Se connecter / S'enregistrer
Votre question

fichier locked a cause du virus gendarmerie [ résolu ]

Tags :
  • Virus
  • Musique
  • locked
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Juin 2012 12:00:57

Bonjour à tous,

Je suis une nouvelle victime du Virus gendarmerie, la majorité de mes fichiers (images, musique, raccourcis...) ont reçu une nouvelle extansion et sont devenus inutilisables. Pourriez-vous m'aider s'il vous plaît car beaucoup de ces fichiers sont des photos de famille et je ne souhaite pas les perdre.
Merci d'avance pour votre aide

Autres pages sur : fichier locked cause virus gendarmerie resolu

a c 569 8 Sécurité
18 Juin 2012 13:32:03

vyrgyny76 a dit :
Bonjour à tous,

Je suis une nouvelle victime du Virus gendarmerie, la majorité de mes fichiers (images, musique, raccourcis...)
Merci d'avance pour votre aide


bonjour



Le pc a été infecté car certains plugins et addons (adobe reader, flash, java ...) n'étaient pas à jour
les mises à jour se feront en fin de désinfection

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
il convient donc dans les jours à venir de surveiller tous vos comptes mail, réseaux sociaux et banque,
et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs. /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\

Recommandations pendant la période de désinfection :


  • utilise ton PC le moins possible, l'idéal serait que tu ne l'utilises que pour la désinfection et surtout n'installe aucun autre programme (hormis les outils indiqués)
  • suis bien les instructions dans l'ordre indiquées et n'utilise aucun outil de désinfection de ta propre initiative.
  • signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
  • un blocage est toujours possible pendant la procédure de désinfection
  • sauvegarde toutes tes données personnelles avant de commencer la désinfection ou dès que c'est possible ne fais pas pour l'instant
  • les symptômes ne se manifestent plus, cela ne veut pas dire que le système est propre, il faut donc aller jusqu'au terme de la désinfection



  • ===========================
    2)

    ZHPDiag de Nicolas Coolman

    Télécharge ZHPDiag
    deNicolas Coolman sur ton Bureau

    Lance l'outil : double-clique sur ZHPDiag pour XP
    Pour Vista et seven
    fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

    il faut vérifier si la version de zhpdiag est bien à jour.

    si elle n'y est pas
    clique sur la grosse flèche verte pour la mise à jour de l'outil

    Clic sur la petite loupe en haut à gauche pour débuter l'analyse :

    L'analyse peut durer une dizaine de minutes

    Une fois le scan terminé,

  • clique sur l'icône en forme de disquette
  • et enregistre le fichier sur ton bureau.

    Le rapport généré par l'outil se nomme ZHPDiag.txt,

    Tu hébergeras le fichier contenant ce rapport ici : cjoint

    * Clique sur Parcourir pour rechercher le rapport ZHPDiag.txt
    qui se trouve sur le bureau

    * puis clique sur : Cliquez ici pour déposer le fichier

    * Donne le lien dans le sujet.

    * Il est de type : http://cjoint.com/?jdkmb35QPK

    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport
    pour que je puisse le télécharger et l'analyser


    /!\Information relative à Internet Explorer 9 : /!\

    Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



    Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
    (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


    Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"


    Autre lien de téléchargement de l'outil sans alerte : ZHPDiag.zip (Site de l'éditeur)



    18 Juin 2012 18:27:46

    bonsoir,
    merci beaucoup pour ton aide j'ai donc suivi tes instruction et quand j'enregistre mon fichier s'apelle ZHPDiag et non ZHPDiag.txt , est ce que c'est normale.

    Contenus similaires
    a c 569 8 Sécurité
    18 Juin 2012 19:14:11

    vyrgyny76 a dit :
    bonsoir,
    merci beaucoup pour ton aide j'ai donc suivi tes instruction et quand j'enregistre mon fichier s'apelle ZHPDiag et non ZHPDiag.txt , est ce que c'est normale.



    hello

    oui, car tu ne dois pas afficher les extensions des fichiers.

    si tu veux faire apparaitre les extensions

    clique sur démarrer
    panneau de configuration
    options de dossiers
    affichage
    décocher la case ==>> masquer les extensions de fichiers dont le type est connu.



    a c 569 8 Sécurité
    18 Juin 2012 19:44:26

    vyrgyny76 a dit :
    voici mon lien


    hello

    qui t'a fait passer rannoh decryptor et en plus tu l'as pris chez malavidia
    tu t'es fait dépanner sur un autre forum ou tu as essayer tout seul?

    ========================
    1)
    ===================
    Adwcleaner


    Option Suppression :

    ===================

    * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    * Lance le, clique sur [Suppression]



    * puis patiente le temps du scan.
    * Une fois le scan fini, un rapport s'ouvrira.
    * Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ===================

    2)

    Malwaresbyte's Anti-Malware


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    en cliquant sur Download Now version FREE


    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
      Une fois l'installation et la mise à jour effectuées :

    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
    • Afin de lancer la recherche, clic sur "Rechercher
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

      *_* Attention Deux possibilités s'offrent à toi :

    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

    • Si des infections sont présentes, clic sur " Afficher les résultats"
    • puis sur " Supprimer la sélection ".

    • Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE :
      Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
      accepte en cliquant sur Ok.




  • si au reboot , ton pc reste figé

    il faut faire la combinaison des touches suivantes ==>>

    ctrl+ alt+ suppr
    dans le gestinonnaire de taches
    nouvelle tache
    taper explorer.exe
    entrée

    =========================
    3)
    remets un rapport zhpdiag

    ======================

    il y a du boulot à faire, ce n'est pas un pc , c'est un élevage , fais attention à ce que tu fais, tu pourrais y perdre ton pc
    18 Juin 2012 20:25:54

    c'est un ami qui ma supprimé le virus ensuite je ne c'est pas du tout ce qu'il a pu faire je n'etais pas la.
    dois je faire ce que tu ma mis télécharger Adwcleaner, ect....

    18 Juin 2012 20:46:19

    # AdwCleaner v1.609 - Rapport créé le 18/06/2012 à 20:34:19
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : PC - B34C0CC9EB764F1
    # Exécuté depuis : C:\Documents and Settings\PC\Local Settings\Temporary Internet Files\Content.IE5\HMV04ZPY\adwcleaner[1].exe
    # Option [Suppression]


    ***** [Services] *****

    Arrêté & Supprimé : MAJTuto

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\PC\chat-land
    Dossier Supprimé : C:\Documents and Settings\PC\Local Settings\Application Data\Ilivid Player
    Supprimé au redémarrage : C:\Documents and Settings\PC\Local Settings\Application Data\MAJTuto
    Dossier Supprimé : C:\Documents and Settings\PC\Local Settings\Application Data\Tuto4pc
    Dossier Supprimé : C:\Documents and Settings\PC\Application Data\searchquband
    Dossier Supprimé : C:\Documents and Settings\PC\Application Data\Tuto4pc
    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Ask
    Dossier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Tuto4pc
    Dossier Supprimé : C:\Program Files\Tuto4pc

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\searchqutoolbar
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Tuto4PC
    Clé Supprimée : HKCU\Software\Tutorials
    Clé Supprimée : HKLM\SOFTWARE\Tuto4pc
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto Firefox_is1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto4pc_is1
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Tutorials]

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7A66EB91-F7D3-4de2-8CA9-12C12AF3D5F2}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A66EB91-F7D3-4de2-8CA9-12C12AF3D5F2}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7A66EB91-F7D3-4de2-8CA9-12C12AF3D5F2}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7A66EB91-F7D3-4de2-8CA9-12C12AF3D5F2}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/406 --> hxxp://www.google.com

    -\\ Mozilla Firefox v [Impossible d'obtenir la version]

    Nom du profil : default
    Fichier : C:\Documents and Settings\PC\Application Data\Mozilla\Firefox\Profiles\9lnyg19l.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [372 octets] - [18/06/2012 20:32:03]
    AdwCleaner[S2].txt - [4179 octets] - [18/06/2012 20:34:19]

    ########## EOF - C:\AdwCleaner[S2].txt - [4307 octets] ##########
    a c 569 8 Sécurité
    18 Juin 2012 20:47:12

    vyrgyny76 a dit :
    c'est un ami qui ma supprimé le virus ensuite je ne c'est pas du tout ce qu'il a pu faire je n'etais pas la.
    dois je faire ce que tu ma mis télécharger Adwcleaner, ect....



    hello

    je peux te dire que ton ami n'a pas tout supprimé

    oui, fais ce que je te demande , stp

    18 Juin 2012 21:24:35

    bonsoir,
    j'ai donc fait tout ce que tu ma demander et je n'ai rien du tout. j'attend la suite si il y en a une.
    encore merci beaucoup de ton aide.
    a c 569 8 Sécurité
    18 Juin 2012 21:49:49

    vyrgyny76 a dit :
    bonsoir,
    j'ai donc fait tout ce que tu ma demander et je n'ai rien du tout. j'attend la suite si il y en a une.
    encore merci beaucoup de ton aide.


    j'aurai bien aimé voir le rapport de Mbam
    maintenant, remet un rapport zhpdiag

    lorsque la désinfection sera finie, il faudra décrypter tes fichiers locked
    alors tu vois, on a pas fini.
    18 Juin 2012 22:03:56

    c'est quoi le rapport zhpdiag et je fait comment


    a c 569 8 Sécurité
    19 Juin 2012 21:38:53

    vyrgyny76 a dit :
    c'est quoi le rapport zhpdiag et je fait comment




    hello

    tu es où l'ami :D , il faut suivre , c'est la première chose que je t'ai demandé,

    comme c'est toi, je te le remets
    =============================

    1)


    ZHPDiag de Nicolas Coolman

    Télécharge ZHPDiag
    deNicolas Coolman sur ton Bureau

    Lance l'outil : double-clique sur ZHPDiag pour XP
    Pour Vista et seven
    fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

    il faut vérifier si la version de zhpdiag est bien à jour.

    si elle n'y est pas
    clique sur la grosse flèche verte pour la mise à jour de l'outil

    Clic sur la petite loupe en haut à gauche pour débuter l'analyse :

    L'analyse peut durer une dizaine de minutes

    Une fois le scan terminé,

  • clique sur l'icône en forme de disquette
  • et enregistre le fichier sur ton bureau.

    Le rapport généré par l'outil se nomme ZHPDiag.txt,

    Tu hébergeras le fichier contenant ce rapport ici : cjoint

    * Clique sur Parcourir pour rechercher le rapport ZHPDiag.txt
    qui se trouve sur le bureau

    * puis clique sur : Cliquez ici pour déposer le fichier

    * Donne le lien dans le sujet.

    * Il est de type : http://cjoint.com/?jdkmb35QPK

    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport
    pour que je puisse le télécharger et l'analyser


    /!\Information relative à Internet Explorer 9 : /!\

    Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



    Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
    (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


    Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"


    Autre lien de téléchargement de l'outil sans alerte : ZHPDiag.zip (Site de l'éditeur)



    19 Juin 2012 22:20:09

    BONSOIR?
    Il me semble te l'avoir remis ce rapport, je vais te le renvoyer.
    a c 569 8 Sécurité
    20 Juin 2012 14:06:34

    vyrgyny76 a dit :
    J'éspere que c'est bien sa :/ 

    http://cjoint.com/?BFtwxc4yKWd


    hello

    c'est un nouveau rapport zhpdiag que je veux , tu me mets le 1er rapport du 18 juin,
    ce que je souhaite , c'est que tu refasses un scan avec zhpdiag et que me donne le lien de ce nouveau rapport

    as tu compris ?

    a c 569 8 Sécurité
    20 Juin 2012 18:35:46



    bonjour

    tu donnes le lien du rapport sans commentaire, je ne suis pas un robot !!!!!!!!!!!!!
    je suis surpris que Mbam n'ait rien trouvé, tu repasses MBAM après l'avoir mis à jour


    ====================================
    1)
    Malwaresbyte's Anti-Malware


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    en cliquant sur Download Now version FREE


    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
      Une fois l'installation et la mise à jour effectuées :

    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
    • Afin de lancer la recherche, clic sur "Rechercher
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

      *_* Attention Deux possibilités s'offrent à toi :

    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

    • Si des infections sont présentes, clic sur " Afficher les résultats"
    • puis sur " Supprimer la sélection ".

    • Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE :
      Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
      accepte en cliquant sur Ok.




  • si au reboot , ton pc reste figé

    il faut faire la combinaison des touches suivantes ==>>

    ctrl+ alt+ suppr
    dans le gestinonnaire de taches
    nouvelle tache
    taper explorer.exe
    entrée




    ==================================
    2)

    ZHPFix : nettoyage, le raccourci est sur ton bureau


    • Lance ZHPFix : double clic pour xp
    • pour Windows Vista ou Windows 7, lance le par un clic-droit l'icône zhpfix : exécuter en temps qu'administrateur.
    • Copie les lignes suivantes : entre les étoiles mais sans les étoiles

  • *****************************************************
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job
    O42 - Logiciel: Tuto Avast1.0.0.0 - (.Tuto4pc.) [HKLM] -- Tuto Avast_is1
    [HKLM\Software\Classes\TypeLib\{18FB3DED-CD6D-4420-9DD5-8E531BDF666F}]
    [HKLM\Software\Classes\Interface\{8F682661-3653-47FA-8713-9DF7424B6E09}]
    O44 - LFC:[MD5.49F8C272E1DF676721D8C7E367D6A5AE] - 08/04/2012 - 15:57:52 ---A- . (...) -- C:\WINDOWS\system32\winsh324 [960056]
    O44 - LFC:[MD5.422AF55DEE4779F9B613D6A9FC8E6FC5] - 08/04/2012 - 15:57:24 ---A- . (...) -- C:\WINDOWS\system32\winsh323 [960056]
    O44 - LFC:[MD5.7C08E204AA1AA714CFC96487AC533109] - 08/04/2012 - 15:57:00 ---A- . (...) -- C:\WINDOWS\system32\winsh322 [960056]
    O44 - LFC:[MD5.12ACFCA261F8F27D77CE1E9934A12C70] - 08/04/2012 - 15:56:32 ---A- . (...) -- C:\WINDOWS\system32\winsh321 [960056]
    O44 - LFC:[MD5.25B656488F0CB11F9396F1974590B6A9] - 08/04/2012 - 15:55:22 ---A- . (...) -- C:\WINDOWS\system32\winsh320 [960056]
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [RDReminder] . (.Systweak Inc - RegClean Pro.) -- C:\Program Files\RegClean Pro\RegCleanPro.exe
    O4 - HKUS\S-1-5-21-1935655697-152049171-682003330-1003\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-21-1935655697-152049171-682003330-1003\..\Run: [RDReminder] . (.Systweak Inc - RegClean Pro.) -- C:\Program Files\RegClean Pro\RegCleanPro.exe
    O4 - Global Startup: C:\Documents And Settings\PC\Menu Démarrer\Programmes\SymInstallStub.lnk . (...) -- C:\WINDOWS\system32\Macromed\Shockwave 10\SymInstallStub.exe (.not file.)
    O4 - Global Startup: C:\Documents And Settings\PC\Menu Démarrer\Programmes\SymInstallStub.lnk . (...) -- C:\WINDOWS\system32\Macromed\Shockwave 10\SymInstallStub.exe (.not file.)
    [MD5.9C45D5DF20AF3E6E616736ED68C27095] [APT] [RegClean Pro_DEFAULT] (.Systweak Inc.) -- C:\Program Files\RegClean Pro\RegCleanPro.exe
    [MD5.9C45D5DF20AF3E6E616736ED68C27095] [APT] [RegClean Pro_UPDATES] (.Systweak Inc.) -- C:\Program Files\RegClean Pro\RegCleanPro.exe
    O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
    O43 - CFD: 03/06/2012 - 22:54:32 - [51,533] ----D C:\Program Files\Spybot - Search & Destroy
    SYSRESTORE
    EMPTYTEMP
    EMPTYCLSID
    FirewallRAZ


    *****************************************************

    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Les lignes se collent automatiquement dans ZHPFix.
    • vérifier que ce sont les bonnes lignes et rien d'autres

    • Clique sur : Go

    • le bureau va disparaître le temps de la suppression.



  • • Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperai ZHPFix.
    • Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.
    • Redémarre le pc, copie et colle le rapport ZHPFix.txt qui s'affiche

    Note : le rapport est enregistré sous C:\ZHPDiag\ZHPFixReport.txt


    20 Juin 2012 22:37:55

    bonsoir,
    je tenait a m'excuser de t'avoir juste envoyer le rapport je sais bien que tu n'es pas un robot, j'ai donc recommencer ce que tu ma demander en esperant n'avoir fait aucune erreur. et encore merci de ton aide.
    voici le rapport de Mbam:
    Malwarebytes Anti-Malware (Essai) 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.06.20.05

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    PC :: B34C0CC9EB764F1 [administrateur]

    Protection: Activé

    20/06/2012 18:45:18
    mbam-log-2012-06-20 (18-45-18).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 198622
    Temps écoulé: 14 minute(s), 22 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    20 Juin 2012 22:38:54

    voici l'autre :
    Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
    Fichier d'export Registre :
    Run by PC at 20/06/2012 19:18:42
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Web site : http://nicolascoolman.skyrock.com/

    ========== Logiciel(s) ==========
    ABSENT Uninstall Process: c:\program files\tuto4pc\unins001.exe
    SUPPRIME Spybot - Search & Destroy

    ========== Clé(s) du Registre ==========
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tuto Avast_is1]
    SUPPRIME Key*: HKLM\Software\Classes\TypeLib\{18FB3DED-CD6D-4420-9DD5-8E531BDF666F}
    SUPPRIME Key*: HKLM\Software\Classes\Interface\{8F682661-3653-47FA-8713-9DF7424B6E09}

    ========== Valeur(s) du Registre ==========
    ABSENT RunValue: SpybotSD TeaTimer
    SUPPRIME RunValue: RDReminder
    ABSENT RunValue: RDReminder
    SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
    SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
    SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
    SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
    Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

    ========== Dossier(s) ==========

    ========== Fichier(s) ==========
    SUPPRIME File: c:\windows\tasks\regclean pro_default.job
    SUPPRIME File: c:\windows\tasks\regclean pro_updates.job
    SUPPRIME File: c:\windows\system32\winsh324
    SUPPRIME File: c:\windows\system32\winsh323
    SUPPRIME File: c:\windows\system32\winsh322
    SUPPRIME File: c:\windows\system32\winsh321
    SUPPRIME File: c:\windows\system32\winsh320
    ABSENT File: c:\program files\spybot - search & destroy\teatimer.exe
    SUPPRIME File: c:\program files\regclean pro\regcleanpro.exe
    ABSENT File: c:\program files\regclean pro\regcleanpro.exe
    SUPPRIME File: c:\documents and settings\pc\menu démarrer\programmes\syminstallstub.lnk
    ABSENT File: c:\windows\system32\macromed\shockwave 10\syminstallstub.exe
    ABSENT Folder/File: c:\program files\regclean pro\regcleanpro.exe
    SUPPRIME Temporaires Windows:

    ========== Tache planifiée ==========
    SUPPRIME Task: RegClean Pro_DEFAULT
    SUPPRIME Task: RegClean Pro_UPDATES

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès


    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    14 : Fichier(s)
    2 : Logiciel(s)
    2 : Tache planifiée
    1 : Restauration Système


    End of clean in 00mn 45s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 20/06/2012 19:18:42 [2550]
    20 Juin 2012 22:42:20

    re,
    juste te dire que Mbam ne me detecte rien à l'analyse rapide mais de temps en temps une fenetre en bas a droite de l'ecran s'ouvre et me dit que Mbam a bloqué un site malveillant je comprend rien.
    a c 569 8 Sécurité
    21 Juin 2012 13:41:06

    hello

    il te faut trouver avant d'aller plus loin un fichier sain ( le jumeau ou la copie conforme) même nom, même taille qu'un fichier locked
    image, mp3 etc..... surtout ne cherche pas à ouvrir un fichier locked
    lorsque tu 'as trouvé le fichier identique et sain , tu feras ceci

    =================================


    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit ==>> "Exécuter en tant qu'administrateur"

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan



  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand il te le sera demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir"
    et poste simplement le lien obtenu dans ta réponse.

    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi,
    avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci Chantal11 pour la procédure
    21 Juin 2012 16:05:38

    bonjour,
    désolé mais je n'ai rien tout et locked, que faire ????
    a c 569 8 Sécurité
    21 Juin 2012 16:59:36

    vyrgyny76 a dit :
    bonjour,
    désolé mais je n'ai rien tout et locked, que faire ????


    hello vyrgyny


    peux tu être plus clair et no stress

    tu veux dire quoi, quand tu dis ,je n'ai rien du tout?


    si c'est un mp3 ou une photo

    as tu reçu récemment un mail avec une photo, une pièce jointe d'un ami(e) qui aurait cette photo, ce mp3, avi , un fichier texte, doc,xls
    sur ton tel , as tu une photo qui est aussi sur le pc

    bien sûr il faut aussi que le document soit locked



    21 Juin 2012 18:24:39

    bonsoir,
    je vient de me souvenir avoir telecharger des photos sur un site de photos, j'en prend une au hasard que je copie dans mes photos???
    a c 569 8 Sécurité
    21 Juin 2012 19:19:43

    vyrgyny76 a dit :
    bonsoir,
    je vient de me souvenir avoir telecharger des photos sur un site de photos, j'en prend une au hasard que je copie dans mes photos???


    hello

    oui, si tu veux , mais il faut impérativement qu'elle est le même nom, même taille, tout à l'identique
    si vraiment tu ne trouves pas , il y aura peut être une autre solution, mais si tu pouvais trouver une photo, ce serait l'idéal.




    21 Juin 2012 19:44:00

    re,
    j'ai trouvé une musique sur mon portable et qui et bloqué sur mon pc j'ai regardée tout et a l'identique.
    a c 569 8 Sécurité
    21 Juin 2012 20:49:08

    vyrgyny76 a dit :
    re,
    j'ai trouvé une musique sur mon portable et qui et bloqué sur mon pc j'ai regardée tout et a l'identique.


    yessssssssss!!!! c'est très bien

    ce morceau de musique, tu le mets dans un nouveau dossier de ton pc, sans le modifier sans l'ouvrir

    ensuite tu lances l'opération pour décrypter les fichiers
    je te remets la procédure

    ===========================



    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit ==>> "Exécuter en tant qu'administrateur"

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan



  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand il te le sera demandé
    en ce qui te concerne le morceau de musique dont tu m'as parlé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir"
    et poste simplement le lien obtenu dans ta réponse.

    Une aide à l'utilisation ici


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi,
    avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci Chantal11 pour la procédure

    21 Juin 2012 21:09:09

    dsl sa veut pas sa, me dit "equal files are selected".
    a c 569 8 Sécurité
    21 Juin 2012 21:43:03

    vyrgyny76 a dit :
    dsl sa veut pas sa, me dit "equal files are selected".


    hello


    tu lui indiques bien le chemin du fichier non crypté?
    il te demande de lui indiquer le chemin du fichier non crypté , qui la même taille et le même nom

    si ça ne marche pas avec ce fichier sain, essai avec un autre fichier sain

    22 Juin 2012 15:57:11

    bonjour,
    je n'ai rien d'autre de sain, je vais aller chez mes parents prendre des photos de famille que j'avais mise sur leur pc. On verra si cela fonctionne ou pas.
    merci encore pour ton aide.
    a c 569 8 Sécurité
    22 Juin 2012 17:44:21

    vyrgyny76 a dit :
    bonjour,
    je n'ai rien d'autre de sain, je vais aller chez mes parents prendre des photos de famille que j'avais mise sur leur pc. On verra si cela fonctionne ou pas.
    merci encore pour ton aide.

    bonjour vyrgyny
    bonne idée d'alloir voir chez papa maman
    si tu ne trouves pas de photos ou autres, on essaiera autre chose.
    j'aime bien ta ténacité :D 




    22 Juin 2012 22:50:54

    Bonsoir Migau,
    Alors j'ai pris les photos du pc de mes parents puis je les ai copiés sur le mien j'ai mis en route rannohdecryptor et sa veut rien savoir sa me dit, "encrypted file size does not equal original", c'est pourtant les originaux je comprend pas, la je déséspere de pouvoir récupérer photos, vidéos.
    bonne soirée.
    a c 569 8 Sécurité
    23 Juin 2012 06:46:20

    vyrgyny76 a dit :
    Bonsoir Migau,
    Alors j'ai pris les photos du pc de mes parents puis je les ai copiés sur le mien j'ai mis en route rannohdecryptor et sa veut rien savoir sa me dit, "encrypted file size does not equal original", c'est pourtant les originaux je comprend pas, la je déséspere de pouvoir récupérer photos, vidéos.
    bonne soirée.


    hello

    je pars pour le week end.
    on fera autrement lundi après midi.

    touche le moins possible à ton pc ce week end, surtout ne crée et ne supprime pas les points de restauration

    25 Juin 2012 20:01:06

    Bonsoir Migau,
    J'éspere que tu as passé un bon week end, j'attend des nouvelles instructions en ésperant que cela fonctionne.
    A bientot.
    a c 569 8 Sécurité
    25 Juin 2012 20:55:48

    hello

    tu as posté le 18 juin, te souviens tu quel jour , ton pc fut infecté car tu vas rechercher une fichier dans un point de restauration.

    c'est très important de bien comprendre la suite
    ==========================================

    On va donc tenter ceci depuis ton profil habituel :

    • Télécharge ShadowExplorer et enregistre-le sur le Bureau
    • Lance l'installation par clic-droit -> Exécuter en tant qu'administrateur et suis la procédure d'installation
    • Exécute ShadowExplorer par clic-droit -> Exécuter en tant qu'administrateur
    • Tu as donc accès aux copies enregistrées de tes fichiers lors de la création des différents points de restauration.
    • Tu sélectionnes une date récente, mais à un moment où l'infection Gendarmerie n'était pas encore présente
    • Dans l'arborescence qui apparaît, recherche la copie d'un fichier que tu sais crypté maintenant
    • Clic-droit sur ce fichier -> Export et tu l'enregistres bien à part, dans un nouveau dossier que tu crées spécifiquement, sans renommer le fichier


  • Aide en image sur Shadow Explorer

    Tu restes bien connectée sur ce profil sans redémarrer le PC pour l'instant et sans changer de session.

    ===========================================

    si tout se passe correctement
    tu relances ensuite Rannoh decryptor et en prenant comme fichier sain, celui que tu viens d'exporter.

    soit zen , tout va bien se passer si tu suis bien les infos
    26 Juin 2012 08:04:41

    Bonjour,
    ce que tu ma fait telecharger ne fonctionne pas, je pense que je vais arreter car on y arrivera pas, la je perd totalement l'espoir, tout ce que tu me fait faire ne fonctionne pas, désolé la je suis désésperée.
    Merci beaucoup pour ton aide.
    26 Juin 2012 14:02:01

    re,
    quand je lance l'application shadowexplorer j'ai rien j'ai une page blanche, es ce parce que quand je fait demarrer tout les programmes accessoire outil systéme je voit que ma restauration systéme et bloqué aussi.
    a c 569 8 Sécurité
    26 Juin 2012 22:16:22

    hello

    tu n'as pas fait de sauvegarde sur une clé usb ou un DD externe?

    on va essayer d'en trouver un quand même

    regarde si ce fichier a son double locked

    C:\Documents and Settings\PC\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

    il faut peut être afficher les fichiers cachés

    =================================



    Télécharge OTL de Old Timer sur ton bureau.


  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")


  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation,
  • copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    ==============================
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT
    ===========================


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne :
  • dépose le fichier via "parcourir"
  • poste simplement le lien obtenu dans ta réponse.

    Une aide à l'utilisation ici


  • Note : Les rapports sont aussi enregistrés sur le bureau

    a c 569 8 Sécurité
    27 Juin 2012 14:23:42

    hello

    désinstalle shadowexplorer

    il faut que tu me dises quel jour , ton pc fut infecté?
    je vois roquekiller sur ton pc, qui te l'a fait passer le 31 mai ?

    je te demande et tu ne me réponds pas

    regarde si ce fichier a son double locked
    C:\Documents and Settings\PC\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

    tu as bien sur ton pc un fichier d'un fichier locked, un fichier pdf, un fichier .txt

    tu as aussi

    [2012/06/03 14:22:33 | 000,448,816 | ---- | M] (Kaspersky Lab ZAO) -- C:\Documents and Settings\PC\Bureau\rannohdecryptor.exe

    qui te l'a fait installer le 3 juin, personnellement, je te l'ai fait installer le 22 juin 2012.

    fais un petit effort, stp, pour trouver un fichier locked et son frère jumeau sain
    27 Juin 2012 21:41:05

    bonsoir,
    te dire la date exact je ne sais plus mais sa doit etre debut juin. maintenant j'ai deja regarder et le fichier C:\Documents and Settings\PC\Local Settings\Application Data\Microsoft\Wallpaper1.bmp, na pas son double locked et pour rannohdecryptor je t'avait dit que c'etais un ami qui ma enlever le virus mais n'aarive pas a récuperer mes photos. je vais essayer de trouver un fichier locked avec son double sain.

    28 Juin 2012 13:15:39

    bonjour,
    j'ai beau chercher je suis désolé mais j'ai rien tout est locked
    a c 569 8 Sécurité
    28 Juin 2012 13:39:32

    vyrgyny76 a dit :
    bonjour,
    j'ai beau chercher je suis désolé mais j'ai rien tout est locked


    hello

    je me renseigne auprès de collègue.
    en attendant, désinstalle rannoh decryptor et redémarre ton pc .
    installe à nouveau rannoh decryptor.

    essai de décrypter peut être que cette fois ci, il ne te demandera pas de fichier sain

    donc je me renseigne et reviens ver toi.

    tu as des fichiers de musique sur ton pc, tu les as téléchargé ou?
    si oui, télécharge un morceau identique venant de la même source.





    28 Juin 2012 13:54:46

    re,
    c'est bon ne te renseigne pas j'ai ENFIN REUSSI j'ai tt recuperer photo musique ect....
    je sais pas si ya autre chose a faire mais deja un grand merci pour tout le temps que tu as passé avec moi et pour ton aide
    a c 569 8 Sécurité
    28 Juin 2012 14:02:48

    vyrgyny76 a dit :
    re,
    c'est bon ne te renseigne pas j'ai ENFIN REUSSI j'ai tt recuperer photo musique ect....
    je sais pas si ya autre chose a faire mais deja un grand merci pour tout le temps que tu as passé avec moi et pour ton aide


    dis moi comment tu as fait
    par contre , nous n'avons pas fini , il faut mettre à jour ton pc .


    a c 569 8 Sécurité
    28 Juin 2012 15:40:19

    vyrgyny76 a dit :
    re,
    j'ai mis une musique mp3 du mp3 a ma fille et j'ai relancée rannohdecryptor et sa a fonctionné jsuis trop contente
    voici mon lien du rapport
    http://pjjoint.malekal.com/files.php?id=20120628_u9v13b...



    hello
    ceci m'aurait suffit à partager ton bonheur
    la fin du rapport

    13:48:26.0985 0360 Statistic:
    13:48:26.0985 0360 Processed: 53688
    13:48:26.0985 0360 Suspicious: 0
    13:48:26.0985 0360 Found: 3617
    13:48:26.0985 0360 Decrypted: 3617
    13:48:26.0985 0360 ================================================================================
    13:48:26.0985 0360 Scan finished
    13:48:26.0985 0360 ======================

    bravo et bien joué
    ===========================
    maintenant tu vas mettre à jour les programmes qui ont servi au virus gendarmerie à entrer sur ton pc

    ======================================

    SX Check&Update :

    • Télécharge SX Check&Update de igor51
      et enregistre-le sur ton Bureau

    • Ferme toutes les applications, y compris ton navigateur
      désactive également ton antivirus le temps des mises à jours

    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • *_* Au menu principal *_*

    • clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert,
      Internet Explorer et Firefox dans ton cas
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/flashplayer/



    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement==>> http://www.java.com/fr/download/
      ==>>désinstalle toutes les autres versions plus anciennes

    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/reader/?promoid=HTEGU

    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre, google chrome pour adobe)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.




  • ========================================

    voilà on touche au but .

    Je ne suis pas là pour te faire la morale, mais fais attention, ne clique pas trop vite, prends le temps de lire les clauses
    et surtout télécharger toujours les outils sur le site de l'éditeur.

    une explication vaut mieux qu'un grand discours

    Je finalise donc la procédure par Quelques précisions, conseils et précautions :




  • =======================================
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
    il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque,
    et de modifier les mots de passe s'ils étaient enregistré dans vos navigateurs
    /!\

    Citation :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier"
    (en bas, en forme de crayon) dans ton tout premier message.
    ===>>> Ajoute ensuite [Résolu] à coté du sujet et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert),
    valider une "meilleure réponse",
    ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrits et connectés à la création initiale du sujet peuvent effectuer ces manipulations. /!\

    28 Juin 2012 18:50:18

    bonsoir,
    voila j'ai tout mis à jour un grand grand merci pour ton aide.
    virginie
    a c 569 8 Sécurité
    28 Juin 2012 19:55:56

    vyrgyny76 a dit :
    bonsoir,
    voila j'ai tout mis à jour un grand grand merci pour ton aide.
    virginie


    hello

    c'est good

    il te reste à désinstaller tous les outils qui ont servi à la désinfection

    adwcleaner
    ZHpdiag
    Rannoh decriptor

    tu peux garder Mbam que tu passeras de temps en temps sans oublier de le mettre à jour avant le scan.
    bon vent à toi
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS