Security-X
Forum Security-X => Désinfections => Discussion démarrée par: smalldomy le juin 24, 2012, 19:02:54
-
Bonsoir à vous
et merci à Chantal 11 de m'avoir répondu.
je fais tout et n'importe quoi , et tout est locked , votre aide serait très précieux
je vous en remercie
-
me voici à nouveau
je viens vous envoyer les rapports OTL
j’espère ne rien avoir oublié
cordialement
-
@smalldomy: Pas besoin de créer plusieurs sujets, il te suffit juste de cliquer sur répondre dans ton sujet :)
-
Bonjour,
Allez on y va ;)
Tu as été infecté par le Virus Gendarmerie, car certaines extensions/plugins ne sont pas à jour et notamment au niveau de Java.
On va s'en occuper rapidement.
Pas d'antivirus installé sur ce PC ?
Quelle inconscience quand on voit une certaine application installée et qui laisse supposer une pratique de surf à risques.
Tu as installé dernièrement Unlocker.
Tu as tenté de débloquer les fichiers identifiés Locked ?
J'espère que tu ne les as pas corrompus, certains ne vont peut-être pas pouvoir être décryptés.
Pour info, les logiciels Internet Orange et Penwes sont connus pour provoquer des désordres au niveau de la connexion Internet.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :
- Ad-Aware (obsolète)
- Inbox Toolbar
- ZHPDiag
- Java(TM) Platform SE 6 U15
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Installe la dernière version Java :
Télécharge et installe cette dernière version Java (http://www.java.com/fr/download/)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:OTL
SRV - (Lavasoft Ad-Aware Service) -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited)
DRV - (Lbd) -- C:\Windows\System32\drivers\Lbd.sys (Lavasoft AB)
DRV - (Lavasoft Kernexplorer) -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys ()
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://toolbar.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language
IE - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\SearchScopes,DefaultScope = {a3e9fd01-7bc7-4102-826a-5fea5e4ce16f}
IE - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\SearchScopes\{a3e9fd01-7bc7-4102-826a-5fea5e4ce16f}: "URL" = http://www.iadah.com/?search&q={searchTerms}
IE - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\SearchScopes\{A531D99C-5A22-449b-83DA-872725C6D0ED}: "URL" = http://search.alot.com/web?q={searchTerms}
IE - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = http://toolbar.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80298&lng=fr
O2 - BHO: (Inbox Toolbar) - {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - C:\PROGRA~1\INBOXT~1\Inbox.dll (Inbox.com, Inc.)
O3 - HKLM\..\Toolbar: (&Inbox Toolbar) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - C:\PROGRA~1\INBOXT~1\Inbox.dll (Inbox.com, Inc.)
O3 - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\Toolbar\WebBrowser: (no name) - {BA679AFC-8BA0-48F4-B8BF-C144E8699FBC} - No CLSID value found.
O3 - HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\..\Toolbar\WebBrowser: (&Inbox Toolbar) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - C:\PROGRA~1\INBOXT~1\Inbox.dll (Inbox.com, Inc.)
O18 - Protocol\Handler\inbox {37540F19-DD4C-478B-B2DF-C19281BCAF27} - C:\PROGRA~1\INBOXT~1\Inbox.dll (Inbox.com, Inc.)
[2012/06/24 18:48:05 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{71129788-628A-4A03-A124-042BEFA2D9C4}
[2012/06/24 18:47:31 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{B6991932-EB00-4563-9D37-30D6FF3BB851}
[2012/06/23 21:33:31 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{63B617E6-DA8E-4A96-9EBC-79E98E480928}
[2012/06/23 21:33:20 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{D4A1CD7F-518B-499C-9EC5-0ECFF580C631}
[2012/06/23 09:27:28 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{EBC9746A-9684-4651-9484-CFF86BD43B3C}
[2012/06/23 09:26:50 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{75ED0104-7259-4D19-8FED-A26E60488FFC}
[2012/06/21 20:02:21 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{BB7F4182-4E7C-46EA-97C4-DC2CEF51C5AC}
[2012/06/21 08:01:54 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{30963A09-F059-4B00-9C73-696147CAE627}
[2012/06/21 08:01:25 | 000,000,000 | ---D | C] -- C:\Users\smalldomy\AppData\Local\{F4176833-AA82-4FBC-89A0-001EDF531BC2}
[2012/06/20 19:19:43 | 000,000,000 | ---D | C] -- C:\ZHP
[2012/06/20 19:19:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
[2012/06/20 19:19:35 | 000,000,000 | ---D | C] -- C:\Program Files\ZHPDiag
[2012/06/15 10:41:26 | 000,000,000 | ---D | C] -- C:\b7b90b1cb90ad547935a057ccdc3bacc
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2010/11/23 19:03:45 | 000,000,000 | ---- | M] ()(C:\Windows\System32\?????) -- C:\Windows\System32\獷楬汢捯污
[2010/11/23 19:03:44 | 000,000,000 | ---- | C] ()(C:\Windows\System32\?????) -- C:\Windows\System32\獷楬汢捯污
@Alternate Data Stream - 117 bytes -> C:\ProgramData\Temp:84375770
:files
ipconfig /flushdns /c
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
- Colle l'intégralité du script dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------
Pour pouvoir débloquer tes fichiers "Locked", il va nous falloir un fichier sain non crypté, strict homologue d'un des fichiers bloqués.
Tu auras ce fichier dans une sauvegarde, un mail .... ?
Peu importe l'extension du fichier, il faut juste qu'il fasse plus de 4 Ko.
Est attendu le rapport C:\_OTL\MovedFiles\********_******.log
@+
-
BONSOIR
COMMENT JE FAIS POUR retrouver ce rapport
je ne suis pas tres doué dans ces recherhes
merci !!
Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
-
es ce cela??
All processes killed
========== OTL ==========
Error: No service named Lavasoft Ad-Aware Service was found to stop!
Service\Driver key Lavasoft Ad-Aware Service not found.
File C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe not found.
Error: No service named Lbd was found to stop!
Service\Driver key Lbd not found.
File C:\Windows\System32\drivers\Lbd.sys not found.
Error: No service named Lavasoft Kernexplorer was found to stop!
Service\Driver key Lavasoft Kernexplorer not found.
File C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-1461752132-2847135326-1867526873-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\SearchScopes\{a3e9fd01-7bc7-4102-826a-5fea5e4ce16f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3e9fd01-7bc7-4102-826a-5fea5e4ce16f}\ not found.
Registry key HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A531D99C-5A22-449b-83DA-872725C6D0ED}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A531D99C-5A22-449b-83DA-872725C6D0ED}\ not found.
Registry key HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C04B7D22-5AEC-4561-8F49-27F6269208F6}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3D233D5-9F6D-436C-B6C7-E63F77503B30}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3D233D5-9F6D-436C-B6C7-E63F77503B30}\ not found.
File C:\PROGRA~1\INBOXT~1\Inbox.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D7E97865-918F-41E4-9CD0-25AB1C574CE8} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7E97865-918F-41E4-9CD0-25AB1C574CE8}\ not found.
File C:\PROGRA~1\INBOXT~1\Inbox.dll not found.
Registry value HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BA679AFC-8BA0-48F4-B8BF-C144E8699FBC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA679AFC-8BA0-48F4-B8BF-C144E8699FBC}\ not found.
Registry value HKEY_USERS\S-1-5-21-1461752132-2847135326-1867526873-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D7E97865-918F-41E4-9CD0-25AB1C574CE8} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D7E97865-918F-41E4-9CD0-25AB1C574CE8}\ not found.
File C:\PROGRA~1\INBOXT~1\Inbox.dll not found.
File C:\PROGRA~1\INBOXT~1\Inbox.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\inbox\ not found.
File C:\PROGRA~1\INBOXT~1\Inbox.dll not found.
Folder C:\Users\smalldomy\AppData\Local\{71129788-628A-4A03-A124-042BEFA2D9C4}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{B6991932-EB00-4563-9D37-30D6FF3BB851}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{63B617E6-DA8E-4A96-9EBC-79E98E480928}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{D4A1CD7F-518B-499C-9EC5-0ECFF580C631}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{EBC9746A-9684-4651-9484-CFF86BD43B3C}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{75ED0104-7259-4D19-8FED-A26E60488FFC}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{BB7F4182-4E7C-46EA-97C4-DC2CEF51C5AC}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{30963A09-F059-4B00-9C73-696147CAE627}\ not found.
Folder C:\Users\smalldomy\AppData\Local\{F4176833-AA82-4FBC-89A0-001EDF531BC2}\ not found.
Folder C:\ZHP\ not found.
Folder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP\ not found.
Folder C:\Program Files\ZHPDiag\ not found.
Folder C:\b7b90b1cb90ad547935a057ccdc3bacc\ not found.
File/Folder C:\Windows\*.tmp not found.
File C:\Windows\System32\獷楬汢捯污 not found.
File C:\Windows\System32\獷楬汢捯污 not found.
Unable to delete ADS C:\ProgramData\Temp:84375770 .
========== FILES ==========
< ipconfig /flushdns /c >
Configuration IP de Windows
Cache de r‚solution DNS vid‚.
C:\Users\smalldomy\Desktop\cmd.bat deleted successfully.
C:\Users\smalldomy\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: smalldomy
->Temp folder emptied: 182920 bytes
->Temporary Internet Files folder emptied: 339145 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 6594293 bytes
->Flash cache emptied: 0 bytes
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66016 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 7,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.50.0 log created on 06252012_211958
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
-
VOICI UN FICHIER NON LOCKED
-
Bonjour
Je me permets de supprimer ta pièce jointe. Elle contient des informations à la fois sensibles et confidentielles.
Relis bien la procédure donnée par chantal11, garde ce fichier sous la main, elle te donnera la marche à suivre pour le reste.
Bonne conitnuation.
-
MERCI heureusement que vous etes tous là!!
-
Bonsoir,
Oui, c'est bien ce rapport.
Mais tu as passé le correctif OTL 2 fois ?
Pour le fichier non crypté, en effet, il faut faire attention à ce que tu postes dans un forum public.
Suis bien les instructions indiquées dans les procédures.
Puisque tu as bien un fichier non crypté, homologue d'un de tes fichiers "locked", nous allons pouvoir procéder au décryptage.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RannohDecryptor :
- Télécharge RannohDecryptor.exe (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) de Kaspersky et enregistre-le sur ton Bureau
- Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste la fin du rapport, de la ligne Statistic à la ligne Scan finished dans ta prochaine réponse.
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
/!\ Cette variante ne chiffre pas seulement les données personnelles de l'utilisateur, elle y a aussi accès et notamment aux mots de passe enregistrés sur le système. Il faudra surveiller tout compte bancaire, de messagerie ou réseaux sociaux et changer impérativement tous tes mots de passe /!\
@+
-
VOICI LE RAPPORT de RannohDecryptor
en espérant que tout à bien fonctionné
comment et ou je recupere tous mes fichiers , photos après
merci
Stages dans la petite enfance :
Ecole maternelle (38 Saint Clair du Rhône)
Animatrice en halte garderie (Centre Social – 38 Roussillon)
22:19:55.0348 4024 Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
22:19:55.0832 4024 ============================================================
22:19:55.0832 4024 Current date / time: 2012/06/20 22:19:55.0832
22:19:55.0832 4024 SystemInfo:
22:19:55.0832 4024
22:19:55.0832 4024 OS Version: 6.0.6002 ServicePack: 2.0
22:19:55.0832 4024 Product type: Workstation
22:19:55.0832 4024 ComputerName: PC-DE-SMALLDOMY
22:19:55.0832 4024 UserName: smalldomy
22:19:55.0832 4024 Windows directory: C:\Windows
22:19:55.0832 4024 System windows directory: C:\Windows
22:19:55.0832 4024 Processor architecture: Intel x86
22:19:55.0832 4024 Number of processors: 2
22:19:55.0832 4024 Page size: 0x1000
22:19:55.0832 4024 Boot type: Normal boot
22:19:55.0832 4024 ============================================================
22:19:55.0832 4024 Initialize success
22:20:16.0598 1180 Can't initialize on pair
22:20:16.0598 1180 Can't init decryptor
22:20:23.0067 3072 Can't get clean file path
22:20:23.0067 3072 Can't init decryptor
22:20:24.0129 3844 Deinitialize success
-
ou celui_ci22:19:55.0348 4024 Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
22:19:55.0832 4024 ============================================================
22:19:55.0832 4024 Current date / time: 2012/06/20 22:19:55.0832
22:19:55.0832 4024 SystemInfo:
22:19:55.0832 4024
22:19:55.0832 4024 OS Version: 6.0.6002 ServicePack: 2.0
22:19:55.0832 4024 Product type: Workstation
22:19:55.0832 4024 ComputerName: PC-DE-SMALLDOMY
22:19:55.0832 4024 UserName: smalldomy
22:19:55.0832 4024 Windows directory: C:\Windows
22:19:55.0832 4024 System windows directory: C:\Windows
22:19:55.0832 4024 Processor architecture: Intel x86
22:19:55.0832 4024 Number of processors: 2
22:19:55.0832 4024 Page size: 0x1000
22:19:55.0832 4024 Boot type: Normal boot
22:19:55.0832 4024 ============================================================
22:19:55.0832 4024 Initialize success
22:20:16.0598 1180 Can't initialize on pair
22:20:16.0598 1180 Can't init decryptor
22:20:23.0067 3072 Can't get clean file path
22:20:23.0067 3072 Can't init decryptor
22:20:24.0129 3844 Deinitialize success
-
Bonsoir,
Non, apparemment la procédure de décryptage ne s'est pas lancée.
C'est tout ce que tu as comme rapport ?
C'est la fin du rapport qui m'intéresse.
Quand tu as lancé l'outil, il t'a été demandé un fichier non crypté ?
Si tu n'as pas autre chose comme rapport, je pense que tu vas devoir recommencer la procédure indiquée, en suivant scrupuleusement les consignes.
C'est l'outil RannohDecryptor qui décrypte les fichiers en comparant un fichier locked et son homologue non crypté et détermine ainsi la clé de décryptage.
@+
-
decidement, je n'arriverai pas
-
Re,
Mais si tu vas y arriver :D
L'outil RannohDecryptor est bien enregistré sur ton Bureau ?
Enregistre aussi sur ton Bureau le fichier non crypté, comme ça tu l'auras sous la main.
Suis les instructions indiquées dans la procédure de décryptage pour l'outil RannohDecryptor ici -> http://forum.security-x.fr/desinfections/fichiers-locked-5359/msg71712/#msg71712
@+
-
OUF!!
voici la fin du rapport
can't get encrypted file path
can't init decryptor
en esperant que...... :D
-
Bonjour,
Non, ça n'a pas fonctionné.
L'outil dit qu'il n'a pas pu trouvé le chemin du fichier crypté (correspondant au fichier non crypté que tu lui as indiqué) et qu'il n'a pas pu initialiser le déchiffrage.
Tu es sûr que le fichier sain que tu lui présentes a son homologue locked ?
Tu peux le vérifier ?
Sinon, il te faudrait recommencer la procédure avec un autre fichier sain, mais assure-toi que cet autre fichier sain a bien son homologue locked aussi.
@+
-
re bonsoir
es-ceci ?
can't get clean file path
can't get init decryptor
:AAM
-
Re,
Non, pas du tout.
Quand l'outil a pu décrypté, en fait à la fin, il signale le nombre de fichiers locked trouvés et le nombre de fichiers qu'il a pu décrypter.
Tu as vérifié qu'il y a bien un fichier locked qui est l'homologue du fichier sain ?
Tu as fait quoi au juste avec Unlocker ?
Tu as tenté de débloquer tes fichiers ?
@+
-
je suis très ennuyé de revenir sans cesse vers toi
oui j'ai essayé , vu mes connaissances
-
Re,
Peux-tu répondre avec plus de précisions.
Tu as essayé quoi ? de débloquer avec Unlocker ?
Tu l'as fait sur beaucoup de fichiers ou que sur quelques-uns ?
Tu n'as pas répondu à ceci :
Tu as vérifié qu'il y a bien un fichier locked qui est l'homologue du fichier sain ?
@+
-
j'ai essayé de débloquer avec unlocker d'en débloqué plusieurs
j'ai retrouvé un fichier homologue sain
lorsque je clique sur start scan , une fenetre s'ouvre , mais l'anglais et moi....
es ce là que je lui trouve le fichier sain?
ET APRES
-
Re,
Est-ce que c'est cette fenêtre qui s'ouvre ?
Si c'est bien le cas, l'outil signale qu'il faut un fichier sain pour décrypter.
Tu cliques donc sur Continue et tu sélectionnes le fichier sain.
@+
-
oui c'est bien celle ci
c'est ce que je faisais, mais à mon avis , c'est pas le bon fichier sain que je sélectionne
je recommence !!@++
-
re re
voici un dernier rapport , après j'abandonne
initialize success
can't get encrypted file path
can' init decryptor
can'get encrypted file path
can't init decryptor
can't init decryptor
-
can't init decryptor
can't initialize on pair
can't init decryptor
ce sera tout pour ce soir
en te souhaitant une bonne soirée
:AAC
-
Bonjour,
Bon apparemment, il y a un souci avec cet outil.
On va changer d'outil.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) matsnu1-decryptor :
- Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
et enregistre-le sur ton Bureau
- Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
- Indique le chemin du fichier non crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fnon_en10.jpg&hash=80ca4da27f4701eafd56547114989e08c25c1afb) (http://www.servimg.com/image_preview.php?i=615&u=12972154)
- Ensuite, indique le chemin du même fichier crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fencryp10.jpg&hash=efab0327452690c244e6f8f4a1816685789f7a17) (http://www.servimg.com/image_preview.php?i=616&u=12972154)
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.
Aide en images sur la fiche Malekal (http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/) (Voir EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt, tout en bas de la fiche)
---------------------------------------------------------------------------------------------
Dis-moi si cet outil fonctionne mieux sur ton système.
@+
-
bonjour
j'ai bien installé matsnu sur le bureau
j 'execute admin'.....
pas de fenetre bleue : please select.......
-
re: excuse moi
je crois que c'est un probleme d'homonyme que j'ai
j'ai vu les fenetres en haut bleues
@+
-
Re,
Quand tu lances l'outil, tu as une 1ère fenêtre qui s'ouvre.
Tu cliques sur Continue
Ensuite s'ouvre l'explorateur et c'est en titre de cette fenêtre qu'il est noté Please select original (non-encrypted) file
Tu sélectionnes donc ton fichier sain.
..... et tu suis la procédure
@+
PS : Qu'entends-tu par un problème d'homonyme ?
-
homonyme: 2 fichiers identiques
-
Re,
homonyme: 2 fichiers identiques
Tu t'es trompé quand tu as présenté le fichier sain à l'autre outil RannohDecryptor ?
-
à mon avis oui
voici ce que me dit le rapport de matsnu:
no match betwen files found
second files just encrypted
-
Re,
Tu peux m'indiquer le nom exact du fichier sain que tu présentes à l'outil ainsi que le nom exact de son homologue "locked" ?
-
j'ai fini par retrouvé des photos sur cd
et voilà tout est OK
JE SUIS TROP :BAN
mais grace à qui ? à toi, à ta patience,
encore MERCI si je fais d'autres beises je saurai à qui m'adresser
si peux me permettre :AAF
-
Re,
Ah ! Bonne nouvelle :D
Tu as récupéré tous tes fichiers ?
Tu as pu débloquer avec quel outil ?
Parce que maintenant il va falloir supprimer tous les fichiers identifiés "locked".
J'attends de tes nouvelles pour finaliser la procédure.
@+
-
BONJOUR
Excuse du silence
oui tout est rentré dans l'ordre
j'ai débloqué avec MATSNU j'aurai pu le faire avec RANNOHH,c'est moi qui manoeuvrait mal
tous mes fichiers locked sont supprimés
peux tu me conseiller un antivirus efficace ?
DOIS JE CHANGER MES MOTS DE PASSE, etc.....
Merci et @+
-
Bonjour,
Bien, tu as bien avancé.
En effet, tu dois changer tous tes mots de passe et surveiller tout compte bancaire, de messagerie ou réseaux sociaux.
Pour un antivirus, tu as le choix, en voici juste 3 exemples :
http://windows.microsoft.com/fr-FR/windows/products/security-essentials
http://www.avira.com/fr/avira-free-antivirus
http://www.avast.com/fr-fr/free-antivirus-download
Tu installes celui que tu veux, pourvu qu'il y ait un antivirus installé, mais la meilleure protection reste ton comportement sur le net et de tenir son système à jour.
Nous allons pouvoir finaliser la procédure.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
- Supprime RannohDecryptor et matsnu1-decryptor de ton Bureau
- Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
/!\ Change tous tes mots de passe
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
- Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
Les dangers du Peer-To-Peer, Emule etc.. (http://forum.malekal.com/les-dangers-peer-peer-emule-etc-t3208.html)
Pourquoi éviter le P2P ? Point législatif & dangers (http://forum.malekal.com/pourquoi-eviter-p2p-point-legislatif-dangers-t3257.html)[/list]
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-
bonsoir
voilà j'ai suivi les instructions
donc merci de votre aide precieuse, sans vous tous et surtout à toi j'etais dans la m........
cordialement
smalldomy
-
Bonsoir,
Bonne continuation et bon surf :AAC