Se connecter / S'enregistrer
Votre question
Résolu

photos locked par virus gendarmerie nationale résolu

Tags :
  • locked
  • Windows
  • photos
  • Virus
  • Gendarmerie
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Août 2013 22:16:50

Bonsoir à toutes et à tous,
J'ai été infecté par ce virus et de nombreuses photos sont désormais bloquées. L'extension en jpeg et même les vidéos en AVI ont été modifiées. Y a t-il un moyen pour les récupérer? Je remercie celle ou celui qui pourra me dépanner.
Bonne soirée.

Autres pages sur : photos locked virus gendarmerie nationale resolu

a c 940 8 Sécurité
a b 9 Windows
15 Août 2013 09:48:08

Bonjour,

Tu as supprimé le Virus Gendarmerie de quelle manière ?
Tu as été aidé sur un forum ?

Nous allons vérifier l'état du système en commençant par établir un rapport de diagnostic avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports FRST.txt et Addition.txt

    @+
    m
    0
    l
    15 Août 2013 15:03:32

    Bonjour
    Merci de ta réponse.
    J'ai passé Adwcleaner et MBaM. Je vais faire ce que tu me conseilles
    A+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    a b 9 Windows
    15 Août 2013 19:08:28

    Re,

    Merci pour les rapports.

    Juste un peu de nettoyage à faire.

    ---------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Startup: C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk
      ShortcutTarget: Notification de cadeaux MSN.lnk -> C:\Users\pc\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (No File)
      SearchScopes: HKLM - DefaultScope value is missing.
      SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
      Toolbar: HKCU -No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
      2013-08-14 15:47 - 2013-08-14 15:47 - 00000000 ____D C:\ProgramData\IObit
      2013-08-14 15:47 - 2013-08-14 15:47 - 00000000 ____D C:\Program Files\IObit
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Est attendu le rapport Fixlog.txt

    Pour tes photos qui ont été cryptées par le ransomware, quelle est leur extension ?
    Tu as un exemple de nom de fichier ?

    Possèdes-tu quelques exemplaires originaux de tes photos, non cryptées ? (au moins un)

    @+
    m
    0
    l
    15 Août 2013 19:22:44

    j'ai des extensions blnr todj fjxn
    il me reste encore des photos non cryptées
    je vais faire ce que tu me conseilles
    m
    0
    l
    15 Août 2013 19:24:08

    nom de fichier locked-001.jpg.ywyp
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    15 Août 2013 20:39:13

    Re,

    OK donc mets de côté un fichier non crypté qui a donc son homologue crypté, peu importe son extension, il faut juste que le fichier sain fasse plus de 4 Ko.

    Mais avant de passer l'outil de décryptage, applique le correctif et poste le rapports Fixlog obtenu.

    @+
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    15 Août 2013 21:09:17

    Re,

    OK pour le rapport de correction.

    Pour le décryptage des tes fichiers, voici la procédure :

    ---------------------------------------------------------------------------------------------

    RannohDecryptor :

    • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
    • Clique sur Start scan

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste la fin du rapport, de la ligne Statistic à la ligne Scan finished dans ta prochaine réponse.

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options



  • /!\ Cette variante ne chiffre pas seulement les données personnelles de l'utilisateur, elle y a aussi accès et notamment aux mots de passe enregistrés sur le système. Il faudra surveiller tout compte bancaire, de messagerie ou réseaux sociaux et changer impérativement tous tes mots de passe /!\

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport RannohDecryptor

    @+
    m
    0
    l
    16 Août 2013 08:48:22

    oups attendu
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    16 Août 2013 09:43:10

    Bonjour,

    Tu as loupé l'hébergement du fichier, je n'ai rien.

    Fais juste un copier-coller de cette partie du rapport, dans ta prochaine réponse :
    de la ligne Statistic à la ligne Scan finished dans ta prochaine réponse

    @+
    m
    0
    l
    16 Août 2013 09:48:24

    Désolé

    08:27:03.0024 3528 Statistic:
    08:27:03.0024 3528 Processed: 212797
    08:27:03.0024 3528 Suspicious: 0
    08:27:03.0024 3528 Found: 15834
    08:27:03.0024 3528 Decrypted: 15834
    08:27:03.0024 3528 ================================================================================
    08:27:03.0024 3528 Scan finished
    08:27:03.0024 3528 ================================================================================
    08:37:04.0246 4268 Deinitialize success
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    16 Août 2013 09:54:39

    Re,

    Citation :
    08:27:03.0024 3528 Found: 15834
    08:27:03.0024 3528 Decrypted: 15834


    Tous les fichiers cryptés trouvés ont été décryptés :) 

    Tu as vérifié quelques fichiers décryptés, voir s'ils s'ouvraient bien ?

    Juste pour info, l'outil a-t-il eu besoin d'un fichier sain pour le décryptage ?

    @+
    m
    0
    l
    16 Août 2013 10:12:04

    Oui tout a été décrypté mais certaines photos sont restées endommagées donc impossible de les afficher mais ce n'est pas bien grave.
    Non le logiciel ne m'a rien demandé.
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    16 Août 2013 11:26:40

    Re,

    Pour tes photos corrompues, essaye de réparer avec cet outil :
    http://www.libellules.ch/dotclear/index.php?post/2012/0...

    Ensuite, pour faire de la place, tu peux éliminer les fichiers cryptés en utilisant la fonction intégrée d el'outil :
    Citation :
    Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options


    Nous allons aussi mettre à jour et vérifier des extensions qui représentent des failles de sécurité.
    Pour info, le Virus Gendarmerie a exploité une de ces failles pour s'installer sur ton système.

    ---------------------------------------------------------------------------------------------

    Mise à jour d'Internet Explorer :

    Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE10.
    Téléchargez Internet Explorer

    ---------------------------------------------------------------------------------------------

    Installe la dernière version Adobe Shockwave Player :

    Télécharge et installe cette dernière version Adobe Shockwave Player

    ---------------------------------------------------------------------------------------------

    Mets à jour ta version d'Adobe Reader :

    Télécharge et installe cette dernière version :
    Adobe Reader
    N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXCU.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Rapport
    • Poste le rapport_SX.txt dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SXCU

    @+
    m
    0
    l
    16 Août 2013 17:06:18

    Voici le rapport attendu
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 2
    UserName : pc
    16/08/2013
    17:04:00
    version = v0.3.3
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Nom : Google Chrome
    Version : 28.0.1500.95

    Nom : Mozilla Firefox 22.0 (x86 fr)
    Version : 22.0

    Java Information :
    Nom : Java 7 Update 25
    Version : 7.0.250
    Java 7 Update 25 est à jour

    Nom : Adobe Reader X (10.1.4) - Français
    Version : 10.1.4
    Adobe Reader n'est pas à jour! (10.1.7)

    Nom (svc) : Internet Explorer
    Version : 9.0.8112.16421
    Bonne soirée

    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    16 Août 2013 17:27:47

    Re,

    Tu n'as pas réussi à mettre à jour Adobe Reader ?
    La dernière version pour Vista est la 10.1.7
    http://get.adobe.com/fr/reader/?no_ab=1

    Mets à jour aussi Firefox, la dernière version est la 23.0

    --------------------------------------------------------------------------------------------------------------

    TFC - Nettoyage des fichiers temporaires :


    • Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
    • Ferme toutes les applications en cours
    • Double-clique sur TFC.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
    • Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage


  • --------------------------------------------------------------------------------------------------------------

    Tu signales quand c'est fait ?

    Ensuite nous pourrons finaliser avec les dernières procédures.

    @+
    m
    0
    l
    17 Août 2013 10:59:05

    Bonjour,
    Quand je clique sur le lien pour Adobe il me propose la version 10.1.4.
    m
    0
    l

    Meilleure solution

    a c 940 8 Sécurité
    a b 9 Windows
    17 Août 2013 12:02:37

    Bonjour,

    Citation :
    Quand je clique sur le lien pour Adobe il me propose la version 10.1.4.


    Essaye directement avec ce lien dans ce cas :
    http://www.adobe.com/support/downloads/detail.jsp?ftpID...

    Nous allons donc finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    DelFix :

    • Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu

      /!\ Cette variante Virus Gendarmerie ne chiffre pas seulement les données personnelles de l'utilisateur, elle y a aussi accès et notamment aux mots de passe enregistrés sur le système. Il faudra surveiller tout compte bancaire, de messagerie ou réseaux sociaux et changer impérativement tous tes mots de passe /!\


    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    17 Août 2013 13:39:13

    Merci beaucoup pour ton aide si précieuse et ton professionnalisme, ta réactivité.
    TFC n'est pas encore fini. Je ferai ce que tu me conseilles pour finaliser la procédure et t'enverrai le rapport de Delfix.
    Bon week-end (ensoleillé).
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    17 Août 2013 13:52:36

    Re,

    Bon Week-end à toi aussi et bonne continuation.
    N'hésite pas si tu as un souci :) 
    m
    0
    l
    17 Août 2013 14:05:58

    rapport de Delfix
    # DelFix v10.4 - Rapport créé le 17/08/2013 à 14:05:01
    # Mis à jour le 19/07/2013 par Xplode
    # Nom d'utilisateur : pc - PC-DE-PC
    # Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST
    Supprimé : C:\Users\pc\Desktop\TFC.exe
    Supprimée : HKLM\SOFTWARE\OldTimer Tools

    ########## - EOF - ##########
    m
    0
    l
    17 Août 2013 14:08:49

    MERCI je n'hésiterai pas à vous contacter en cas de soucis futurs (que je n’espère(e pas)
    A+
    m
    0
    l
    17 Août 2013 14:16:57

    j'avais oublié
    # DelFix v10.4 - Rapport créé le 17/08/2013 à 14:09:52
    # Mis à jour le 19/07/2013 par Xplode
    # Nom d'utilisateur : pc - PC-DE-PC
    # Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)

    ~ Purge de la restauration système ...

    Supprimé : RP #1125 [Revo Uninstaller's restore point - Adobe Flash Player 11 Plugin | 08/11/2013 19:59:41]
    Supprimé : RP #1126 [Removed Bing Bar | 08/11/2013 20:32:52]
    Supprimé : RP #1128 [Revo Uninstaller's restore point - MyPC Backup | 08/12/2013 11:29:49]
    Supprimé : RP #1129 [Installation du package de pilote logiciel : SAMSUNG Electronics Co., Ltd. Contrôleurs de bus USB | 08/14/2013 07:42:08]
    Supprimé : RP #1130 [Installation du package de pilote logiciel : SAMSUNG Electronics Co., Ltd. Ports (COM et LPT) | 08/14/2013 07:43:03]
    Supprimé : RP #1131 [Installation du package de pilote logiciel : SAMSUNG Electronics Co., Ltd. Modems | 08/14/2013 07:44:25]
    Supprimé : RP #1132 [Installation du package de pilote logiciel : SAMSUNG Electronics Co., Ltd. Contrôleurs de bus USB | 08/14/2013 07:45:53]
    Supprimé : RP #1133 [Installation du package de pilote logiciel : SAMSUNG Electronics Co., Ltd. Modems | 08/14/2013 07:46:38]
    Supprimé : RP #1135 [Revo Uninstaller's restore point - IObit Unlocker | 08/14/2013 13:51:47]
    Supprimé : RP #1136 [Windows Update | 08/14/2013 18:48:35]
    Supprimé : RP #1137 [Removed Java 7 Update 25 | 08/14/2013 19:17:57]
    Supprimé : RP #1138 [Installed Java 7 Update 25 | 08/14/2013 19:23:01]
    Supprimé : RP #1140 [Revo Uninstaller's restore point - Adobe Flash Player 11 Plugin | 08/14/2013 19:29:13]
    Supprimé : RP #1141 [Point de contrôle planifié | 08/15/2013 14:40:12]
    Supprimé : RP #1142 [restauration_jean | 08/15/2013 18:10:47]
    Supprimé : RP #1143 [Programme d’installation pour les modules Windows | 08/16/2013 13:55:18]
    Supprimé : RP #1144 [Windows Update | 08/16/2013 13:58:23]
    Supprimé : RP #1146 [Revo Uninstaller's restore point - Adobe Reader X (10.1.4) - Français | 08/16/2013 14:17:07]
    Supprimé : RP #1148 [Revo Uninstaller's restore point - Adobe Flash Player 11 Plugin | 08/16/2013 14:24:02]
    Supprimé : RP #1149 [Installation du package de pilote logiciel : Apple, Inc. Contrôleurs de bus USB | 08/16/2013 19:33:29]
    Supprimé : RP #1150 [Installation du package de pilote logiciel : Apple Cartes réseau | 08/16/2013 19:34:16]
    Supprimé : RP #1151 [Installed iTunes | 08/16/2013 19:35:59]
    Supprimé : RP #1153 [Revo Uninstaller's restore point - Mozilla Firefox 22.0 (x86 fr) | 08/17/2013 08:56:43]
    Supprimé : RP #1155 [Revo Uninstaller's restore point - Mozilla Firefox 23.0.1 (x86 fr) | 08/17/2013 09:13:21]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    17 Août 2013 14:17:10

    Re,

    Pour l'outil Delfix, la case Purger la restauration système était bien cochée ?
    Il faut le faire, pour éliminer tout point de restauration infecté qui permettrait au Virus Gendarmerie d'être de nouveau actif, dans le cas d'une restauration système.

    @+
    m
    0
    l
    17 Août 2013 14:33:54

    oui je l'ai relancé après m'être aperçu de mon "étourderie"
    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    18 Août 2013 09:15:13

    Bonjour,

    C'est parfait alors si la restauration a bien été purgée.

    Bonne continuation :) 
    m
    0
    l
    18 Août 2013 15:23:17

    Oui c'est bon!
    Bonne fin de journée (sous les nuages)
    MERCI pour tout
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS