Se connecter / S'enregistrer
Votre question

Infection par le virus gendarmerie, fichiers bloqués !!!

Tags :
  • Virus
  • Pdf
  • Style
  • Jpeg
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juillet 2012 16:58:18

Bonjour forumeurs,

Je viens vers vous car je suis en détresse !!!!
Tous mes fichiers (pdf, .jpeg, doc....) sont "locked" du style locked-Présentation.pdf.pkly.
J'ai recherché sur internet et apparemment cela serait le virus "gendarme".
Je ne sais pas du tout quoi faire.
Si vous pouvez m'aider, je vous en serais reconnaissant.

Merci beaucoup

Michael

Autres pages sur : infection virus gendarmerie fichiers bloques

6 Juillet 2012 22:13:53

Bonsoir
on va commencer par voir si l'infection est encore active.


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.

    Contenus similaires
    11 Juillet 2012 11:56:24

    Bonjour



    • Rends-toi sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner[R].txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner[R].txt


      Tutoriel: AdwCleaner (Xplode)



  • <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>*
    14 Juillet 2012 16:58:49

    Bonjour


    • Ferme toutes les applications, y compris ton navigateur
    • Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt

      Tutoriel: AdwCleaner (Xplode)


  • <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    25 Août 2012 22:47:04

    Bonsoir
    j'étais en vacances...
    tu en es où?
    27 Août 2012 17:06:55

    Bonjour,

    J'espère que vous avez passé de bonnes vacances :) 
    Bé, en fait, j'en suis toujours au même point. J'attendais votre réponse lol

    Michael
    27 Août 2012 17:16:49

    Bonjour
    1 mois et demie d'attente, tu es quelqu'un de patient ! Tu aurais dû envoyer un message privé à un autre helper, il t'aurait aidé. :) 
    Bon, on va essayer de résoudre ton souci avant Noël :D 
    reposte un rapport OTL pour voir où on en est.
    28 Août 2012 22:05:35

    Bonsoir :) 

    étape 1


  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\5.9\iobitToolbarIE.dll File not found
    O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File not found
    O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\5.9\iobitToolbarIE.dll File not found
    O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)
    O4 - HKCU..\Run: [Badoo Desktop] C:\Documents and Settings\All Users\Application Data\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe File not found
    O4 - HKCU..\Run: [sunuradiotv] C:\Program Files\sunugraf\sunuradiotv\iconebarre.exe (sunugraf)
    O32 - AutoRun File - [2009/12/01 12:51:09 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
    O33 - MountPoints2\{08610bf6-e597-11de-a405-0016d4f55bb9}\Shell\AutoRun\command - "" = E:\MENEPALE///sisatecure.exe
    O33 - MountPoints2\{08610bf6-e597-11de-a405-0016d4f55bb9}\Shell\open\command - "" = E:\MENEPALE///sisatecure.exe
    O33 - MountPoints2\{c31a818a-6430-11df-a51c-0016d4f55bb9}\Shell\AutoRun\command - "" = mantec/mantec32.exe
    O33 - MountPoints2\{c31a818a-6430-11df-a51c-0016d4f55bb9}\Shell\explore\command - "" = mantec/mantec32.exe
    O33 - MountPoints2\{c31a818a-6430-11df-a51c-0016d4f55bb9}\Shell\open\command - "" = .\mantec/mantec32.exe

    @Alternate Data Stream - 231 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0FF263E8


    :files
    C:\Documents and Settings\All Users\Application Data\IObit

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.

    étape 2



    Citation :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    ++


    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options


  • ++++
    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS