Se connecter / S'enregistrer
Votre question

fichiers locked gendarmerie

Tags :
  • Vincent
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Août 2012 19:02:48

Bonjour,à tous,
J'ai suivi la procédure décrite par hyunkel30 dans un post précédent
les liens vers les fichiers sont :
fichier OTL http://pjjoint.malekal.com/files.php?id=20120831_p6p8f1...

fichier extra http://pjjoint.malekal.com/files.php?id=20120831_d11g13...
Pourriez vous m'aider pour déverrouiller les fichiers locked qui sont essentiellement de photos sur le bureau et sur un disque dur dédié.
merci d'avance
vincent

Autres pages sur : fichiers locked gendarmerie

a c 582 8 Sécurité
1 Septembre 2012 14:30:45

Bonjour,

Ce n'est pas la seule infection sur ce pc ...

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) SE Runtime Environment 6 Update 1
- Java(TM) 6 Update 2
- Java(TM) 6 Update 3
- Java(TM) 6 Update 5 (versions obsolètes : tu possèdes une plus récente)
- Bing Bar (barre d'outil, sauf réelle utilité)
- Bazooka Spyware Scanner (inutile ... la preuve, tu es là)
- Language Pack for Ad-aware 6 / Ad-aware 6 Professional (inutile et obsolète, la preuve, tu as des adwares sur ce pc)

- Favorit (adware)

2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O3 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
    O3 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
    O4 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003..\Run: [3cel21f1px] C:\Documents and Settings\Propriétaire\3cel21f1px.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\S-1-5-21-2025429265-1292428093-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O33 - MountPoints2\{e1dcfc96-ed19-11dc-b5bf-005070345672}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{e1dcfc96-ed19-11dc-b5bf-005070345672}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{e48c517c-10bc-11d9-b02d-005070345672}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{e48c517c-10bc-11d9-b02d-005070345672}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{f5ba9897-9350-11db-b3c0-005070345672}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{f5ba9897-9350-11db-b3c0-005070345672}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    [2012/05/24 23:26:52 | 000,018,944 | ---- | C] () -- C:\WINDOWS\Installer\{b2d56c1f-c037-6c20-74f3-92976258f577}\U\800000cb.@
    [2012/05/24 23:26:52 | 000,012,288 | ---- | C] () -- C:\WINDOWS\Installer\{b2d56c1f-c037-6c20-74f3-92976258f577}\U\80000000.@
    [2012/05/24 23:26:51 | 000,001,648 | ---- | C] () -- C:\WINDOWS\Installer\{b2d56c1f-c037-6c20-74f3-92976258f577}\U\00000001.@
    [2010/08/22 08:32:53 | 000,298,550 | ---- | C] () -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\amylxk_nav.dat
    [2010/08/22 08:32:53 | 000,005,184 | ---- | C] () -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\amylxk_navps.dat
    [2010/08/22 08:32:53 | 000,004,466 | ---- | C] () -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\amylxk.dat
    [2002/08/30 14:00:00 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{b2d56c1f-c037-6c20-74f3-92976258f577}\@
    [2002/08/30 14:00:00 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\{b2d56c1f-c037-6c20-74f3-92976258f577}\@
    [2005/05/13 21:05:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    m
    0
    l
    11 Septembre 2012 20:14:38

    Bonjour,
    Merci Huynkel
    J'ai suivi à la lettre tes instructions et voici les rapports
    fichier OTL
    http://pjjoint.malekal.com/files.php?id=20120911_d8z14i...

    fichier combofix
    http://pjjoint.malekal.com/files.php?id=20120911_u915j9...

    Je n'avais pas pu desinstaller Favorit au préalable

    Pour combofix, quand il m'a demandé d'installer la console de récupération, je ne l'ai pas fait puisque j'étais déconnecté d'internet. Dis moi si je dois recommencer.

    Merci d'avance
    Vincent
    PS : je n'ai plus d'antivirus actif sur ce PC.
    m
    0
    l
    Contenus similaires
    a c 582 8 Sécurité
    11 Septembre 2012 21:43:51

    Re,

    Oui, il aurait fallu lui permettre de l'installer, mais pas grave, c'est trop tard maintenant (je l'avais pourtant mentionné dans ma procédure)

    à suivre :

    1) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Recherche.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    Pour le décryptage des fichiers, nous aurons besoin d'une copie saine et non modifiée d'un des fichiers cryptés, issu d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc ... (l'outil en aura besoin pour comparaison)
    Prépare-le, je te donnerais la procédure ensuite.
    m
    0
    l
    a c 582 8 Sécurité
    12 Septembre 2012 22:46:07

    Re,

    Ok pour les rapports.

    On passe au décryptage :

    Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    m
    0
    l
    18 Septembre 2012 19:51:19

    Processed: 81309
    21:16:16.0875 0704 Suspicious: 0
    21:16:16.0875 0704 Found: 7184
    21:16:16.0875 0704 Decrypted: 5953
    21:16:16.0875 0704 ================================================================================
    21:16:16.0875 0704 Scan finished


    Merci. Ca a bien marché dans l'ensemble. Tout n'a pas été decrypté surement à cause d'un espace disque insuffisant. Maintenant il faut que je trie et que je recommence.
    Merci encore
    Vincent
    m
    0
    l
    a c 582 8 Sécurité
    18 Septembre 2012 20:03:04

    Re,

    Oui, c'est surement cela, regarde ce qui a été décrypté, teste l'ouverture et le fonctionnement des fichiers, si c'est ok pour plusieurs extension et type de fichier, sauvegarde sur d'autre support, et repasse l'outil avec l'option de suppression des fichiers crypté pour terminer le travail.

    :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS