Auteur Sujet: infection gendarmerie + les fichiers locked- résolue  (Lu 14085 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Bonjour,

Je vient d'être infecté par le virus de la gendarmerie, j'ai lancer kapersky rannohDecryptor , et je suis actuellement a plus de 9000 fichier decrypté, pouvez vous m'aider à poursuivre ma desinfection.

Merci d'avance

Sandrine
« Modifié: mai 20, 2012, 19:01:42 par sandee »

Security-X


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #1 le: mai 18, 2012, 09:32:50 »
Bonjour sandee,

Bienvenu sur Security-X,

Laisse terminer le scan des fichiers et le décryptage.
Si tu as des problèmes durant cette phase, vient nous le dire.

Quand ce sera fait, poursuit d'abord avec cette procédure afin qu'on nettoie l'infection si elle est encore présente :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT
  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #3 le: mai 18, 2012, 14:39:48 »
Re,

Tu as été infecté car Adobe reader n'était pas à jour sur ce pc, nous ferons les mises à jour en fin de procédure.

Tu as aussi plusieurs infections par adware (logiciel publicitaire) sur ce pc, on va tout traiter, plus de trace de l'infection initiale qui a crypté les fichiers par contre, tant mieux.

1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

- Yontoo 1.10.02 (adware)
- SweetPacks Toolbar for Internet Explorer 4.4 (idem)
- Complitly (idem)
- chat-land (idem)
- SweetIM for Messenger 3.6 (idem)
- searchweb (idem)

2) Tu as des restes d'un ancien antivirus, utilise ce logiciel pour nettoyer :

http://www.inforumatique.fr/index.php/utilitaires/nettoyeurs-et-desinstallateurs/item/97-d%C3%A9sinstallateur-mcafee.html


3) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    SRV - [2009/10/27 11:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files (x86)\McAfee\MPF\MpfSrv.exe -- (MpfService)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
    IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\searchweb\tbhelper.dll ()
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&babsrc=SP_ss&mntrId=103d1a7b0000000000000026c62d085b
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1003\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\searchweb\tbhelper.dll ()
    CHR - Extension: No name found = C:\Users\sandee\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
    CHR - Extension: No name found = C:\Users\sandee\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
    O2:64bit: - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\sandee\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)
    O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~2\mcafee\msk\MSKAPB~1.DLL File not found
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\sandee\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
    O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~2\mcafee\msk\mskapbho.dll File not found
    O2 - BHO: (TBSB02609 Class) - {C0924543-15FD-4F3D-889C-0B4562A9CB45} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
    O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC)
    O3 - HKLM\..\Toolbar: (searchweb) - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
    O3 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\Toolbar\WebBrowser: (no name) - {9BB815EB-3F9F-4E11-9150-CB70E29B40FC} - No CLSID value found.
    O3 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
    O4 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000..\Run: [Bubble Dock] "C:\Users\sandee\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
    O4 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000..\Run: [lan] C:\Users\sandee\chat-land\Chat-Landmessenger.jar ()
    O4 - Startup: C:\Users\sandee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\binternet.lnk =  File not found
    O9 - Extra Button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe File not found
    O9 - Extra 'Tools' menuitem : PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe File not found
    O9 - Extra Button: searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
    O9 - Extra 'Tools' menuitem : searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
    O15 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..Trusted Domains: chat-land.org ([]* in Sites de confiance)
    [2012/05/18 00:14:41 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1F825E35-E85C-4862-BA27-03EB4AD0110E}
    [2012/05/18 00:14:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1336B87E-01C3-4FF2-AB7C-E232BC017330}
    [2012/05/17 14:56:34 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F4A4A13B-7555-448F-A359-D9D3C85C6973}
    [2012/05/17 14:56:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E8F1261A-D383-44F1-A4B8-9D2FBF8CB40A}
    [2012/05/17 14:56:08 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3A6F3303-7EB4-4557-8CBA-488D166C6B1E}
    [2012/05/17 03:25:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\1ClickDownload
    [2012/05/16 22:04:22 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F98D67B9-C352-473A-B5C3-3C72BC6080E9}
    [2012/05/16 22:04:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B1C7BE55-9DE3-4C78-B562-F7983DF21E2D}
    [2012/05/16 10:03:40 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{7BD46A76-4B3B-4BAF-903D-EC0CECAB46FF}
    [2012/05/16 10:03:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FA6FA4A0-4437-4768-AE1F-229DA6570CF1}
    [2012/05/15 21:51:52 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1729ED97-02EE-4026-A6A8-28925E6C5C5F}
    [2012/05/15 21:51:39 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F2EDDDB8-98F8-46CD-B8B3-53D9B8AC960A}
    [2012/05/12 02:50:34 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{16D54214-B926-40B1-860A-3B045B7FA7DF}
    [2012/05/11 12:44:27 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B164A0F7-CC2E-42DB-ACB1-FCF59C63B903}
    [2012/05/11 12:44:14 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{32CCBC13-7CC1-4B2E-A83C-C1D51150705F}
    [2012/05/09 14:36:37 | 000,000,000 | ---D | C] -- C:\Users\sandee\historique_ChatLand
    [2012/05/09 14:36:37 | 000,000,000 | ---D | C] -- C:\Users\sandee\chat-land
    [2012/05/09 14:32:06 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E2B36F67-E831-4032-87AD-41F3A8A321BC}
    [2012/05/09 14:31:54 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8A9B994A-B5FF-4559-A881-DB24EA33DE4D}
    [2012/05/03 10:27:08 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{6D0799BF-98A3-4267-9E46-FFFB1390FCCE}
    [2012/05/03 10:26:48 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{54D33FBF-82E4-4914-BEF2-D8DA88502999}
    [2012/05/02 20:32:29 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0971C7DF-1D35-4F85-814F-93413D7556DC}
    [2012/05/02 20:32:14 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{229B008D-8127-4DFA-94B5-F6E35147AD64}
    [2012/05/02 20:32:00 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0C805DF9-75FA-4245-AE13-65B3453E76BA}
    [2012/05/02 01:29:30 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3EBD04DF-C054-4E94-BF3C-B2F0B2AE7AB2}
    [2012/05/02 01:29:17 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0E3F2DA1-D0E1-4FB5-A971-8364ED949343}
    [2012/04/28 13:24:56 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{5D295AE0-464E-4316-B4B9-AB12D29ECF21}
    [2012/04/28 13:24:45 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F7F058A3-93C7-406D-B874-0E650749A61B}
    [2012/04/27 11:46:49 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{762F1302-6E04-4547-B59C-26B2BD4CE004}
    [2012/04/27 11:46:35 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0E5D5F9A-AF06-4245-A398-03D0D1643F0F}
    [2012/04/27 11:46:22 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C3AE93A0-B0E6-4B6F-98EB-0E9320DC0E45}
    [2012/04/26 13:56:35 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{955A9DB3-F60D-4498-8E7B-EF0969FFF006}
    [2012/04/26 13:56:09 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{99A44D02-B12A-4C30-9673-3C06CE9B8A04}
    [2012/04/26 13:55:54 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{63BBD3EF-77BF-4C2B-B8F4-CEAF3B427937}
    [2012/04/24 14:47:38 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EF83BBE7-9DF0-4D2F-A44A-3B3BD3576C3C}
    [2012/04/24 14:47:26 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{229F4891-61E5-4C74-8FC8-396FD7AC6828}
    [2012/04/30 14:26:33 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F2C55F73-B596-4F97-90E7-26B77FDA1CCC}
    [2012/04/30 14:26:19 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{4092D1F0-2BAA-498B-8626-B16525083ED1}
    [2012/04/30 14:26:07 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8D6AAD3D-26B1-4F98-A43C-FFDB0E13126F}
    [2012/04/29 21:30:41 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E190D22C-DA50-4CB7-807C-89DFC62A9151}
    [2012/04/29 21:30:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{5BF84C0B-11B2-46B8-8BEC-3A3F708043E9}
    [2012/04/20 12:46:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FF091975-8D83-426A-9E93-DDDFFBF39BE0}
    [2012/04/20 12:45:58 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A23B5A6F-BFD2-408F-A1A1-B89280C3FDEA}
    [2012/04/20 00:24:03 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{25D75280-862D-49BD-BED8-96B00EDA0F8B}
    [2012/04/20 00:23:52 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{117D0933-0E24-4627-8BD4-B724CFE32DE5}
    [2012/04/20 00:23:39 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{01E44C60-A49F-4930-AB60-59E4E036F291}
    [2012/04/19 12:10:17 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1EB4A355-FBF4-4F8C-864A-08FAE39639C2}
    [2012/04/19 12:10:03 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FD1B93C8-D8F4-4DD3-9442-6E387648EFEA}
    [2012/04/19 12:09:48 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B91D5501-C78E-44BB-9BF4-6F714C16042B}
    [2012/04/18 14:10:27 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{6DBB0118-67F8-465C-AAC6-361334E3956F}
    [2012/04/18 14:10:15 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{51F4ECD9-0C8B-4187-B75A-B6F4A34699A2}
    [6 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [1 C:\Users\sandee\*.tmp files -> C:\Users\sandee\*.tmp -> ]
    [2012/05/18 00:08:29 | 000,000,114 | ---- | M] () -- C:\Users\sandee\Application Data\Microsoft\Internet Explorer\Quick Launch\Chat-Land site de chat et de rencontre gratuit.URL
    [2012/05/18 00:08:23 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Babylon
    [2012/05/18 00:08:24 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Complitly
    [2012/03/01 17:40:57 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Nosibay
    [2012/05/18 00:08:31 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\OfferBox
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
    @Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3C6860C5

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "TCP Query User{117BA724-083D-4B0B-99EB-C39F3BF05D2E}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
    "UDP Query User{5786F5B8-DFE2-487F-B6A9-6DFEDD8BBFED}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-

    :Files
    C:\Program Files (x86)\SweetIM
    C:\Program Files (x86)\McAfee
    C:\Program Files (x86)\searchweb
    C:\Users\sandee\AppData\Roaming\Complitly
    C:\Program Files (x86)\Yontoo

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


As-tu effectué la suppression des fichier "locked" après avoir vérifier que tu avais tout retrouvé ?
J'en vois dans le rapport encore :
Citer
[2012/05/17 21:42:35 | 000,000,015 | ---- | M] () -- C:\Users\sandee\locked-prncnfgd.kwkk
[2012/05/17 21:01:35 | 000,000,011 | ---- | M] () -- C:\Users\sandee\locked-logie.ttxt

 :AAN

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #4 le: mai 18, 2012, 15:00:26 »
Merci,

Je n'ais pas réussi a désinstaller yontoo , aucune réaction
j'ai desintaler MCfee product

Sinon j'ai récupérer mes photos et film mais tous mes fichier word, exel.... impossible à ouvrir , le decryptage n'as pas fonctionné pour eux , un message d'avertissement s'ouvre  : AVERTISSEMENT : "la validationde fichier Office a detecté un problème à l'ouverture de ce fichier. L'ouverture de ce fichier est probablement dangereuse, et peut permettre à un utilisateur malvaillant de prendre le contrôle de votre ordinateur."

Est ce que je peut passer à l'étape OTL Correction ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #5 le: mai 18, 2012, 15:11:35 »
Re,

Pas grave pour yontoo, le scrip va l'enlever.

Citer
Sinon j'ai récupérer mes photos et film mais tous mes fichier word, exel.... impossible à ouvrir , le decryptage n'as pas fonctionné pour eux , un message d'avertissement s'ouvre  : AVERTISSEMENT : "la validationde fichier Office a detecté un problème à l'ouverture de ce fichier. L'ouverture de ce fichier est probablement dangereuse, et peut permettre à un utilisateur malvaillant de prendre le contrôle de votre ordinateur."

Il est possible que cet avertissement vienne car la signature initiale ai été modifiée lors du cryptage/décryptage, normalement ils ne présentent pas de danger.
Si tu passes outre cet avertissement ils s'ouvrent ensuite ? Les données sont correctes dedans ?


Tu peux passer OTL oui, il ne touche pas au fichiers crypté/décrypté.

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #6 le: mai 18, 2012, 15:23:48 »
Malheureusement j'arrive pas à ouvrir les fichiers

le message finale est  : word a rencontré une erreur lors de l'ouverture du fichier, essayez de :
- verifier les autorisation du fichier/ lecteur
- vérifier que la mémoir et l'espace disque sont suffisants
- Ouvrir le fichier avec le convertisseur récupération de text C:User\sandee\...\motivation.doc

Je lance Otl et revient vers vous :)

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #7 le: mai 18, 2012, 15:37:09 »
Voici le rapport

http://pjjoint.malekal.com/files.php?id=20120518_5e12f8f11e14

Word me propose cette solution :
Ce message d'erreur apparaît lorsque le document que vous essayez d'ouvrir est corrompu. Vous pouvez récupérer un fichier corrompu ou son contenu en utilisant le convertisseur de récupération de texte (installation nécessaire) ou la fonction Ouvrir et réparer.
La fonction Ouvrir et réparer est accessible à partir de la boîte de dialogue Ouvrir. Pour ouvrir le fichier et tenter une réparation, cliquez sur le bouton Microsoft Office, sur Ouvrir, puis recherchez le fichier endommagé et cliquez dessus une seule fois. Au lieu de cliquer sur le bouton Ouvrir dans le coin inférieur droit de la boîte de dialogue pour ouvrir le fichier, cliquez sur la flèche vers le bas à droite du bouton et sélectionnez Ouvrir et réparer dans le menu. Si le fichier est réparable, il s'ouvre dans l'espace de travail du document.
Le convertisseur Récupération de texte, s'il est installé, figure dans la liste déroulante Types de fichiers, située dans la boîte de dialogue Ouvrir. Il figure dans cette liste sous le nom : Récupérer le texte de tout type de fichier (*.*).
Pour plus d'informations, voir l'article 916145 de la Base de connaissances Microsoft.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #8 le: mai 18, 2012, 19:22:37 »
Re,

C'est ok pour le script OTL.

Pour tes documents word :
http://support.microsoft.com/kb/918429

Essaye donc effectivement la méthode 5 de ce lien
Méthode 5 : Tentative de réparation forcée d'un fichier par Word

Mais je suis pas sûr que cela fonctionnera, il est possible que le décryptage est échoué pour ceux-là.

Aucun autre document, photo, vidéo, etc n'a de souci d'ouverture ?

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #9 le: mai 18, 2012, 19:40:03 »
merci,
la methode 5 fonctionne pas :(
pour le reste tous fonctionne correctement..
word m'indique egalement , mémoire ou espace disque insuffisant pour terminer l'opération , s'avez vous de quoi il s'agit ...
sinon bien tampis , me conseillez vous de supprimer tous ces fichiers word et exel endommager ??

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #10 le: mai 18, 2012, 21:44:28 »
Re,

Je voudrais tester un truc avant.

Peux-tu au choix me faire parvenir un de ces fichier pour que je le teste (je te donnerais un mail si tu choisis ceci), ou tester chez toi en installant une autre suite bureautique comme OpenOffice ou LibreOffice
http://fr.openoffice.org/
http://fr.libreoffice.org/

Puis tester d'ouvrir un fichier avec

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #11 le: mai 18, 2012, 22:35:01 »
J'ai essayé d'ouvrir un fichier word avec  Appach openoffice mais rien , le programme se bloque quand il tente d'ouvrir le fichier :" le programme ne répond pas".
Pour votre deuxiéme liens j'ai pas trouver le fichier exe du programme , je souhaite alors vous envoyer un de mes fichier word à votre adresse mail.

J'ai vue aussi que yontoo est toujours dans mes programmes , j'ai également plusieurs programmes qui ne fonctionnent plus depuis l'infection comme un petit jeux "bejeweled 2 delux"  et j'aimerai les desinstaller via le panneau de configuration / desinstalation de programme , mais impossible. Avez vous quelques conseils à me donner a ce sujet .  :)

Encore et toujours merci de votre aide, vous êtes super , je vous souhaite une bonne soirée. :AAC

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #12 le: mai 18, 2012, 22:45:44 »
Re,

je t'ai envoyé un Mp avec l'adresse mail, mais je pense que si OpenOffice plante, je n'arriverais pas à grand chose de plus.

Pour Yontoo, c'est un reste inactif, on nettoiera après, pareil avec le jeu.

 :AAN


Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #13 le: mai 18, 2012, 23:01:00 »
re, je vous est envoyer le petit mail :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #14 le: mai 19, 2012, 10:20:54 »
Bonjour ;)

Alors, le fichier excel/ods (format libre), a eu besoin d'une réparation, s'ouvre, mais il est vide ...

Par contre chez moi le fichier word s'ouvre sans souci, je l'ai ré-enregistré puis je te l'ai renvoyé, essaye de voir si tu peux l'ouvrir. Le texte est lisible est semble entier (sauf peut-être la mise en page, mais c'est un moindre mal.)

Si c'est ok, alors tu essayeras d'installer LibreOffice qui semble les gérer lui.

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #15 le: mai 19, 2012, 13:31:38 »
Bonjour,

Bien voila tous va bien , je peut désormais ouvrir tous mes document avec libre office , c'est nikel. J'ai aussi pu ouvrir le fichier word que vous m'aviez renvoyé. Je suis ravie :)

Merci !!!
Bravo!!

Concernant mes programmes que j'arrive pas à suprimé j'attend vos instruction (sans abuser de votre gentillesse  :AAN) , et puis dois je re créer un nouveau profil utilisateur , comme j'ai pu le voir pour d'autre sur le forum...


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #16 le: mai 19, 2012, 13:59:48 »
Re,

Pour les deux programmes, fais ceci :

  Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "TCP Query User{117BA724-083D-4B0B-99EB-C39F3BF05D2E}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
    "UDP Query User{5786F5B8-DFE2-487F-B6A9-6DFEDD8BBFED}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bejeweled 2 Deluxe]

    :Files
    C:\Program Files (x86)\SweetIM
    C:\Program Files (x86)\McAfee
    C:\Program Files (x86)\searchweb
    C:\Users\sandee\AppData\Roaming\Complitly
    C:\Program Files (x86)\Yontoo

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #17 le: mai 19, 2012, 16:40:19 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #18 le: mai 19, 2012, 19:01:19 »
Re,

Tu ne l'as fait qu'une fois la procédure ? On dirait que ce que j'ai prescris avait déjà été exécuté ...

Les programmes ont-ils été enlevé de ta liste des programmes maintenant ?

As-tu encore des soucis ? Sinon on passera au nettoyage des outils et à la conclusion.

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #19 le: mai 19, 2012, 20:29:42 »
re ,

mes programmes sont toujours la , j'ai du effectivement relancer une seconde fois la procédure car OTL m'a indiquer " le programme ne répond plus" .
Au redemarrage de mon pc ça aussi planter , apres l'analyse correctif de OTL, l'écran restais noir sans redémarrer , j'ai alors forcé l'arret .

 :oups:

sorry et  toujours et encor merci :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #20 le: mai 19, 2012, 21:30:05 »
Re,

Ok, il faut me le dire quand tu as ce genre de souci, c'est mieux ;)

Télécharge CCleaner Slim (sans toolbar) de Piriform :

  • Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici)
  • Ceci terminé, lance le programme.
  • Clique sur "Outils" -> "désinstallation de programmes"
  • Clique sur "Enregistrer dans un fichier ..." en bas à droite
  • Poste-moi le contenu de ce rapport dans ta prochaine réponse s'il te plait.


 :AAN

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #21 le: mai 20, 2012, 03:09:43 »
Bonjour ;)

c'est noter si je rencontre un soucis , je n'oublirai pas de le préciser  :oups:
voici le fichier de Ccleaner
http://pjjoint.malekal.com/files.php?id=20120520_j9c13s5c12y7
mes jeux lego ne fonctionne plus aussi , je suis ok pour  les desintaller du coup aussi ... si ya  possibilité  (et pas le choix lol)

merci bcp

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #22 le: mai 20, 2012, 10:15:07 »
Re,

Et ils ne se désinstalle pas normalement eux non ? Où ils se sont désinstallé et reste dans la liste ?


Pour les autres, toujours dans Ccleaner au même endroit, sélectionne le programme désiré, puis à droite, clique sur "Effacer l'entrée"
(donc pour Yontoo, car l'autre je le vois plus moi)

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #23 le: mai 20, 2012, 11:57:33 »
coucoun

Bien voila , mes lego se sont bien desintallés normalement ;) et j'ai effacer yontoo avec Ccleaner , mes programmes restant marche bien donc c'est parfait.

merci !!!!!

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #24 le: mai 20, 2012, 15:22:55 »
Re  :III

Bien on clôture alors :

1) Relance  OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement RannohDecryptor

    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Un conseil, à vérifier car après suppression des fichiers décryptés maintenant, on regagne de la place, mais ton disque commence à être plein :

    Drive C: | 450,44 Gb Total Space | 68,94 Gb Free Space | 15,31% Space Free | Partition Type: NTFS




    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )


  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.


    A bientôt sur Security-X
     :AAN

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #25 le: mai 20, 2012, 18:31:33 »
re coucou :)

lorsque je clique sur SXCU.exe , executer en tant qu'administrateur rien ne se passe ... que me conseillez vous :)   

merci

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #26 le: mai 20, 2012, 18:42:41 »
Re,

D'engueuler le développeur qui doit trainer pas loin sur le forum  :NNN

Et en double-cliquant simplement dessus, il s'ouvre ou pas ? (il faut lui laisser quelques seconde pour charger des numéros de versions via une connexion web)

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #27 le: mai 20, 2012, 18:57:57 »
hihi cher dévellopeur :)
 ça marche pas non plus rien ne se passe :p  je suis désoler de vous importuner sinon :)
j'ai quand meme mise à jour adobe reader, intallé firefox , et noter tous vos conseil pour optimiser mes chances de ne plus me faire infecté,
 en tous cas je reviendrais sur votre super forum pour m'instruire informatiquement

merci a vous et toute votre équipe S-x

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : infection gendarmerie + les fichiers locked-
« Réponse #28 le: mai 20, 2012, 18:58:53 »
désoler , si si ça marche  rhooo :NNN

à bientot et bonne continuation

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : infection gendarmerie + les fichiers locked-
« Réponse #29 le: mai 20, 2012, 19:02:23 »
 :)

Faut nous le dire sinon, on peut rechercher la cause et voir si c'est un souci de l'outil ou sur ton pc.

Si tout est ok et surtout que tu maintiens et à fait les mises à jour de Java, flash player et adobe reader, c'est bon ;)

@ bientôt.
 :AAN