Se connecter / S'enregistrer
Votre question

[Résolu] fichier locked suite à virus gendarmerie, help, merci

Tags :
  • Virus
  • Trojan
  • Spyware
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Juin 2012 21:56:26

Bonjour,
je pense m'être débarrassé du trojan gendarmerie après plusieurs scan (ccleaner, malwarebytes, spyware fighter, avast) en mode sans échec et en mode normal. J'ai aussi créé un nouveau profil, et suis revenu à une version antérieure du système. L'ordi est me semble t-il un peu lent mais tout semble fonctionné, sauf ... les fichiers mlultimédia (photos et video seulement) passés en locked_nom du fichier.ext. extension aléatoire.

Quelqu'un pourrait-il me guider et m'indiquer un lieu sûr pour télécharger OTL,
d'avance merci !
Cordialement

Autres pages sur : resolu fichier locked suite virus gendarmerie help merci

20 Juin 2012 16:42:38

Bonjour :) 


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.

    22 Juin 2012 12:12:43

    Bonjour j'ai eu le même problème que Baltrap si je suis les étape décrite plus haut ca devrai me débloquer mes programmes?
    Que faire avec les rapports ensuite?
    (Je suis vraiment pas doué en informatique.)
    Merci

    Contenus similaires
    a b 8 Sécurité
    22 Juin 2012 12:23:01

    @Gregoire27 : merci de créer ton propre sujet :) 
    27 Juin 2012 22:43:12

    Sham_Rock a dit :
    Bonjour :) 


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.



    28 Juin 2012 21:10:47

    Bonsoir
    Citation :
    Ne connaissant pas trop le protocole, les liens sont privés (mot de passe en mp)

    et tu me l'envoies quand ce mp?
    c'est la première fois que je vois qu'on peut mettre des mots de passe sur ces logs...
    on perd du temps pour ta désinfection... je te le dis tout de suite, en cas d'infection grave, si tu attends trop, ton pc devient inutilisable...




    28 Juin 2012 21:47:07

    Sham_Rock a dit :
    Bonsoir
    Citation :
    Ne connaissant pas trop le protocole, les liens sont privés (mot de passe en mp)

    et tu me l'envoies quand ce mp?
    c'est la première fois que je vois qu'on peut mettre des mots de passe sur ces logs...
    on perd du temps pour ta désinfection... je te le dis tout de suite, en cas d'infection grave, si tu attends trop, ton pc devient inutilisable...






    28 Juin 2012 21:55:20

    Sham_Rock a dit :
    Bonsoir
    Citation :
    Ne connaissant pas trop le protocole, les liens sont privés (mot de passe en mp)

    et tu me l'envoies quand ce mp?
    c'est la première fois que je vois qu'on peut mettre des mots de passe sur ces logs...
    on perd du temps pour ta désinfection... je te le dis tout de suite, en cas d'infection grave, si tu attends trop, ton pc devient inutilisable...






    28 Juin 2012 21:58:52

    c'est fait
    Ben, j'ai rien inventé, c'est le site au moment du dépot qui propose un lien pubic ou privé. Du coup je pense que le rapport est susceptible de donner des infos sur mon Pc, alors j'ai préféré un lien privé, genre je suis déjà dans la mouise, pas besoin d'en rajouter, j'ignore qui peut encore trainer par la ... ça rend parano les virus de la gendarmerie ... !
    28 Juin 2012 22:01:28

    Bonsoir
    change tes mots de passe...



    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options


  • ++++
    28 Juin 2012 22:30:08

    ça le fait. C'est tout bon. J'ai télécharger rannoh, en lancant le scan il me demande de pointer sur un fichier supérieur à 4xxxb, puis de nouveau de pointer ... je capte pas tout la ... un chemin ?(path), je dois pas faire ce qu'il faut vu qu'il ne se lance pas. Peut tu me guider stp ?
    28 Juin 2012 23:43:17

    well en fait c'est bon, j'avais pas capté qu'il fallait pointer sur un fichier ok et le même en crypté. Après un peu d'archéologie, j'ai trouvé ma perle rare. Le scan tourne ... je poste ça plus tard. Merci beaucoup beaucoup beaucoup, désolé du dérangement
    29 Juin 2012 07:29:14

    Hello !
    excellente surprise ce matin, les fichiers sont délockés !! Un super grand merci, je respire ... Pour les liens, je ne parviens pas à poster le deuxième de 10Mo sur pjjjoint.fr. Le premier : http://pjjoint.malekal.com/files.php?id=20120629_e15h8b...

    Big up sham_rock !
    bonne journée à bientôt peut être
    30 Juin 2012 10:30:45

    Bonjour
    poste juste la fin du rapport (les lignes qui montrent que tout est dévérouillé)
    et poste-le ici, il n'y a rien de confidentiel là dedans :D 

    30 Juin 2012 16:28:51

    Ok, tvb pour moi !! J'ai retrouvé la quasi totalité des fichiers, à un poullème prêt, rien de méchant. Je suis vraiment soulagé, encore fois, un grand merci, à ciao !:pt1cable: 
    les dernières lignes du log :
    02:32:56.0767 0688 Statistic:
    02:32:56.0767 0688 Processed: 238750
    02:32:56.0767 0688 Suspicious: 0
    02:32:56.0767 0688 Found: 36436
    02:32:56.0767 0688 Decrypted: 36415
    02:32:56.0767 0688 ================================================================================
    02:32:56.0767 0688 Scan finished
    02:32:56.0767 0688 ================================================================================
    06:36:40.0145 0628 Deinitialize success
    30 Juin 2012 21:50:06

    Bonsoir
    refais une passe, en comparant un des 21 derniers fichiers locked et en comparant à son homonyme, tu devrais pouvoir tout récupérer :) 
    Citation :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    On va maintenant vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\
    1 Juillet 2012 12:36:41

    ok ok . Pour les fichiers non delocked, laisse tomber c'est vraiment de très rares exceptions ... je peux vivre avec, d'aileurs j'ai refais une passe avec détructions. Vues l'ensemble des données récupérées, y'a pas de soucis.
    Pour le scan, bien vu, c'est du pro, donc le voici, c'est pas joli joli ... à +

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Aucun Service Pack
    UserName : xxxxxxxxx
    01/07/2012
    11:53:28
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.2.202.235
    Flash Player ActiveX n'est pas à jour! (11.3.300.257)


    ---
    Name : FlashPlayer Plugin
    Version : 11.3.300.262
    Flash Player Plugin n'est pas à jour! (11.3.300.257)

    Nom : Mozilla Firefox 5.0 (x86 fr)
    Version : 5.0

    Java Information :
    Nom : Java(TM) 7 Update 5
    Version : 7.0.50
    Java(TM) 7 Update 5 n'est pas à jour! (7.0.40)

    Name : Adobe Reader 9.4.4 - Français
    Version : 9.4.4
    Adobe Reader n'est pas à jour! (9.5.1)

    Nom : Internet Explorer
    Version : 9.0.8112.16421
    1 Juillet 2012 21:03:20

    Bonsoir

    Rien n'est à jour...
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    relance SX Check&Update
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Tutoriel: SX Check&Update
    3 Juillet 2012 06:44:54

    Hello,
    j'ai suivi les conseils du liens malkal en désinstallant puis réinstallant les programmes. Tvb sauf Adobe reader, probablement trop lourd, vu que je suis en wiimax et que ça marche pas top, le telechargement échoue ... Je vais metrouver un CD d'instal. Voila pour le nouveau rapport :

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Aucun Service Pack
    UserName : xxxxxx
    03/07/2012
    06:37:13
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer Plugin
    Version : 11.3.300.262
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 5.0 (x86 fr)
    Version : 5.0

    Java Information :
    Nom : Java(TM) 7 Update 5
    Version : 7.0.50
    Java(TM) 7 Update 5 est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    Merci pour ta patience,
    cordialement
    3 Juillet 2012 21:02:29

    Bonsoir



    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 

    ++++++++
    3 Juillet 2012 22:28:49

    C'est Super pro, merci beaucoup !
    Je suis ravi du dépannage
    5 Juillet 2012 21:29:48

    de rien
    bon surf !
    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS