Auteur Sujet: Besoin d'aide pour récupérer mes fichiers locked suite virus gendarmerie ! merci  (Lu 17889 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
Bonjour,
Jai contracté le virus gendarmerie
je pense l'avoir érradiqué, mais il me reste tous mes fichiers qui me sont précieux pour mon travail
et j'en ai beaucoup ! j'ai essayé dechanger l'extension ça me me redonne l'icone maid ils ne s'ouvrent pas
et j'en ai tant que j'y passerai mavie ...
Pourriez m'aider à les récupérer j'ai des jpg png avi psd eps ai swf vlc etc.....

Ps j'ai télécharger OTL mais ne sais pas comment m'en servir...oops!
Merci pour votre aide
Bien cordialement
Max

Security-X


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Bonjour max_imus

Tout d'abord cesse immédiatement de renommer les fichiers infectés, cela peut tout simplement les rendre impossible à récupérer du fait de l'infection ...

Ensuite afin de décrypter les fichier, il faudrait que tu nous dise si tu as une possibilité d'obtenir une copie saine d'un fichier "locked" qui serait sur un autre support, dans une sauvegarde, clé usb, disque dur externe, etc ?
Si oui, cela ira plus vite, sinon, on fera d'une autre façon.

De plus dis-nous sous quel Windows tu es s'il te plait.

 :AAN

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
Bonjour,
merci pour la réponse
je n'ai renommé que quelques un, voyant que ça ne marche pas j'ai arrété.
Oui je pense que je peux trouver un fichier non infecté,
N'importe quel type jpg, png, psd etc....ou un de chaque ?
Merci de votre aide précieuse !

Bien cordialement
Max

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Salut maximus, n'importe lequel du moment que tu as un fichier locked du même nom que ton fichier sain.

Exemple

locked-vacance2100.jpg.pvtl il te faut le fichier sain vacance2100.jpg afin de pouvoir décrypter tous les autres.

Ammo'

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
Ok merci je cherche et je vous le joins ?
Bien cordialement
Max

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Non, il t'en faut juste un et son équivalence en crypter, Hyunkel va tout t'expliquer après.
Ammo'

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
je suis xp sp3

merci
bien cordialement
Max

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
les fichiers pèsent trop cmt puis je les envoyer ?
merci
Bien cordialement
Max

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

N'envoie rien, il faut que tu les ai sur le pc infecté en copie, c'est tout, l'outil qu'on va utiliser en a besoin, je te donne la procédure à suivre maintenant :

RannohDecryptor :

  • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
  • Exécute RannohDecryptor.exe par un double-clique
  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan

  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
(merci Chantal pour le canned ;) )

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
bonsoir ,
j'ai loriginal sur une clé usb donc je suis la procédure mais il ne se passe rien ?
merci
Bien cordialement
Max

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Fais une copie sur le bureau du pc infecté, puis retire la clé.

Refais la procédure.

As-tu une erreur ou un message de l'outil ?
As-tu bien indiqué la copie saine et son équivalent locked ?

Hors ligne Hayden76

  • Membres
  • Members
  • *
  • Messages: 16
Il ne faut surtout pas paniquer, il m'est arrivé la même chose il y a 2 jours, j'y ai passé 40 heures au total, mais j'ai récupéré TOUT mes fichiers. Avec le Rannohdecrypter, il te faut une copie saine d'un fichier infecté pour que le logiciel puisse connaître le cryptage, ensuite, il faut régulièrement faire de la place sur le disque dur car le logiciel fait une copie saine à partir du fichier infecté mais n'élimine pas le fichier infecté..

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
Bonjour,

j'essaye avec kaspery, mais je tourne en rond, meme lorsque le programme me répond que c'est ok pour les 2 fichiers, là je fais ok et il ne se passe rien ?! alors je reclique sur scan et ça me redemande les 2 fichiers ?!
Peut être dois je attendre sans cliquer sur scan ?
peut être avec Rannohdecrypter c'est mieux où puis je le télécharger ?
Merci
Bien cordialement
Max

Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
ça y est ça tourne  :BAN
par contre je n'avais pas cocher l'option de supprimer les fichiers infectés.
J'avais pas vu que se sont les memes logiciels oops
Merci
Bien cordialement

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

On pourra le faire ensuite, c'est pas grave, de toute façon, mieux vaut s'assurer avant que tu ai tout récupéré.


Hors ligne max_imus

  • Membres
  • Members
  • *
  • Messages: 10
Bonjour
et merci à tous pour votre aide !
j'ai récupéré mes fichiers, j'ai refait un scan et il vient de retrouver 700 fichiers ?
il me reste encore des fichiers crypté est ce que ça a un rapport ?
dois je faire un scan complet ?au lieu de rapide ?

Bien cordialement
Max

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Normalement il a dû te mettre le nombre de fichiers "locked" a supprimer, c'est à dire ceux les copies de ceux qu'il a débloqué.
Vérifie si c'est bien le cas et que tu ais bien récupéré en version "saine" tous les fichiers bloqués.

On va aussi regarder que l'infection ne soient plus active :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT
  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau