Se connecter / S'enregistrer
Votre question

HELP .fausse page de gendarmerie, fichiers "locked"

Tags :
  • photo
  • Trojan
  • Avira
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Juin 2012 22:51:22

Bonjour à tout le monde,

j'ai été infecté par la fameuse fausse page de gendarmerie et depuis toutes mes photos personnelles , et des musiques ont été renommés et bloqués impossible de les ouvrir , j'ai effectué un scan avec avira qui a détecté un trojan que j'ai supprimé mais mes fichiers sont toujours "locked" pouvez vous m'aider s'il vous plaît car je tiens énormément aux photos dont je n'ai plus accès et j'aimerais vraiment pouvoir les récupérer ainsi que les musiques et autres videos bloquées , je vous remercie à l'avance pour vos aides et vos réponses.

RAFA

Autres pages sur : help fausse page gendarmerie fichiers locked

a b 8 Sécurité
17 Juin 2012 23:20:15

Bonjour,

Si tu avais maintenu à jour tes logiciels, tu n'aurais pas eu ce prob.
On va voir s'il y a des restes, on décrypter et on sécurise au final.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    m
    0
    l
    18 Juin 2012 00:03:57

    bonjour, je viens d'effectuer l'analyse et j'ai posté les deux rapport comme indiqué.
    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    18 Juin 2012 00:08:54

    Euh il nous faut les liens hein :$
    m
    0
    l
    18 Juin 2012 00:39:39

    je viens d'utiliser le "service de rapport en ligne" en transmettant les fichiers , est ce bon ou dois je procéder autrement ? merci ^^
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 00:51:28

    Une fois que tu as transmis le rapport sur le service en ligne, il te donne le lien des rapports.
    Tu dois me fournir ces liens. J'ai donné une aide dans la procédure : http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 10:32:59

    Re,

    C'est ok maintenant :) 

    Tu as une copie saine d'un fichier locked ?

    Désinstalle si possible :
    Spybot - Search & Destroy, obsolète

    Restaure ton fichier HOSTS :
    http://www.commentcamarche.net/faq/5993-modifier-son-fi...

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      PRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
      IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2207610
      IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
      IE - HKU\S-1-5-21-675841398-4076161109-3937169819-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
      IE - HKU\S-1-5-21-675841398-4076161109-3937169819-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2207610
      O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
      O7 - HKU\S-1-5-21-675841398-4076161109-3937169819-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
      [2012/06/17 22:17:30 | 000,000,000 | ---D | C] -- C:\Users\TEMP.PC-de-weezy.025\AppData\Roaming\Xi
      [2012/06/05 18:35:17 | 000,000,000 | ---D | C] -- C:\ProgramData\jsztpilrflfyrvv
      [2012/06/05 18:35:17 | 000,000,448 | ---- | M] () -- C:\ProgramData\pideqiiinzrhhfn

      :Files
      C:\Program Files (x86)\Spybot - Search & Destroy
      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    18 Juin 2012 12:03:04

    bonjour , non je n'ai pas de copie saine, je ne pense pas . je viens d’aller sur la page où se trouve les logiciels pour restaurer et quand j'essaye de télécharger mon antivirus le bloque comme une mauvaise intrusion , dois je la contourner ?
    m
    0
    l
    18 Juin 2012 16:28:24

    quand j'effectue la correction avec OTL , (3 fois que j'effectue la correction) microsoft m'affiche "OTL a cesser de fonctionner " et il me ferme le logiciel . que dois je faire ?

    merci
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 18:23:41

    Pourquoi tu parles de ZHPDiag ? on t'aide sur un autre forum ? tu mets en péril ton pc si tu fais des procédures partout..
    m
    0
    l
    18 Juin 2012 18:40:37

    ah non pas du tout dans le lien sur les fichiers HOSTS que tu as communiqué il est indiqué :
    "Pour restaurer le fichier hosts à son état d'origine, vous pouvez utiliser l'un de ces programmes"

    et ZHPDIAg en fait parti, les premiers logiciels sont détectés par mon antivirus comme des virus .

    et quand je lance OTL , en analyse out se passe bien , mais dès que je mets correction au bout d'un certain il plante et me dit "OTl a cesser de fonctionner".

    que dois je faire?merci
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 18:53:51

    Tu peux refaire une analyse OTL comme au début, on va voir s'il a fait quelque chose.
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 21:51:24

    Refais avec une correction avec me script suivant :
    :OTL
    FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
    O3 - HKLM\..\Toolbar: (NetXfer) - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files (x86)\Xi\NetXfer\NXToolBar.dll (Xi)
    O2 - BHO: (NXIECatcher Class) - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files (x86)\Xi\NetXfer\NXIEHelper.dll (Xi)
    [2012/06/05 18:35:17 | 000,000,000 | ---D | C] -- C:\ProgramData\jsztpilrflfyrvv
    [2012/06/05 18:35:17 | 000,000,448 | ---- | M] () -- C:\ProgramData\pideqiiinzrhhfn

    :reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{01C785B0-FFEC-435B-B8F1-497FE95F969D}" =-
    "{B9E092F3-C852-4D5F-98B7-0FBC1EDA6F39}" =-

    :files
    C:\Program Files (x86)\Xi\
    :Commands
    [RESETHOSTS]
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 22:04:03

    J'ai demandé une correction là :) 
    m
    0
    l
    a b 8 Sécurité
    18 Juin 2012 22:33:44

    Tu es certain de ne pas avoir une copie saine ? par exemple une photo sur une clé USB qui est en version locked sur ton pc
    m
    0
    l
    18 Juin 2012 23:23:28

    si je viens d'en trouver une , que dois je faire ,? vais je arriver a récupérer toutes les photos meme si je ne l'ai est pas en double ?
    m
    0
    l
    19 Juin 2012 23:41:13

    pas de réponses ????
    m
    0
    l
    a b 8 Sécurité
    20 Juin 2012 21:39:27

    Désolé du retard j'ai du m'absenter une journée. Encore là ?

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    m
    0
    l
    21 Juin 2012 19:16:04

    bonjour , non il y a pas de soucis je pensais que tu m'avais oublié:)  j'ai fait comme tu m'as dit et "super j'ai récupérer les photos et vidéos mais j'ai encore les fichiers bloquées qui sont sur mon ordi , est ce que je peux les effacer en toute tranquillités ou est ce que ça va altérer les autres documents ?
    m
    0
    l
    a b 8 Sécurité
    22 Juin 2012 10:59:50

    Si tu as vérifié que tes fichiers fonctionnent, tu peux le faire oui :
    Après vérification des fichiers, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Il faut sécuriser le pc maintenant.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


  • On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS