Se connecter / S'enregistrer
Votre question

Fichiers locked suite au virus gendarmerie

Tags :
  • Gendarmerie
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Septembre 2013 08:43:03

Bonjour,

Je viens vers vous en dernier recours egalement car mon pc a ete infecte par ce virus. En me debrouillant avec un autre pc , j'ai pu me defaire de l'infection ( mode sans echec) . J'ai lance mon anti-virus + divers autres outils et plus de traces de ce fichu virus mais toutes les photos et videos + qq fichiers textes sont toujours cryptes. J'ai bien suivi les differentes etapes, OTL et le reste mais l'outil KASPERSKY ne parvient pas a decrypter ces fichiers meme si je lui donne le path vers un fichier sain. L'erreur se situe alors au niveau du poids du fichier qui n'est pas le meme entre la version cryptee et non-cryptee. Est-ce que ce virus peut ajouter qq octets supplementaires afin de contourner la solution KASPERSKY ?

Mon PC tourne sous XP Pro service pack 3 .

L'infection s'est produite au moment ou je voulais installer chromium et recuperer mes favoris IE.

Avez-vous une solution a me proposer ??

Je vous remercie d'avance

Autres pages sur : fichiers locked suite virus gendarmerie

a c 547 8 Sécurité
16 Septembre 2013 11:01:55

Bonjour,

Selon la variante, il n'y a potentiellement aucun moyen de décrypter les fichiers ...

Comment ont été modifié les fichiers ? nouvelle extension ? modification du nom ?
Donne-nous des exemples s'il te plait.


à faire aussi pour s'assurer que l'infection est supprimée :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec votre système : 32 ou 64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    16 Septembre 2013 12:24:05

    Bonjour,

    Je vous remercie de votre reponse. Je vous tiens au courant des que j'aurai essaye votre methode.

    Bonne journee
    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    16 Septembre 2013 14:03:36

    Re,

    Attention, je n'ai donné qu'un scan, il faut que je l'interprète ensuite, il ne fera rien de lui-même. ;) 

    Et il me faudra aussi des exemple de fichier modifié/crypté pour voir la variante.

    :jap: 
    m
    0
    l
    16 Septembre 2013 14:08:06

    Re,

    Pas de soucis je fournirai tout cela...


    Merci encore :-)
    m
    0
    l
    16 Septembre 2013 21:20:48

    Bonjour,

    Voici les rapports comme demandés:

    http://up.security-x.fr/file.php?h=R15aa2580bea8073f0dc...
    http://up.security-x.fr/file.php?h=R5921029ee4634ddca87...

    Au sujet des modifications apportées aux fichiers:
    - Pas de changements d'extension.
    - Pas de modifications du nom.
    - Le seul changement est le poids du fichier :
    Exemple fichier infecté : 768 Ko (786.432 octets)
    Exemple fichier non-infecté : 724 Ko (741.376 octets)

    Je précise qu'il s'agit bien de la même photo sur deux supports différents.

    Comment est-ce que je fais pour vous envoyer les fichiers afin de les comparer ?

    Je vous remercie d'avance.

    Bonne journée( soirée)



    m
    0
    l
    a c 547 8 Sécurité
    16 Septembre 2013 22:22:02

    Re,

    Le système est encore pas mal infecté ...

    C'est un XP pro, c'est lié à une entreprise/société ?
    Tu as les droits et les autorisations nécessaire sur ce matériel ?


    En passant :
    Citation :
    Internet Explorer Version 6

    => cela s'appelle du suicide informatique :D  ... même si tu ne te sers pas de ce navigateur ...
    Et ton infection est probablement arrivé à cause d'un système ou de logiciel/plugin non à jour comme je le vois sur le rapport.

    ~~~~~~~~~~~~

    Avant de commencer la désinfection, j'aimerais que tu réponde à ma question sur l'appartenance du pc.

    Ensuite, que tu analyses l'un des fichiers "crypté" ici :
    http://www.virustotal.com/fr/

    Clique sur "Choisir un fichier" et sélectionne l'un des fichiers crypté.

    Une fois sélectionné, clique sur "Analyser !", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Réanalyser"), et/ou laisse faire l'analyse jusqu'à avoir "Analyse complète" en haut

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
    m
    0
    l
    17 Septembre 2013 08:37:16

    Bonjour,

    Oui j'ai bien vu apres en passant spybot que j'etais encore bien infecte.
    donc, c'est un XP pro que j'ai a la maison , qui n'est donc pas lie a une entreprise. Je dispose de tous les droits sur ce pc. Au sujet de Internet explorer, je ne l'utilise plus mais c'est vrai que je dois le desinstaller .
    m
    0
    l
    a c 547 8 Sécurité
    17 Septembre 2013 10:11:08

    Re,

    Ok pour le XP pro.

    Pour IE, non tu ne le désinstallera pas, il est natif de Windows, mais on le mettra à jour en fin de procédure.

    J'attends l'analyse du fichier crypté sur virustotal avant de poursuivre ;) 
    m
    0
    l
    a c 547 8 Sécurité
    17 Septembre 2013 22:38:58

    Re,

    Pourrais-tu m'envoyer un fichier crypté et sa copie saine s'il te plait pour analyse ?
    Tu met les deux dans un dossier, puis tu compresses (clic-droit -> envoyer vers -> Dossier compressé )
    Et tu postes ici :
    http://dl.free.fr/
    Tu me fournis le lien obtenu

    ~~~~~~~~~~~~~~~~

    En attendant pour la désinfection :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - J2SE Runtime Environment 5.0 Update 1
    - J2SE Runtime Environment 5.0 Update 5
    - Java(TM) 6 Update 5
    - Java(TM) SE Runtime Environment 6 Update 1 (versions obsolètes et vulnérable, tu possèdes une plus récente)
    - Spybot - Search & Destroy (inutile et obsolète)

    - SweetPacks Updater (adware : logiciel publicitaire)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      () C:\WINDOWS\system32\dmwu.exe
      () C:\WINDOWS\system32\jmdp\stij.exe
      HKU\Administrateur\...\Run: [pQiLkVYi] - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\TruqhqLe.exe
      HKU\Administrateur\...\Policies\system: [DisableTaskMgr] 1
      Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\$McInstBootA5E6DEAA56$.lnk
      ShortcutTarget: $McInstBootA5E6DEAA56$.lnk -> (No File)
      Startup: C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.lnk
      ShortcutTarget: _uninst_setup_9.0.0.722_08.05.2010_15-25.exe.lnk -> C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.bat (No File)
      Startup: C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.lnk
      ShortcutTarget: _uninst_setup_9.0.0.722_12.04.2010_17-12.exe.lnk -> C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.bat (No File)
      BootExecute: autocheck autochk * lsdelete
      URLSearchHook: (No Name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No File
      BHO: Browise2save - {14324C74-D8BF-5A80-19D4-7B8B70E5F732} - C:\Documents and Settings\All Users\Application Data\Browise2save\51682e765978d.dll ()
      BHO: No Name - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No File
      BHO: SeeayRch-NNewoTuabb - {567368FB-302D-0AFB-B7AF-66D48B421952} - C:\Documents and Settings\All Users\Application Data\SeeayRch-NNewoTuabb\51682eaa033c1.dll ()
      BHO: No Name - {8801A9C4-959C-40D9-886F-1EFF858D7277} - No File
      Toolbar: HKLM - No Name - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No File
      Toolbar: HKCU - No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No File
      Toolbar: HKCU - No Name - {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} - No File
      Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
      FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
      FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
      CHR Extension: (Browise2save) - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\nfgoamfpijegjoigdeopjgdbpfdahmjg\1
      CHR Extension: () - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.3.0.3_0
      CHR Extension: (Browise2save) - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\omglgajipeebcjapflflncdhlkceeghc\1
      CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx
      R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1013552 2013-02-27] ()
      S2 VideoAcceleratorService; F:\PROGRA~2\DAP\SPEEDB~1\VideoAcceleratorService.exe -start -scm [x]
      S1 66347751; system32\DRIVERS\66347751.sys [x]
      S2 sbbotdi; \??\F:\PROGRA~2\DAP\SPEEDB~1\sbbotdi.sys [x]
      S4 vsdatant; [x]
      U3 azei5yzk; No ImagePath
      2013-08-29 23:25 - 2013-08-29 23:59 - 00000000 ____D C:\Documents and Settings\Administrateur\Application Data\Dirty
      2013-08-29 22:53 - 2013-08-29 22:53 - 00000000 ____D C:\Documents and Settings\eddy\Local Settings\Application Data\AhQVatsx(2)
      2013-08-29 22:51 - 2013-08-29 23:59 - 00000000 ____D C:\Documents and Settings\eddy\Application Data\Dirty
      2013-08-25 10:36 - 2013-08-30 21:20 - 00000000 ____D C:\Documents and Settings\eddy\Local Settings\Application Data\iLivid
      C:\Documents and Settings\eddy\x.exe
      C:\Windows\System32\jmdp
      C:\Documents and Settings\All Users\Application Data\SeeayRch-NNewoTuabb
      C:\Documents and Settings\All Users\Application Data\Browise2save
      C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\TruqhqLe.exe
      C:\WINDOWS\system32\dmwu.exe
      Hosts:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    17 Septembre 2013 22:58:37

    Bonsoir,

    Voici le lien vers les fichiers : http://dl.free.fr/bJVM9SBer.

    Tu verras de suite que le poids des fichiers est différent. La photo infectée ne s'affiche pas . Sur mon pc, je peux la voir dans le dossier mais dès que je clique dessus, j'ai le message 'file encrypted.
    Je poursuis la désinfection.
    Je te tiens au courant.

    Merci
    m
    0
    l
    a c 547 8 Sécurité
    17 Septembre 2013 23:07:12

    Re,

    Oui, j'ai vu en préparant le fix de correction : ransomware dirtydecrypt.

    Malheureusement, à ce jour, il n'existe pas d'outil pour décrypter les fichiers touché par ce ransomware.
    m
    0
    l
    17 Septembre 2013 23:33:29

    Voici le rapport de fixlog:
    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-09-2013 03
    Ran by eddy at 2013-09-17 23:29:28 Run:1
    Running from C:\Documents and Settings\eddy\Mes documents\Downloads
    Boot Mode: Normal

    ==============================================

    Content of fixlist:
    *****************
    start

    () C:\WINDOWS\system32\dmwu.exe

    () C:\WINDOWS\system32\jmdp\stij.exe

    HKU\Administrateur\...\Run: [pQiLkVYi] - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\TruqhqLe.exe

    HKU\Administrateur\...\Policies\system: [DisableTaskMgr] 1

    Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\$McInstBootA5E6DEAA56$.lnk

    ShortcutTarget: $McInstBootA5E6DEAA56$.lnk -> (No File)

    Startup: C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.lnk

    ShortcutTarget: _uninst_setup_9.0.0.722_08.05.2010_15-25.exe.lnk -> C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.bat (No File)

    Startup: C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.lnk

    ShortcutTarget: _uninst_setup_9.0.0.722_12.04.2010_17-12.exe.lnk -> C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.bat (No File)

    BootExecute: autocheck autochk * lsdelete

    URLSearchHook: (No Name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No File

    BHO: Browise2save - {14324C74-D8BF-5A80-19D4-7B8B70E5F732} - C:\Documents and Settings\All Users\Application Data\Browise2save\51682e765978d.dll ()

    BHO: No Name - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No File

    BHO: SeeayRch-NNewoTuabb - {567368FB-302D-0AFB-B7AF-66D48B421952} - C:\Documents and Settings\All Users\Application Data\SeeayRch-NNewoTuabb\51682eaa033c1.dll ()

    BHO: No Name - {8801A9C4-959C-40D9-886F-1EFF858D7277} - No File

    Toolbar: HKLM - No Name - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No File

    Toolbar: HKCU - No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No File

    Toolbar: HKCU - No Name - {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} - No File

    Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File

    FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

    FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

    CHR Extension: (Browise2save) - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\nfgoamfpijegjoigdeopjgdbpfdahmjg\1

    CHR Extension: () - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.3.0.3_0

    CHR Extension: (Browise2save) - C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\omglgajipeebcjapflflncdhlkceeghc\1

    CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx

    R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1013552 2013-02-27] ()

    S2 VideoAcceleratorService; F:\PROGRA~2\DAP\SPEEDB~1\VideoAcceleratorService.exe -start -scm [x]

    S1 66347751; system32\DRIVERS\66347751.sys [x]

    S2 sbbotdi; \??\F:\PROGRA~2\DAP\SPEEDB~1\sbbotdi.sys [x]

    S4 vsdatant; [x]

    U3 azei5yzk; No ImagePath

    2013-08-29 23:25 - 2013-08-29 23:59 - 00000000 ____D C:\Documents and Settings\Administrateur\Application Data\Dirty

    2013-08-29 22:53 - 2013-08-29 22:53 - 00000000 ____D C:\Documents and Settings\eddy\Local Settings\Application Data\AhQVatsx(2)

    2013-08-29 22:51 - 2013-08-29 23:59 - 00000000 ____D C:\Documents and Settings\eddy\Application Data\Dirty

    2013-08-25 10:36 - 2013-08-30 21:20 - 00000000 ____D C:\Documents and Settings\eddy\Local Settings\Application Data\iLivid

    C:\Documents and Settings\eddy\x.exe

    C:\Windows\System32\jmdp

    C:\Documents and Settings\All Users\Application Data\SeeayRch-NNewoTuabb

    C:\Documents and Settings\All Users\Application Data\Browise2save

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\TruqhqLe.exe

    C:\WINDOWS\system32\dmwu.exe

    Hosts:

    end
    *****************

    C:\WINDOWS\system32\dmwu.exe => No running process found
    C:\WINDOWS\system32\jmdp\stij.exe => No running process found
    HKU\Administrateur\Software\Microsoft\Windows\CurrentVersion\Run\\pQiLkVYi => Value deleted successfully.
    HKU\Administrateur\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableTaskMgr => Value deleted successfully.
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\$McInstBootA5E6DEAA56$.lnk => Moved successfully.
    ShortcutTarget: $McInstBootA5E6DEAA56$.lnk -> (No File) not found.
    C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.lnk => Moved successfully.
    C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_08.05.2010_15-25.exe.bat not found.
    C:\Documents and Settings\eddy\Menu Démarrer\Programmes\Démarrage\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.lnk => Moved successfully.
    C:\Documents and Settings\eddy\Local Settings\Temp\_uninst_setup_9.0.0.722_12.04.2010_17-12.exe.bat not found.
    HKLM\System\CurrentControlSet\Control\Session Manager\\BootExecute => Value was restored successfully.
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} => Value deleted successfully.
    HKCR\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14324C74-D8BF-5A80-19D4-7B8B70E5F732} => Key deleted successfully.
    HKCR\CLSID\{14324C74-D8BF-5A80-19D4-7B8B70E5F732} => Key deleted successfully.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB} => Key deleted successfully.
    HKCR\CLSID\{27B4851A-3207-45A2-B947-BE8AFE6163AB} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{567368FB-302D-0AFB-B7AF-66D48B421952} => Key deleted successfully.
    HKCR\CLSID\{567368FB-302D-0AFB-B7AF-66D48B421952} => Key deleted successfully.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8801A9C4-959C-40D9-886F-1EFF858D7277} => Key deleted successfully.
    HKCR\CLSID\{8801A9C4-959C-40D9-886F-1EFF858D7277} => Key not found.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} => Value deleted successfully.
    HKCR\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} => Key not found.
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} => Value deleted successfully.
    HKCR\CLSID\{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} => Key not found.
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} => Value deleted successfully.
    HKCR\CLSID\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} => Key not found.
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} => Value deleted successfully.
    HKCR\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17} => Key not found.
    C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} => Moved successfully.
    C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} => Moved successfully.
    C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\nfgoamfpijegjoigdeopjgdbpfdahmjg => Moved successfully.
    C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj directory not found.
    C:\DOCUME~1\eddy\LOCALS~1\Application Data\Google\Chrome\User Data\Default\Extensions\omglgajipeebcjapflflncdhlkceeghc => Moved successfully.
    HKLM\SOFTWARE\Google\Chrome\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj => Key deleted successfully.
    "C:\Windows\System32\jmdp\SweetNT.crx" => File/Directory not found.
    IBUpdaterService => Service not found.
    VideoAcceleratorService => Service deleted successfully.
    66347751 => Service deleted successfully.
    sbbotdi => Service deleted successfully.
    vsdatant => Service deleted successfully.
    azei5yzk => Service not found.
    C:\Documents and Settings\Administrateur\Application Data\Dirty => Moved successfully.
    C:\Documents and Settings\eddy\Local Settings\Application Data\AhQVatsx(2) => Moved successfully.
    C:\Documents and Settings\eddy\Application Data\Dirty => Moved successfully.
    C:\Documents and Settings\eddy\Local Settings\Application Data\iLivid => Moved successfully.
    C:\Documents and Settings\eddy\x.exe => Moved successfully.
    C:\Windows\System32\jmdp => Moved successfully.
    C:\Documents and Settings\All Users\Application Data\SeeayRch-NNewoTuabb => Moved successfully.
    C:\Documents and Settings\All Users\Application Data\Browise2save => Moved successfully.
    "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\TruqhqLe.exe" => File/Directory not found.
    "C:\WINDOWS\system32\dmwu.exe" => File/Directory not found.
    C:\Windows\System32\Drivers\etc\hosts => Moved successfully.
    Hosts was reset successfully.

    ==== End of Fixlog ====
    m
    0
    l
    17 Septembre 2013 23:39:33

    Re,

    Je me doutais bien au vu des différents threads lus à ce sujet que je m'étais pris la seconde version de ce foutu virus.
    C'est bien la méthode de cryptage qui pose problèmes ? Pas moyen de casser ce code ??
    On devrait demander à la NSA :-) . Un peu d'humour ne me fera pas de mal ;-)

    Heureusement que pour les photos, je me suis fait qq sauvegardes sur d'autres médias.

    Tu as dit que spybot était obsolète, quels sont les tools recommandés pour vérifier l'état de son pc ??

    Est-ce que je peux partager ceci sur facebook afin de prévenir d'autres utilisateurs ??

    Merci beaucoup pour l'aide apportée :-)
    m
    0
    l
    a c 547 8 Sécurité
    18 Septembre 2013 12:19:36

    Re,

    Malheureusement, comme tu le penses, c'est la méthode qui pose souci : clés d'encryptage différentes à chaque fichier, parfois visible dans le registre du pc infecté, mais de toute manière elles-mêmes encodées avec un cryptage de type clé RSA1024 seulement dispo via le serveur lié à l'infection.
    Travail titanesque ou quasi impossible pour décrypter.

    Citation :
    Tu as dit que spybot était obsolète, quels sont les tools recommandés pour vérifier l'état de son pc ??


    Aucun, une fois une infection installée, c'est trop tard de toute manière.
    Ton antivirus, tenu à jour suffit.
    Le reste, comme je vais te l'exposer maintenant, c'est à toi de le faire ...

    Citation :
    Est-ce que je peux partager ceci sur facebook afin de prévenir d'autres utilisateurs ??


    à partager quelque chose, partage ceci :
    C'est encore une fois le comportement de l'utilisateur qui "aide" les auteurs de malware ....
    -> système et logiciels non à jour (ici : Internet Explorer, Flash Player et Java), soit autant de faille possible à exploiter ...
    -> visite de site potentiellement dangereux : streaming et téléchargement illégal, porno, etc ...
    -> accepter les proposition de téléchargement de "lecteur" et autre faux plugin ...

    On va donc poursuivre en mettant à jour ton système :

    1) Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.

  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~

    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 . Si rien ne se passe, fais manuellement les mise à jour ici : http://update.microsoft.com/microsoftupdate/v6/default....

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 7

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader X (10.1.8)

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.
    m
    0
    l
    18 Septembre 2013 20:44:56

    Bonsoir,

    Voici le rapport de DELFIX.

    # DelFix v10.4 - Rapport créé le 18/09/2013 à 20:41:45
    # Mis à jour le 19/07/2013 par Xplode
    # Nom d'utilisateur : eddy - USER-34DD1A6175
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST
    Supprimé : C:\Documents and Settings\eddy\Bureau\Rkill.txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\Addition.txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\Extras.Txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\Fixlog.txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\FRST.exe
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\FRST.txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\OTL.Txt
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\OTL.exe
    Supprimé : C:\Documents and Settings\eddy\Mes documents\Downloads\rkill.com
    Supprimé : C:\WINDOWS\system32\VCCLSID.exe
    Supprimé : C:\WINDOWS\system32\SWReg.exe
    Supprimé : C:\WINDOWS\system32\SWSC.exe
    Supprimé : C:\WINDOWS\system32\SWXCacls.exe
    Supprimé : C:\WINDOWS\system32\SrchSTS.exe
    Supprimé : C:\WINDOWS\system32\Dumphive.exe
    Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

    ~ Purge de la restauration système ...

    Supprimé : RP #305 [Software Distribution Service 3.0 | 08/17/2013 01:02:23]
    Supprimé : RP #306 [Point de vérification système | 08/18/2013 10:28:54]
    Supprimé : RP #307 [Opération de restauration | 08/29/2013 21:59:05]
    Supprimé : RP #308 [Software Distribution Service 3.0 | 08/29/2013 22:07:55]
    Supprimé : RP #309 [OTL Restore Point - 15/09/2013 18:18:30 | 09/15/2013 16:18:46]
    Supprimé : RP #310 [Software Distribution Service 3.0 | 09/16/2013 05:22:21]
    Supprimé : RP #311 [Removed J2SE Runtime Environment 5.0 Update 1 | 09/17/2013 20:48:30]
    Supprimé : RP #312 [Removed J2SE Runtime Environment 5.0 Update 5 | 09/17/2013 20:59:41]
    Supprimé : RP #313 [Removed Java(TM) 6 Update 5 | 09/17/2013 21:00:40]
    Supprimé : RP #314 [Removed Java(TM) SE Runtime Environment 6 Update 1 | 09/17/2013 21:01:45]
    Supprimé : RP #315 [Jour d'essai pour fichiers locked | 09/17/2013 21:07:21]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
    m
    0
    l
    18 Septembre 2013 21:22:20

    Re,

    Tout est a jour sauf flash qui plante a chaque fois avec ce message d'erreur : Echec de l'initialisation.

    Même en désactivant temporairement mon antivirus.
    m
    0
    l
    a c 547 8 Sécurité
    18 Septembre 2013 21:33:49

    Re,

    Essaye en désinstallant avant Flash Player via ta liste des programmes pour voir.
    m
    0
    l
    24 Septembre 2013 08:48:12

    Salut,

    De retour apres qq jours deconnectes . Donc, ca ne fonctionne toujourd pas meme en ayant desinstallee Flash Player. Ca plante toujours au meme endroit.

    Que faiare alors ??


    Merci et bonne journee
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS