Security-X
Forum Security-X => Désinfections => Discussion démarrée par: mobyboye le mai 31, 2012, 10:39:09
-
Bonjour,
Suite à une infection par le virus gendarmerie j'ai utilisé Malwarebytes (je n'ai pas conservé le journal).
- j'ai récupéré la main
- mes fichiers sont transformés et bloqués sous forme locked-nom de fichier.suffixe bidon type .tzud ou .wjpp
En farfouillant sur ce forum j'ai utilisé OTL.exe avec les options suivantes
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
Ci joint les rapports obtenus.
A partir de là je suis démuni. Pas besoin de préciser que j'ai besoin de récupérer toutes ces photos et documents précieux...
Quelqu'un de calé peut il me guider sur la suite de la manœuvre ?
Merci d'avance
Mobyboye
-
Bonjour mobyboye,
Bienvenu sur Security-X,
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :
- Java(TM) 6 Update 22 (version obsolète, tu possèdes une plus récente)
- Spybot - Search & Destroy (complètement obsolète et peu utile ...)
- Bing Bar (barre d'outil, sauf réelle utilité)
- SpeedyPC Pro (éditeur à la réputation douteuse, programme peu ou pas utile, limite arnarque)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
PRC - [2009/03/05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKU\S-1-5-21-3618305140-2222764076-1088691877-1000..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
2012/05/29 16:28:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
[2012/05/29 16:28:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012/05/29 16:28:14 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy
[2012/05/29 16:02:07 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Roaming\SpeedyPC Software
[2012/05/29 16:02:07 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Roaming\DriverCure
[2012/05/29 16:01:57 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedyPC Software
[2012/05/29 16:01:56 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
[2012/05/29 16:01:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SpeedyPC Software
[2012/05/29 16:01:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\SpeedyPC Software
[2012/05/29 10:14:56 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Roaming\Dmtpy
[2012/05/29 08:57:49 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{BE1847F3-A84D-4576-9A17-30F020E99142}
[2012/05/29 08:57:35 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{99C80FC9-7C76-4327-ACD6-D1DB93AEF3C5}
[2012/05/27 20:47:07 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{E3400ED8-FBD5-4EE4-B35A-8F2BC96B329C}
[2012/05/27 20:46:53 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{9A944BF8-42A5-4086-B90B-8C58B80C20A9}
[2012/05/27 10:24:15 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{755B4CB8-1C23-4E90-93C0-2D896055B46A}
[2012/05/25 14:06:27 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{C66B391E-1D8C-458B-89B4-6E0A78D1C9C2}
[2012/05/25 14:06:16 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{AEF58375-4F5D-4DF3-BF55-8527C7E619F9}
[2012/05/25 01:39:28 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{6F3CD1F2-1223-4B9F-B669-FB0F39B3989B}
[2012/05/25 01:38:37 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{C76AC5C7-8610-4E9E-915A-AF9CB01E1690}
[2012/05/23 09:00:54 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{B8CA5C7B-2E79-4C8C-A12E-10386E236407}
[2012/05/23 09:00:42 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{56CC3FEE-66AB-4E1F-94EC-A450BE23B24C}
[2012/05/22 23:02:47 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{743AC079-B985-4D24-9D06-A0BB55B00867}
[2012/05/22 10:23:37 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{18148F4C-B623-4016-BF52-A164D036C350}
[2012/05/22 10:23:26 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{A53803C2-DEF8-4886-BBAC-BBE92DF16B5F}
[2012/05/21 14:16:53 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{C0B99FB3-8CEA-4E5B-BB74-72E6200B7F84}
[2012/05/21 14:16:41 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{2490E9DC-3F73-4E79-A40B-3E2DB6DBAC59}
[2012/05/21 00:39:34 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{CB70545D-B20D-4D4C-8470-652B0187C535}
[2012/05/21 00:39:21 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{87B87AB1-D01D-4F85-97F4-FDE5EF538403}
[2012/05/20 09:41:52 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{65D7D7D7-7FBC-4873-865E-A2C9E80020CE}
[2012/05/20 09:41:13 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{76C32275-5747-4E35-9AB1-DC6B72FA867D}
[2012/05/18 09:00:51 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{CA60D52B-1A46-4011-8634-FD7DE3F18536}
[2012/05/18 09:00:39 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{45A5E17C-CC30-4FE0-AA99-CCEE7E2B551F}
[2012/05/17 14:02:33 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{BCC03C02-2B0A-4AFF-ABF7-EAD4E2CB1BED}
[2012/05/17 14:01:39 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{46890F73-FA94-410F-B032-775A4EE4EC94}
[2012/05/16 14:03:34 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{CA01D974-1C95-4222-8E4F-D9AC13F10C51}
[2012/05/16 14:03:22 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{8B297C32-C2BB-4AFF-A113-3873AEE751BA}
[2012/05/16 10:02:42 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{2322F07A-2070-435A-837C-D2C84849599B}
[2012/05/16 07:58:25 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{F0E57CD2-E089-4101-B7F3-AFFD5B08D301}
[2012/05/15 09:51:46 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{C43C5C70-13E0-4BEC-8AC8-E5625251B3FE}
[2012/05/15 09:51:21 | 000,000,000 | ---D | C] -- C:\Users\Martin BÖYE\AppData\Local\{B74F7554-BEF4-42D0-85ED-F03E0C07832A}
[2012/05/29 16:28:18 | 000,001,264 | ---- | M] () -- C:\Users\Martin BÖYE\Desktop\Spybot - Search & Destroy.lnk
[2012/05/29 16:02:13 | 000,000,456 | ---- | M] () -- C:\windows\tasks\SpeedyPC Registration3.job
[2012/05/29 16:01:57 | 000,001,201 | ---- | M] () -- C:\Users\Martin BÖYE\Desktop\SpeedyPC Pro.lnk
[2012/05/29 16:01:57 | 000,000,476 | ---- | M] () -- C:\windows\tasks\SpeedyPC Update Version3.job
[2012/05/29 16:01:57 | 000,000,432 | ---- | M] () -- C:\windows\tasks\SpeedyPC Pro.job
[5 C:\Users\Martin BÖYE\Documents\*.tmp files -> C:\Users\Martin BÖYE\Documents\*.tmp -> ]
[2012/05/29 16:02:07 | 000,000,000 | ---D | M] -- C:\Users\Martin BÖYE\AppData\Roaming\DriverCure
[2012/05/29 16:02:07 | 000,000,000 | ---D | M] -- C:\Users\Martin BÖYE\AppData\Roaming\SpeedyPC Software
:Files
ipconfig /flushdns /c
C:\Program Files (x86)\Spybot - Search & Destroy
:Commands
[emptytemp]
[resethosts]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Pour la suite, il te faudra trouver un fichier sain, non modifié d'un des fichier crypté, cela servira par comparaison pour l'outil de décryptage.
Dis-moi si c'est bon.
:AAN
-
Merci pour ta rapide réponse.
Ci dessous le rapport:
All processes killed
========== OTL ==========
No active process named TeaTimer.exe was found!
No active process named SDWinSec.exe was found!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
File C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll not found.
Registry value HKEY_USERS\S-1-5-21-3618305140-2222764076-1088691877-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer not found.
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.
File C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
C:\ProgramData\Spybot - Search & Destroy\Recovery folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy\Logs folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy folder moved successfully.
C:\Program Files (x86)\Spybot - Search & Destroy folder moved successfully.
C:\Users\Martin BÖYE\AppData\Roaming\SpeedyPC Software\SpeedyPC Pro folder moved successfully.
C:\Users\Martin BÖYE\AppData\Roaming\SpeedyPC Software folder moved successfully.
C:\Users\Martin BÖYE\AppData\Roaming\DriverCure folder moved successfully.
Folder C:\Users\Martin BÖYE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpeedyPC Software\ not found.
C:\ProgramData\SpeedyPC Software\SpeedyPC Pro folder moved successfully.
C:\ProgramData\SpeedyPC Software folder moved successfully.
Folder C:\Program Files (x86)\SpeedyPC Software\ not found.
Folder C:\Program Files (x86)\Common Files\SpeedyPC Software\ not found.
C:\Users\Martin BÖYE\AppData\Roaming\Dmtpy folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{BE1847F3-A84D-4576-9A17-30F020E99142} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{99C80FC9-7C76-4327-ACD6-D1DB93AEF3C5} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{E3400ED8-FBD5-4EE4-B35A-8F2BC96B329C} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{9A944BF8-42A5-4086-B90B-8C58B80C20A9} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{755B4CB8-1C23-4E90-93C0-2D896055B46A} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{C66B391E-1D8C-458B-89B4-6E0A78D1C9C2} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{AEF58375-4F5D-4DF3-BF55-8527C7E619F9} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{6F3CD1F2-1223-4B9F-B669-FB0F39B3989B} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{C76AC5C7-8610-4E9E-915A-AF9CB01E1690} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{B8CA5C7B-2E79-4C8C-A12E-10386E236407} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{56CC3FEE-66AB-4E1F-94EC-A450BE23B24C} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{743AC079-B985-4D24-9D06-A0BB55B00867} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{18148F4C-B623-4016-BF52-A164D036C350} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{A53803C2-DEF8-4886-BBAC-BBE92DF16B5F} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{C0B99FB3-8CEA-4E5B-BB74-72E6200B7F84} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{2490E9DC-3F73-4E79-A40B-3E2DB6DBAC59} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{CB70545D-B20D-4D4C-8470-652B0187C535} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{87B87AB1-D01D-4F85-97F4-FDE5EF538403} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{65D7D7D7-7FBC-4873-865E-A2C9E80020CE} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{76C32275-5747-4E35-9AB1-DC6B72FA867D} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{CA60D52B-1A46-4011-8634-FD7DE3F18536} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{45A5E17C-CC30-4FE0-AA99-CCEE7E2B551F} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{BCC03C02-2B0A-4AFF-ABF7-EAD4E2CB1BED} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{46890F73-FA94-410F-B032-775A4EE4EC94} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{CA01D974-1C95-4222-8E4F-D9AC13F10C51} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{8B297C32-C2BB-4AFF-A113-3873AEE751BA} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{2322F07A-2070-435A-837C-D2C84849599B} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{F0E57CD2-E089-4101-B7F3-AFFD5B08D301} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{C43C5C70-13E0-4BEC-8AC8-E5625251B3FE} folder moved successfully.
C:\Users\Martin BÖYE\AppData\Local\{B74F7554-BEF4-42D0-85ED-F03E0C07832A} folder moved successfully.
File C:\Users\Martin BÖYE\Desktop\Spybot - Search & Destroy.lnk not found.
File C:\windows\tasks\SpeedyPC Registration3.job not found.
File C:\Users\Martin BÖYE\Desktop\SpeedyPC Pro.lnk not found.
File C:\windows\tasks\SpeedyPC Update Version3.job not found.
File C:\windows\tasks\SpeedyPC Pro.job not found.
C:\Users\Martin BÖYE\Documents\~WRL0003.tmp deleted successfully.
C:\Users\Martin BÖYE\Documents\~WRL0004.tmp deleted successfully.
C:\Users\Martin BÖYE\Documents\~WRL0842.tmp deleted successfully.
C:\Users\Martin BÖYE\Documents\~WRL2601.tmp deleted successfully.
C:\Users\Martin BÖYE\Documents\~WRL2729.tmp deleted successfully.
Folder C:\Users\Martin BÖYE\AppData\Roaming\DriverCure\ not found.
Folder C:\Users\Martin BÖYE\AppData\Roaming\SpeedyPC Software\ not found.
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Martin BÖYE\Downloads\cmd.bat deleted successfully.
File\Folder C:\Program Files (x86)\Spybot - Search & Destroy not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56475 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Martin BÖYE
->Temp folder emptied: 8188758 bytes
->Temporary Internet Files folder emptied: 18549730 bytes
->Java cache emptied: 57537 bytes
->FireFox cache emptied: 76549300 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 57080 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 51696 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85481 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 99,00 mb
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.44.0 log created on 05312012_161141
Files\Folders moved on Reboot...
File\Folder C:\Users\Martin BÖYE\AppData\Local\Temp\OICE_99B96AF3-7894-445A-82B3-2556E4F6DB99.0\7868376B. not found!
C:\Users\Martin BÖYE\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\windows\temp\tm_icrcL_A606D985_38CA_41ab_BCD9_60F771CF800D scheduled to be moved on reboot.
Registry entries deleted on Reboot...
========================
Pour les fichiers locked j'ai par exemple
locked-P1090137.JPG.kakl
qui remplace l'ancien
P1090137.JPG
mobyboye
-
Re,
Ok pour le rapport OTL.
Pour les fichiers locked j'ai par exemple
locked-P1090137.JPG.kakl
qui remplace l'ancien
P1090137.JPG
Oui, ça je sais que l'infection à crypté les fichiers en rajoutant ces extensions en plus ;)
Non moi ce que je te demande pour l'outil de décryptage qu'on va utiliser maintenant, c'est un fichier sain dans une de tes sauvegarde, sur un clé usb, un autre pc, ou un fichiers que tu peux retrouver quelque part qui soit la copie non modifiée d'un des fichiers crypté. En effet l’outil risque d'avoir besoin d'un fichier sain et sa copie cryptée pour comparer et lancer le décryptage.
Quand c'est bon, tu peux passer à la suite, sinon dis-moi si tu ne peux avoir aucune copie d'un fichier non crypté quelque part.
Télécharge RannohDecryptor (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) (de Kaspersky) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste le rapport dans ta prochaine réponse.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Merci à Chantal11 pour la procédure
-
Rien ne m'a été demandé.
Le scan s'est deroulé sans anicroche. Ci joint ;) le rapport du Rannoh
-
Re,
Je t'ai supprimé le rapport, c'était un document perso, pas le rapport final du décrypteur ;)
Alors oui parfois l'outil détecte lui-même le cryptage et ne demande rien, tant mieux donc.
As-tu vérifié que tous tes documents étaient décrypté ?
As-tu supprimé les fichiers en double crypté avec l'option de l'outil ?
Si tout est bon, on conclura avec le nettoyage de outils, et les mises à jour.
:AAN
-
Bonjour,
J'ai repassé RannohDecryptor avec l'option suppression des doublons locked et te joins le rapport scindé en 2 (le vrai).
A priori j'ai tout recupéré.
Mobyboye
[Fichier joint supprimé par l'administrateur]
-
Bonjour,
à priori c'est ok, sauf sur un fichier :
09:41:35.0383 6488 Statistic:
09:41:35.0383 6488 Processed: 161930
09:41:35.0383 6488 Suspicious: 0
09:41:35.0383 6488 Found: 6974
09:41:35.0383 6488 Decrypted: 6973
C'est celui-là :
08:39:41.0921 6488 Processing file: C:\Users\Martin BÖYE\locked-Projetaurélie.docx.wjfu
08:39:41.0921 6488 CopyFile(C:\Users\Martin BÖYE\locked-Projetaurélie.docx.wjfu, C:\Users\Martin BÖYE\Projetaurélie.docx) error 2
C'était un document important ? Il était pas protégé par mot de passe ou autre ?
-
Re,
Rien d'important, c'était une tentative manuelle de renommer un fichier doc pour voir si le blocage ne venait que de l'ajout du suffixe. J'imagine que n'ayant plus de suffixe ajouté, Rannoh n'a pas su quoi en faire. Je l'efface.
Penses tu que je sois désormais clean?
En tout cas un immense merci, mon ordi contenait des docs très importants pour moi et Dell (backup and recovery manager) ne semble pas très réactif.
A+
-
Re,
Ah oui, si tu as renommé un fichier cela le rend indécryptable, c'est pour cela ... ok.
On va nettoyer les outils, et clôturer :
Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Si ce n'est pas déjà fait, relance RannohDecryptor avec l'option de suppression des fichiers en double crypté pour faire le ménage. (voir procédure précédente)
Ensuite, tu peux le supprimer.
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Supprime ensuite les versions restantes obsolètes :
Java(TM) 6 Update 29 et Java(TM) 6 Update 27 (64-bit)
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Rappel aussi :
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut du message) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN