pourrait il m'aider s'il vous plait ?? j'ai deja lancé mon antivirus qui a fait un scan complet dont voici le rapport :



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 16 juin 2012 15:00

La recherche porte sur 3841753 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : FABIEN-PC

Informations de version :
BUILD.DAT : 10.2.0.155 36070 Bytes 25/01/2012 13:28:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03/09/2011 21:36:01
AVSCAN.DLL : 10.0.5.0 56680 Bytes 03/09/2011 21:36:01
LUKE.DLL : 10.3.0.5 45416 Bytes 03/09/2011 21:36:01
LUKERES.DLL : 10.0.0.0 13672 Bytes 06/12/2010 07:48:05
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03/09/2011 21:36:01
AVREG.DLL : 10.3.0.9 88833 Bytes 03/09/2011 21:36:01
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 22:07:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 06:21:33
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 14:14:47
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 19:19:27
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10/05/2012 12:55:45
VBASE006.VDF : 7.11.29.137 2048 Bytes 10/05/2012 12:55:45
VBASE007.VDF : 7.11.29.138 2048 Bytes 10/05/2012 12:55:45
VBASE008.VDF : 7.11.29.139 2048 Bytes 10/05/2012 12:55:45
VBASE009.VDF : 7.11.29.140 2048 Bytes 10/05/2012 12:55:45
VBASE010.VDF : 7.11.29.141 2048 Bytes 10/05/2012 12:55:46
VBASE011.VDF : 7.11.29.142 2048 Bytes 10/05/2012 12:55:46
VBASE012.VDF : 7.11.29.143 2048 Bytes 10/05/2012 12:55:46
VBASE013.VDF : 7.11.29.144 2048 Bytes 10/05/2012 12:55:46
VBASE014.VDF : 7.11.30.3 198144 Bytes 14/05/2012 12:55:47
VBASE015.VDF : 7.11.30.69 186368 Bytes 17/05/2012 12:55:48
VBASE016.VDF : 7.11.30.143 223744 Bytes 21/05/2012 12:55:49
VBASE017.VDF : 7.11.30.207 287744 Bytes 23/05/2012 12:55:50
VBASE018.VDF : 7.11.31.57 188416 Bytes 28/05/2012 12:55:51
VBASE019.VDF : 7.11.31.111 214528 Bytes 30/05/2012 12:55:52
VBASE020.VDF : 7.11.31.151 116736 Bytes 31/05/2012 12:55:53
VBASE021.VDF : 7.11.31.205 134144 Bytes 03/06/2012 12:55:54
VBASE022.VDF : 7.11.32.9 169472 Bytes 05/06/2012 12:55:55
VBASE023.VDF : 7.11.32.85 155648 Bytes 08/06/2012 12:55:56
VBASE024.VDF : 7.11.32.133 127488 Bytes 11/06/2012 12:55:56
VBASE025.VDF : 7.11.32.171 182784 Bytes 12/06/2012 12:55:57
VBASE026.VDF : 7.11.32.251 119296 Bytes 14/06/2012 12:55:58
VBASE027.VDF : 7.11.32.252 2048 Bytes 14/06/2012 12:55:58
VBASE028.VDF : 7.11.32.253 2048 Bytes 14/06/2012 12:55:58
VBASE029.VDF : 7.11.32.254 2048 Bytes 14/06/2012 12:55:58
VBASE030.VDF : 7.11.32.255 2048 Bytes 14/06/2012 12:55:58
VBASE031.VDF : 7.11.33.38 66560 Bytes 16/06/2012 12:55:58
Version du moteur : 8.2.10.92
AEVDF.DLL : 8.1.2.8 106867 Bytes 16/06/2012 12:56:13
AESCRIPT.DLL : 8.1.4.26 450939 Bytes 16/06/2012 12:56:13
AESCN.DLL : 8.1.8.2 131444 Bytes 29/01/2012 20:52:25
AESBX.DLL : 8.2.5.12 606578 Bytes 16/06/2012 12:56:14
AERDL.DLL : 8.1.9.15 639348 Bytes 11/09/2011 12:09:52
AEPACK.DLL : 8.2.16.18 807287 Bytes 16/06/2012 12:56:12
AEOFFICE.DLL : 8.1.2.36 201082 Bytes 16/06/2012 12:56:10
AEHEUR.DLL : 8.1.4.46 4923767 Bytes 16/06/2012 12:56:09
AEHELP.DLL : 8.1.21.0 254326 Bytes 16/06/2012 12:56:02
AEGEN.DLL : 8.1.5.30 422261 Bytes 16/06/2012 12:56:01
AEEXP.DLL : 8.1.0.52 82293 Bytes 16/06/2012 12:56:14
AEEMU.DLL : 8.1.3.0 393589 Bytes 06/12/2010 07:47:31
AECORE.DLL : 8.1.25.10 201080 Bytes 16/06/2012 12:56:00
AEBB.DLL : 8.1.1.0 53618 Bytes 06/12/2010 07:47:30
AVWINLL.DLL : 10.0.0.0 19304 Bytes 06/12/2010 07:47:42
AVPREF.DLL : 10.0.3.2 44904 Bytes 03/09/2011 21:36:01
AVREP.DLL : 10.0.0.10 174120 Bytes 22/05/2011 12:07:53
AVARKT.DLL : 10.0.26.1 255336 Bytes 03/09/2011 21:36:01
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03/09/2011 21:36:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 06/12/2010 07:47:42
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03/09/2011 21:36:00
RCTEXT.DLL : 10.0.64.0 100712 Bytes 03/09/2011 21:36:00

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 16 juin 2012 15:00

La recherche d'objets cachés commence.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@"%windir%\system32\ie4uinit.exe",-732
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\ie4uinit.exe,-734
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\program files (x86)\windows live\messenger\msgslang.dll,-2140
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\unregmp2.exe,-4
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\lpres.dll,-108
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\devicecenter.dll,-1000
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\sud.dll,-1
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\explorer.exe,-7021
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\progra~2\wic4a1~1\photog~1\moviem~2.dll,-1131
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\filemgmt.dll,-2204
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\program files (x86)\windows live\photo gallery\moviemakerlang.dll,-1135
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@%systemroot%\system32\qagentrt.dll,-10
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@%systemroot%\system32\fveui.dll,-843
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@%systemroot%\system32\fveui.dll,-844
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\networkexplorer.dll,-1
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\ntshrui.dll,-103
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\ntshrui.dll,-5112
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\macromed\flash\flashutil64_11_1_102_activex.exe,-101
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\macromed\flash\flashutil64_11_1_102_activex.exe,-101
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\ieframe.dll,-912
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\notepad.exe,-469
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\mmcbase.dll,-130
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@shell32,-10162
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\msxml3r.dll,-2
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\msrating.dll,-3000
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\setupapi.dll,-2000
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\hhctrl.ocx,-452
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\wshext.dll,-4802
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\acppage.dll,-6003
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\program files (x86)\windows media components\encoder\wmexres.dll,-14218
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\ieframe.dll,-10046
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\wshext.dll,-4801
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\unregmp2.exe,-9800
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\windows\system32\unregmp2.exe,-9801
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2AC\D9B7F780\@c:\program files (x86)\apple software update\softwareupdateadmin.dll,-101
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows CE Services\symboliclinkvalue
[REMARQUE] L'entrée d'enregistrement n'est pas visible.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '68' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '30' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '107' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '119' module(s) sont contrôlés
Processus de recherche 'FlashUtil11f_ActiveX.exe' - '57' module(s) sont contrôlés
Processus de recherche 'mscorsvw.exe' - '38' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '147' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '143' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '71' module(s) sont contrôlés
Processus de recherche 'Veilleur.exe' - '56' module(s) sont contrôlés
Processus de recherche 'DPAgent.exe' - '31' module(s) sont contrôlés
Processus de recherche 'ezSharedSvcHost.exe' - '50' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '64' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '81' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '50' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '261' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\Users\Fabien\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VZR309S6\Firefox%20Setup%208.0.1[1].exe
--> Object
[AVERTISSEMENT] Impossible de lire le fichier !
[AVERTISSEMENT] Impossible de lire le fichier !
C:\Users\Fabien\AppData\Local\Temp\0.7535596661297088.exe
--> Object
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
C:\Users\Fabien\AppData\Local\Temp\jar_cache441812581363178985.tmp
[0] Type d'archive: ZIP
--> a/a.class
[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2012-0507.A.47
C:\Users\Fabien\AppData\Local\Temp\mnwreacxso.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.MMC
C:\Users\Fabien\AppData\Local\Temp\msimg32.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen2
C:\Users\Fabien\AppData\Local\Temp\onacmsexrw.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen2
C:\Users\Fabien\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\5aaaa185-6346a7e1
[RESULTAT] Contient le cheval de Troie TR/Dldr.Karagany.I.3
Recherche débutant dans 'D:\' <RECOVERY>
Recherche débutant dans 'E:\' <HP_TOOLS>

Début de la désinfection :
C:\Users\Fabien\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\5aaaa185-6346a7e1
[RESULTAT] Contient le cheval de Troie TR/Dldr.Karagany.I.3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '565e5564.qua' !
C:\Users\Fabien\AppData\Local\Temp\onacmsexrw.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ec97af0.qua' !
C:\Users\Fabien\AppData\Local\Temp\msimg32.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1cee2005.qua' !
C:\Users\Fabien\AppData\Local\Temp\mnwreacxso.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.MMC
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '7acf6fda.qua' !
C:\Users\Fabien\AppData\Local\Temp\jar_cache441812581363178985.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2012-0507.A.47
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '3f5642d7.qua' !
C:\Users\Fabien\AppData\Local\Temp\0.7535596661297088.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '401070c5.qua' !


Fin de la recherche : samedi 16 juin 2012 23:00
Temps nécessaire: 1:51:42 Heure(s)

La recherche a été effectuée intégralement

45128 Les répertoires ont été contrôlés
702308 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
6 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
702302 Fichiers non infectés
2762 Les archives ont été contrôlées
2 Avertissements
41 Consignes
642919 Des objets ont été contrôlés lors du Rootkitscan
36 Des objets cachés ont été trouvés

Autres pages sur : fichier locked virus gendramerie

a c 547 8 Sécurité
17 Juin 2012 10:24:41

Bonjour,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Le pc a été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour , on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 547 8 Sécurité
    17 Juin 2012 15:03:47

    Re,
    C’est notre boulot ;) 

    Quelques traces de l'infection à supprimer puis on décryptera :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O37 - HKU\S-1-5-21-3517414821-2438984616-3951852220-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found
    MsConfig:64bit - StartUpReg: IbmVbyar - hkey= - key= - File not found
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [2012/06/16 14:06:38 | 000,000,000 | ---D | M] -- C:\Users\Fabien\AppData\Roaming\Fttt

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

    Note : l'outil peut avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté, à récupérer sur un autre pc, une clé usb, une sauvegarde, en téléchargement, etc ...

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    18 Juin 2012 00:55:27

    impossible de trouver le rapport de correction d'OTL mais je suppose que cela a bien fonctionnécar le pc a redemarré. Ensuite voici les dernieres lignes du rapport kaprsky :

    Statistic:
    00:42:14.0789 2780 Processed: 277653
    00:42:14.0789 2780 Suspicious: 0
    00:42:14.0789 2780 Found: 31420
    00:42:14.0789 2780 Decrypted: 31419

    A priori tout est ok, normalement je suis definitivement debarassé du virus ou faut il que je mette a jour certains logiciels comme java? En tout cas j'ai recupéré toutes mes données alors un grand MERCI hyunkel30 !!!
    a c 547 8 Sécurité
    18 Juin 2012 10:35:48

    Re,

    Alors on va vérifier deux trois chose, puis ne t'inquiète pas on finira comme il faut avec les mises à jour.

    1) Concernant OTL, regarde si tu ne trouve pas le rapport ici :
    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    2) Concernant le décryptage, il te faut vérifier si les fichiers décrypté sont fonctionnel (essaye plusieurs types de fichiers, photo, vidéo, texte, etc ...)
    Puis on voit qu'un fichier n'a pas pu être décrypté.
    Cherche dans le rapport les occurrences avec le mot "error" et fournis-moi la ou les ligne pour voir

    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS