Auteur Sujet: fichiers locked - virus gendarmerie - résolu  (Lu 7721 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
fichiers locked - virus gendarmerie - résolu
« le: juin 05, 2012, 13:15:28 »
bonjour je suis Flo, mon pc a été infecté par le fameux virus.
mes fichiers sont tous locked.
j'ai donc démarré OTL comme mentionné.
et ci joint la copie des propriétés du système ainsi que les deux rapports OTL.
merci d'avance de votre aide.
« Modifié: juin 07, 2012, 23:27:26 par flos »

Security-X

fichiers locked - virus gendarmerie - résolu
« le: juin 05, 2012, 13:15:28 »

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #1 le: juin 05, 2012, 19:01:56 »
Encore flo, pour mentionneer que je n'ai pas l'habitude d'aller sur des forum et que je ne sais pas si mon message est correct ; j'espere que quelqu'un pourra m'aider. merci.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #2 le: juin 05, 2012, 19:33:47 »
Bonsoir Flos,

Bienvenu sur Security-X,

Ne t'inquiète pas tout est correct, mais nous sommes assez occupé par ces nombreux cas d'infections comme le tiens, je te répondrais ce soir.

 :AAN

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #3 le: juin 05, 2012, 19:35:04 »
MILLE FOIS MERCI PAR AVANCE!!!!

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #4 le: juin 05, 2012, 22:16:18 »
Re,

Ok allons-y.

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


  Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    O4 - HKU\S-1-5-21-745119714-4267315126-528004870-1006..\Run: [A0D2439C] C:\WINDOWS\system32\803FC80FA0D2439C3877.exe File not found
    O4 - HKU\S-1-5-21-745119714-4267315126-528004870-1006..\Run: [bkhu79m9pe] C:\Documents and Settings\florence seguela\bkhu79m9pe.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\803FC80FA0D2439C3877.exe) -  File not found
    O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
    [2012/05/29 23:56:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/05/29 23:56:57 | 000,037,888 | ---- | M] () -- C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg
    [2012/05/29 23:56:45 | 001,440,054 | ---- | C] () -- C:\WINDOWS\System32\winsh325
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
    [2012/05/29 23:56:44 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
    [2012/05/29 23:56:44 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Pour la suite avec le décryptage, il faudrait que tu trouves une copie saine et non modifiée d'un des fichiers crypté, issue d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc.
L'outil peut en avoir besoin.

 :AAN

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #5 le: juin 06, 2012, 13:21:48 »
merci pour cette étape ; j'ai rentré le code et cliqué sue correction et je joins le rapport ci dessous et en pj.
j'ai trouvé un doc sain à part ; que dois-je faire maintenant?
encore une fois c'est vraiment bien super cet aide ; merci


All processes killed
========== OTL ==========
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\A0D2439C scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\bkhu79m9pe scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\803FC80FA0D2439C3877.exe scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Folder C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl\ not found.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File delete failed. C:\WINDOWS\System32\CONFIG.TMP scheduled to be deleted on reboot.
File C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg not found.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh325 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh324 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh323 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh322 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh321 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh320 scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
->Temporary Internet Files folder emptied: 400640 bytes
 
User: florence seguela
 
User: LocalService
 
User: NetworkService
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.46.1 log created on 06062012_090946

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #6 le: juin 06, 2012, 13:54:08 »
Re,

Garde le fichier sain de côté pour ensuite.

Le script semble s'être mal passé, as-tu bien lancé l'outil de ton bureau ?
Avais-tu bien coupé la protection d'antivir avant ?

As-tu bien respecté la procédure ? (copier touts le texte, etc ...)

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #7 le: juin 06, 2012, 17:06:15 »
je l'avais bien lancé depuis le bureau et et copié tout le texte mais je crois que je n'avait pas arreté l'antivirus.
je recommence?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #8 le: juin 06, 2012, 18:26:02 »
Re,

Oui, je te recolle ici la procédure à effectuer.
On va aussi télécharger une nouvelle version d'OTL pour être sûr ;)


Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    O4 - HKU\S-1-5-21-745119714-4267315126-528004870-1006..\Run: [A0D2439C] C:\WINDOWS\system32\803FC80FA0D2439C3877.exe File not found
    O4 - HKU\S-1-5-21-745119714-4267315126-528004870-1006..\Run: [bkhu79m9pe] C:\Documents and Settings\florence seguela\bkhu79m9pe.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\803FC80FA0D2439C3877.exe) -  File not found
    O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
    [2012/05/29 23:56:34 | 000,000,000 | ---D | C] -- C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/05/29 23:56:57 | 000,037,888 | ---- | M] () -- C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg
    [2012/05/29 23:56:45 | 001,440,054 | ---- | C] () -- C:\WINDOWS\System32\winsh325
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
    [2012/05/29 23:56:45 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
    [2012/05/29 23:56:44 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
    [2012/05/29 23:56:44 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #9 le: juin 07, 2012, 18:44:52 »
voila, le nouveau rapport OTL
j'espère que cette fois ci ce sera mieux déroulé.


All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\A0D2439C deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\bkhu79m9pe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\803FC80FA0D2439C3877.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl folder moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
File C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg not found.
C:\WINDOWS\system32\winsh325 moved successfully.
C:\WINDOWS\system32\winsh324 moved successfully.
C:\WINDOWS\system32\winsh323 moved successfully.
C:\WINDOWS\system32\winsh322 moved successfully.
C:\WINDOWS\system32\winsh321 moved successfully.
C:\WINDOWS\system32\winsh320 moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 400640 bytes
 
User: florence seguela
->Temp folder emptied: 67791081 bytes
->Temporary Internet Files folder emptied: 18334977 bytes
->Java cache emptied: 116118 bytes
->FireFox cache emptied: 192119652 bytes
->Flash cache emptied: 17028 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 279476 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6178478 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 423522 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 596480 bytes
 
Total Files Cleaned = 273,00 mb
 
 
OTL by OldTimer - Version 3.2.46.2 log created on 06072012_181922

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #10 le: juin 07, 2012, 20:00:38 »
 :III Bonsoir,

Oui c'est beaucoup mieux ;)

On passe au décryptage :

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.


  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #11 le: juin 07, 2012, 21:31:30 »
yes !!!!! on dirait que ça a marché!
super super super cool !!!
merci merci bcp!

a par suprimer les fichiers locked il n'y a rien d'autre à faire?




________________________________________
21:19:47.0826 3940   Statistic:
21:19:47.0826 3940   Processed:   49526
21:19:47.0826 3940   Suspicious:   0
21:19:47.0826 3940   Found:      1229
21:19:47.0826 3940   Decrypted:   1229
21:19:47.0826 3940   ================================================================================
21:19:47.0826 3940   Scan finished
21:19:47.0826 3940   ================================================================================
21:20:42.0888 2736   Deinitialize success

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked - virus gendarmerie
« Réponse #12 le: juin 07, 2012, 22:10:10 »
Re,

On ne lâche personne avant de le dire ;)

Vérifie que les fichiers  décryptés sont exploitable.
Si oui, et si ce n'est pas fait, relance l'outil avec l'option de suppression des doubles crypté (voir procédure précédente)

Ensuite pour conclure :

1) Relance  OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Tu peux supprimer manuellement le fichier RannohDecryptor.exe


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Supprime ensuite dans ta liste des programmes, si encore présent : Java(TM) 6 Update 3 et Java(TM) 6 Update 31

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que l'ancienne version Adobe Reader 8.1.0 ai été supprimée dans ta liste des programmes, sinon fait-le.

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Rappel :
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X
     :AAN

Hors ligne flos

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked - virus gendarmerie
« Réponse #13 le: juin 07, 2012, 23:26:08 »
Merci ; on dirait que tout es nickel
encore vraiment merci!!!
 :) :) :) :) :)