Security-X

Forum Security-X => Désinfections => Discussion démarrée par: flos le juin 05, 2012, 13:15:28

Titre: fichiers locked - virus gendarmerie - résolu
Posté par: flos le juin 05, 2012, 13:15:28
bonjour je suis Flo, mon pc a été infecté par le fameux virus.
mes fichiers sont tous locked.
j'ai donc démarré OTL comme mentionné.
et ci joint la copie des propriétés du système ainsi que les deux rapports OTL.
merci d'avance de votre aide.
Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 05, 2012, 19:01:56
Encore flo, pour mentionneer que je n'ai pas l'habitude d'aller sur des forum et que je ne sais pas si mon message est correct ; j'espere que quelqu'un pourra m'aider. merci.
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 05, 2012, 19:33:47
Bonsoir Flos,

Bienvenu sur Security-X,

Ne t'inquiète pas tout est correct, mais nous sommes assez occupé par ces nombreux cas d'infections comme le tiens, je te répondrais ce soir.

 :AAN
Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 05, 2012, 19:35:04
MILLE FOIS MERCI PAR AVANCE!!!!
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 05, 2012, 22:16:18
Re,

Ok allons-y.

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


  Relance  OTL.exe

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Pour la suite avec le décryptage, il faudrait que tu trouves une copie saine et non modifiée d'un des fichiers crypté, issue d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc.
L'outil peut en avoir besoin.

 :AAN
Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 06, 2012, 13:21:48
merci pour cette étape ; j'ai rentré le code et cliqué sue correction et je joins le rapport ci dessous et en pj.
j'ai trouvé un doc sain à part ; que dois-je faire maintenant?
encore une fois c'est vraiment bien super cet aide ; merci


All processes killed
========== OTL ==========
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\A0D2439C scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\bkhu79m9pe scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\803FC80FA0D2439C3877.exe scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ scheduled to be deleted on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Folder C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl\ not found.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File delete failed. C:\WINDOWS\System32\CONFIG.TMP scheduled to be deleted on reboot.
File C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg not found.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh325 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh324 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh323 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh322 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh321 scheduled to be moved on reboot.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
File move failed. C:\WINDOWS\system32\winsh320 scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
->Temporary Internet Files folder emptied: 400640 bytes
 
User: florence seguela
 
User: LocalService
 
User: NetworkService
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.46.1 log created on 06062012_090946
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 06, 2012, 13:54:08
Re,

Garde le fichier sain de côté pour ensuite.

Le script semble s'être mal passé, as-tu bien lancé l'outil de ton bureau ?
Avais-tu bien coupé la protection d'antivir avant ?

As-tu bien respecté la procédure ? (copier touts le texte, etc ...)
Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 06, 2012, 17:06:15
je l'avais bien lancé depuis le bureau et et copié tout le texte mais je crois que je n'avait pas arreté l'antivirus.
je recommence?
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 06, 2012, 18:26:02
Re,

Oui, je te recolle ici la procédure à effectuer.
On va aussi télécharger une nouvelle version d'OTL pour être sûr ;)


Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 07, 2012, 18:44:52
voila, le nouveau rapport OTL
j'espère que cette fois ci ce sera mieux déroulé.


All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\A0D2439C deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\Software\Microsoft\Windows\CurrentVersion\Run\\bkhu79m9pe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\S-1-5-21-745119714-4267315126-528004870-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\803FC80FA0D2439C3877.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
C:\Documents and Settings\florence seguela\Application Data\Rcyzpmbfl folder moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
File C:\Documents and Settings\florence seguela\locked-bkhu79m9pe.exe.fldg not found.
C:\WINDOWS\system32\winsh325 moved successfully.
C:\WINDOWS\system32\winsh324 moved successfully.
C:\WINDOWS\system32\winsh323 moved successfully.
C:\WINDOWS\system32\winsh322 moved successfully.
C:\WINDOWS\system32\winsh321 moved successfully.
C:\WINDOWS\system32\winsh320 moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 400640 bytes
 
User: florence seguela
->Temp folder emptied: 67791081 bytes
->Temporary Internet Files folder emptied: 18334977 bytes
->Java cache emptied: 116118 bytes
->FireFox cache emptied: 192119652 bytes
->Flash cache emptied: 17028 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 279476 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6178478 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 423522 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 596480 bytes
 
Total Files Cleaned = 273,00 mb
 
 
OTL by OldTimer - Version 3.2.46.2 log created on 06072012_181922

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 07, 2012, 20:00:38
 :III Bonsoir,

Oui c'est beaucoup mieux ;)

On passe au décryptage :

Télécharge RannohDecryptor (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) (de Kaspersky) sur ton bureau.

Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 07, 2012, 21:31:30
yes !!!!! on dirait que ça a marché!
super super super cool !!!
merci merci bcp!

a par suprimer les fichiers locked il n'y a rien d'autre à faire?




________________________________________
21:19:47.0826 3940   Statistic:
21:19:47.0826 3940   Processed:   49526
21:19:47.0826 3940   Suspicious:   0
21:19:47.0826 3940   Found:      1229
21:19:47.0826 3940   Decrypted:   1229
21:19:47.0826 3940   ================================================================================
21:19:47.0826 3940   Scan finished
21:19:47.0826 3940   ================================================================================
21:20:42.0888 2736   Deinitialize success
Titre: Re : fichiers locked - virus gendarmerie
Posté par: hyunkel30 le juin 07, 2012, 22:10:10
Re,

On ne lâche personne avant de le dire ;)

Vérifie que les fichiers  décryptés sont exploitable.
Si oui, et si ce n'est pas fait, relance l'outil avec l'option de suppression des doubles crypté (voir procédure précédente)

Ensuite pour conclure :

1) Relance  OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

Titre: Re : fichiers locked - virus gendarmerie
Posté par: flos le juin 07, 2012, 23:26:08
Merci ; on dirait que tout es nickel
encore vraiment merci!!!
 :) :) :) :) :)