Security-X
Forum Security-X => Désinfections => Discussion démarrée par: sandee le mai 18, 2012, 00:54:44
-
Bonjour,
Je vient d'être infecté par le virus de la gendarmerie, j'ai lancer kapersky rannohDecryptor , et je suis actuellement a plus de 9000 fichier decrypté, pouvez vous m'aider à poursuivre ma desinfection.
Merci d'avance
Sandrine
-
Bonjour sandee,
Bienvenu sur Security-X,
Laisse terminer le scan des fichiers et le décryptage.
Si tu as des problèmes durant cette phase, vient nous le dire.
Quand ce sera fait, poursuit d'abord avec cette procédure afin qu'on nettoie l'infection si elle est encore présente :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Bonjour,
Merci pour votre aide voici les deux rapport :
OTL
http://pjjoint.malekal.com/files.php?id=20120518_j15u15s8m6g5
EXTRAS
http://pjjoint.malekal.com/files.php?id=20120518_z5t14r6h10f9
-
Re,
Tu as été infecté car Adobe reader n'était pas à jour sur ce pc, nous ferons les mises à jour en fin de procédure.
Tu as aussi plusieurs infections par adware (logiciel publicitaire) sur ce pc, on va tout traiter, plus de trace de l'infection initiale qui a crypté les fichiers par contre, tant mieux.
1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :
- Yontoo 1.10.02 (adware)
- SweetPacks Toolbar for Internet Explorer 4.4 (idem)
- Complitly (idem)
- chat-land (idem)
- SweetIM for Messenger 3.6 (idem)
- searchweb (idem)
2) Tu as des restes d'un ancien antivirus, utilise ce logiciel pour nettoyer :
http://www.inforumatique.fr/index.php/utilitaires/nettoyeurs-et-desinstallateurs/item/97-d%C3%A9sinstallateur-mcafee.html
3) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2009/10/27 11:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Program Files (x86)\McAfee\MPF\MpfSrv.exe -- (MpfService)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\searchweb\tbhelper.dll ()
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&babsrc=SP_ss&mntrId=103d1a7b0000000000000026c62d085b
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-2898831056-3288212303-1088330031-1003\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\searchweb\tbhelper.dll ()
CHR - Extension: No name found = C:\Users\sandee\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: No name found = C:\Users\sandee\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
O2:64bit: - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\sandee\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)
O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~2\mcafee\msk\MSKAPB~1.DLL File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\sandee\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~2\mcafee\msk\mskapbho.dll File not found
O2 - BHO: (TBSB02609 Class) - {C0924543-15FD-4F3D-889C-0B4562A9CB45} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (searchweb) - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
O3 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\Toolbar\WebBrowser: (no name) - {9BB815EB-3F9F-4E11-9150-CB70E29B40FC} - No CLSID value found.
O3 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000..\Run: [Bubble Dock] "C:\Users\sandee\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
O4 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000..\Run: [lan] C:\Users\sandee\chat-land\Chat-Landmessenger.jar ()
O4 - Startup: C:\Users\sandee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\binternet.lnk = File not found
O9 - Extra Button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe File not found
O9 - Extra Button: searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
O9 - Extra 'Tools' menuitem : searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbcore3.dll ()
O15 - HKU\S-1-5-21-2898831056-3288212303-1088330031-1000\..Trusted Domains: chat-land.org ([]* in Sites de confiance)
[2012/05/18 00:14:41 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1F825E35-E85C-4862-BA27-03EB4AD0110E}
[2012/05/18 00:14:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1336B87E-01C3-4FF2-AB7C-E232BC017330}
[2012/05/17 14:56:34 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F4A4A13B-7555-448F-A359-D9D3C85C6973}
[2012/05/17 14:56:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E8F1261A-D383-44F1-A4B8-9D2FBF8CB40A}
[2012/05/17 14:56:08 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3A6F3303-7EB4-4557-8CBA-488D166C6B1E}
[2012/05/17 03:25:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\1ClickDownload
[2012/05/16 22:04:22 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F98D67B9-C352-473A-B5C3-3C72BC6080E9}
[2012/05/16 22:04:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B1C7BE55-9DE3-4C78-B562-F7983DF21E2D}
[2012/05/16 10:03:40 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{7BD46A76-4B3B-4BAF-903D-EC0CECAB46FF}
[2012/05/16 10:03:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FA6FA4A0-4437-4768-AE1F-229DA6570CF1}
[2012/05/15 21:51:52 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1729ED97-02EE-4026-A6A8-28925E6C5C5F}
[2012/05/15 21:51:39 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F2EDDDB8-98F8-46CD-B8B3-53D9B8AC960A}
[2012/05/12 02:50:34 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{16D54214-B926-40B1-860A-3B045B7FA7DF}
[2012/05/11 12:44:27 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B164A0F7-CC2E-42DB-ACB1-FCF59C63B903}
[2012/05/11 12:44:14 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{32CCBC13-7CC1-4B2E-A83C-C1D51150705F}
[2012/05/09 14:36:37 | 000,000,000 | ---D | C] -- C:\Users\sandee\historique_ChatLand
[2012/05/09 14:36:37 | 000,000,000 | ---D | C] -- C:\Users\sandee\chat-land
[2012/05/09 14:32:06 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E2B36F67-E831-4032-87AD-41F3A8A321BC}
[2012/05/09 14:31:54 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8A9B994A-B5FF-4559-A881-DB24EA33DE4D}
[2012/05/03 10:27:08 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{6D0799BF-98A3-4267-9E46-FFFB1390FCCE}
[2012/05/03 10:26:48 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{54D33FBF-82E4-4914-BEF2-D8DA88502999}
[2012/05/02 20:32:29 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0971C7DF-1D35-4F85-814F-93413D7556DC}
[2012/05/02 20:32:14 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{229B008D-8127-4DFA-94B5-F6E35147AD64}
[2012/05/02 20:32:00 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0C805DF9-75FA-4245-AE13-65B3453E76BA}
[2012/05/02 01:29:30 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3EBD04DF-C054-4E94-BF3C-B2F0B2AE7AB2}
[2012/05/02 01:29:17 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0E3F2DA1-D0E1-4FB5-A971-8364ED949343}
[2012/04/28 13:24:56 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{5D295AE0-464E-4316-B4B9-AB12D29ECF21}
[2012/04/28 13:24:45 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F7F058A3-93C7-406D-B874-0E650749A61B}
[2012/04/27 11:46:49 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{762F1302-6E04-4547-B59C-26B2BD4CE004}
[2012/04/27 11:46:35 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0E5D5F9A-AF06-4245-A398-03D0D1643F0F}
[2012/04/27 11:46:22 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C3AE93A0-B0E6-4B6F-98EB-0E9320DC0E45}
[2012/04/26 13:56:35 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{955A9DB3-F60D-4498-8E7B-EF0969FFF006}
[2012/04/26 13:56:09 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{99A44D02-B12A-4C30-9673-3C06CE9B8A04}
[2012/04/26 13:55:54 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{63BBD3EF-77BF-4C2B-B8F4-CEAF3B427937}
[2012/04/24 14:47:38 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EF83BBE7-9DF0-4D2F-A44A-3B3BD3576C3C}
[2012/04/24 14:47:26 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{229F4891-61E5-4C74-8FC8-396FD7AC6828}
[2012/04/30 14:26:33 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F2C55F73-B596-4F97-90E7-26B77FDA1CCC}
[2012/04/30 14:26:19 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{4092D1F0-2BAA-498B-8626-B16525083ED1}
[2012/04/30 14:26:07 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8D6AAD3D-26B1-4F98-A43C-FFDB0E13126F}
[2012/04/29 21:30:41 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E190D22C-DA50-4CB7-807C-89DFC62A9151}
[2012/04/29 21:30:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{5BF84C0B-11B2-46B8-8BEC-3A3F708043E9}
[2012/04/20 12:46:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FF091975-8D83-426A-9E93-DDDFFBF39BE0}
[2012/04/20 12:45:58 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A23B5A6F-BFD2-408F-A1A1-B89280C3FDEA}
[2012/04/20 00:24:03 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{25D75280-862D-49BD-BED8-96B00EDA0F8B}
[2012/04/20 00:23:52 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{117D0933-0E24-4627-8BD4-B724CFE32DE5}
[2012/04/20 00:23:39 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{01E44C60-A49F-4930-AB60-59E4E036F291}
[2012/04/19 12:10:17 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1EB4A355-FBF4-4F8C-864A-08FAE39639C2}
[2012/04/19 12:10:03 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{FD1B93C8-D8F4-4DD3-9442-6E387648EFEA}
[2012/04/19 12:09:48 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B91D5501-C78E-44BB-9BF4-6F714C16042B}
[2012/04/18 14:10:27 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{6DBB0118-67F8-465C-AAC6-361334E3956F}
[2012/04/18 14:10:15 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{51F4ECD9-0C8B-4187-B75A-B6F4A34699A2}
[6 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\sandee\*.tmp files -> C:\Users\sandee\*.tmp -> ]
[2012/05/18 00:08:29 | 000,000,114 | ---- | M] () -- C:\Users\sandee\Application Data\Microsoft\Internet Explorer\Quick Launch\Chat-Land site de chat et de rencontre gratuit.URL
[2012/05/18 00:08:23 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Babylon
[2012/05/18 00:08:24 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Complitly
[2012/03/01 17:40:57 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Nosibay
[2012/05/18 00:08:31 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\OfferBox
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3C6860C5
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{117BA724-083D-4B0B-99EB-C39F3BF05D2E}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
"UDP Query User{5786F5B8-DFE2-487F-B6A9-6DFEDD8BBFED}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
:Files
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\McAfee
C:\Program Files (x86)\searchweb
C:\Users\sandee\AppData\Roaming\Complitly
C:\Program Files (x86)\Yontoo
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
As-tu effectué la suppression des fichier "locked" après avoir vérifier que tu avais tout retrouvé ?
J'en vois dans le rapport encore :
[2012/05/17 21:42:35 | 000,000,015 | ---- | M] () -- C:\Users\sandee\locked-prncnfgd.kwkk
[2012/05/17 21:01:35 | 000,000,011 | ---- | M] () -- C:\Users\sandee\locked-logie.ttxt
:AAN
-
Merci,
Je n'ais pas réussi a désinstaller yontoo , aucune réaction
j'ai desintaler MCfee product
Sinon j'ai récupérer mes photos et film mais tous mes fichier word, exel.... impossible à ouvrir , le decryptage n'as pas fonctionné pour eux , un message d'avertissement s'ouvre : AVERTISSEMENT : "la validationde fichier Office a detecté un problème à l'ouverture de ce fichier. L'ouverture de ce fichier est probablement dangereuse, et peut permettre à un utilisateur malvaillant de prendre le contrôle de votre ordinateur."
Est ce que je peut passer à l'étape OTL Correction ?
-
Re,
Pas grave pour yontoo, le scrip va l'enlever.
Sinon j'ai récupérer mes photos et film mais tous mes fichier word, exel.... impossible à ouvrir , le decryptage n'as pas fonctionné pour eux , un message d'avertissement s'ouvre : AVERTISSEMENT : "la validationde fichier Office a detecté un problème à l'ouverture de ce fichier. L'ouverture de ce fichier est probablement dangereuse, et peut permettre à un utilisateur malvaillant de prendre le contrôle de votre ordinateur."
Il est possible que cet avertissement vienne car la signature initiale ai été modifiée lors du cryptage/décryptage, normalement ils ne présentent pas de danger.
Si tu passes outre cet avertissement ils s'ouvrent ensuite ? Les données sont correctes dedans ?
Tu peux passer OTL oui, il ne touche pas au fichiers crypté/décrypté.
-
Malheureusement j'arrive pas à ouvrir les fichiers
le message finale est : word a rencontré une erreur lors de l'ouverture du fichier, essayez de :
- verifier les autorisation du fichier/ lecteur
- vérifier que la mémoir et l'espace disque sont suffisants
- Ouvrir le fichier avec le convertisseur récupération de text C:User\sandee\...\motivation.doc
Je lance Otl et revient vers vous :)
-
Voici le rapport
http://pjjoint.malekal.com/files.php?id=20120518_5e12f8f11e14
Word me propose cette solution :
Ce message d'erreur apparaît lorsque le document que vous essayez d'ouvrir est corrompu. Vous pouvez récupérer un fichier corrompu ou son contenu en utilisant le convertisseur de récupération de texte (installation nécessaire) ou la fonction Ouvrir et réparer.
La fonction Ouvrir et réparer est accessible à partir de la boîte de dialogue Ouvrir. Pour ouvrir le fichier et tenter une réparation, cliquez sur le bouton Microsoft Office, sur Ouvrir, puis recherchez le fichier endommagé et cliquez dessus une seule fois. Au lieu de cliquer sur le bouton Ouvrir dans le coin inférieur droit de la boîte de dialogue pour ouvrir le fichier, cliquez sur la flèche vers le bas à droite du bouton et sélectionnez Ouvrir et réparer dans le menu. Si le fichier est réparable, il s'ouvre dans l'espace de travail du document.
Le convertisseur Récupération de texte, s'il est installé, figure dans la liste déroulante Types de fichiers, située dans la boîte de dialogue Ouvrir. Il figure dans cette liste sous le nom : Récupérer le texte de tout type de fichier (*.*).
Pour plus d'informations, voir l'article 916145 de la Base de connaissances Microsoft.
-
Re,
C'est ok pour le script OTL.
Pour tes documents word :
http://support.microsoft.com/kb/918429
Essaye donc effectivement la méthode 5 de ce lien
Méthode 5 : Tentative de réparation forcée d'un fichier par Word
Mais je suis pas sûr que cela fonctionnera, il est possible que le décryptage est échoué pour ceux-là.
Aucun autre document, photo, vidéo, etc n'a de souci d'ouverture ?
-
merci,
la methode 5 fonctionne pas :(
pour le reste tous fonctionne correctement..
word m'indique egalement , mémoire ou espace disque insuffisant pour terminer l'opération , s'avez vous de quoi il s'agit ...
sinon bien tampis , me conseillez vous de supprimer tous ces fichiers word et exel endommager ??
-
Re,
Je voudrais tester un truc avant.
Peux-tu au choix me faire parvenir un de ces fichier pour que je le teste (je te donnerais un mail si tu choisis ceci), ou tester chez toi en installant une autre suite bureautique comme OpenOffice ou LibreOffice
http://fr.openoffice.org/
http://fr.libreoffice.org/
Puis tester d'ouvrir un fichier avec
-
J'ai essayé d'ouvrir un fichier word avec Appach openoffice mais rien , le programme se bloque quand il tente d'ouvrir le fichier :" le programme ne répond pas".
Pour votre deuxiéme liens j'ai pas trouver le fichier exe du programme , je souhaite alors vous envoyer un de mes fichier word à votre adresse mail.
J'ai vue aussi que yontoo est toujours dans mes programmes , j'ai également plusieurs programmes qui ne fonctionnent plus depuis l'infection comme un petit jeux "bejeweled 2 delux" et j'aimerai les desinstaller via le panneau de configuration / desinstalation de programme , mais impossible. Avez vous quelques conseils à me donner a ce sujet . :)
Encore et toujours merci de votre aide, vous êtes super , je vous souhaite une bonne soirée. :AAC
-
Re,
je t'ai envoyé un Mp avec l'adresse mail, mais je pense que si OpenOffice plante, je n'arriverais pas à grand chose de plus.
Pour Yontoo, c'est un reste inactif, on nettoiera après, pareil avec le jeu.
:AAN
-
re, je vous est envoyer le petit mail :)
-
Bonjour ;)
Alors, le fichier excel/ods (format libre), a eu besoin d'une réparation, s'ouvre, mais il est vide ...
Par contre chez moi le fichier word s'ouvre sans souci, je l'ai ré-enregistré puis je te l'ai renvoyé, essaye de voir si tu peux l'ouvrir. Le texte est lisible est semble entier (sauf peut-être la mise en page, mais c'est un moindre mal.)
Si c'est ok, alors tu essayeras d'installer LibreOffice qui semble les gérer lui.
-
Bonjour,
Bien voila tous va bien , je peut désormais ouvrir tous mes document avec libre office , c'est nikel. J'ai aussi pu ouvrir le fichier word que vous m'aviez renvoyé. Je suis ravie :)
Merci !!!
Bravo!!
Concernant mes programmes que j'arrive pas à suprimé j'attend vos instruction (sans abuser de votre gentillesse :AAN) , et puis dois je re créer un nouveau profil utilisateur , comme j'ai pu le voir pour d'autre sur le forum...
-
Re,
Pour les deux programmes, fais ceci :
Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{117BA724-083D-4B0B-99EB-C39F3BF05D2E}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
"UDP Query User{5786F5B8-DFE2-487F-B6A9-6DFEDD8BBFED}C:\program files (x86)\1clickdownload\1clickdownload.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bejeweled 2 Deluxe]
:Files
C:\Program Files (x86)\SweetIM
C:\Program Files (x86)\McAfee
C:\Program Files (x86)\searchweb
C:\Users\sandee\AppData\Roaming\Complitly
C:\Program Files (x86)\Yontoo
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
re coucou ,
voici le rapport
http://pjjoint.malekal.com/files.php?id=20120519_u12q5z5p11w7
merci
-
Re,
Tu ne l'as fait qu'une fois la procédure ? On dirait que ce que j'ai prescris avait déjà été exécuté ...
Les programmes ont-ils été enlevé de ta liste des programmes maintenant ?
As-tu encore des soucis ? Sinon on passera au nettoyage des outils et à la conclusion.
-
re ,
mes programmes sont toujours la , j'ai du effectivement relancer une seconde fois la procédure car OTL m'a indiquer " le programme ne répond plus" .
Au redemarrage de mon pc ça aussi planter , apres l'analyse correctif de OTL, l'écran restais noir sans redémarrer , j'ai alors forcé l'arret .
:oups:
sorry et toujours et encor merci :)
-
Re,
Ok, il faut me le dire quand tu as ce genre de souci, c'est mieux ;)
Télécharge CCleaner Slim (http://www.piriform.com/ccleaner/download/slim) (sans toolbar) de Piriform (http://www.piriform.com/) :
- Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici (http://pagesperso-orange.fr/jesses/Docs/Logiciels/CCleaner.htm))
- Ceci terminé, lance le programme.
- Clique sur "Outils" -> "désinstallation de programmes"
- Clique sur "Enregistrer dans un fichier ..." en bas à droite
- Poste-moi le contenu de ce rapport dans ta prochaine réponse s'il te plait.
:AAN
-
Bonjour ;)
c'est noter si je rencontre un soucis , je n'oublirai pas de le préciser :oups:
voici le fichier de Ccleaner
http://pjjoint.malekal.com/files.php?id=20120520_j9c13s5c12y7
mes jeux lego ne fonctionne plus aussi , je suis ok pour les desintaller du coup aussi ... si ya possibilité (et pas le choix lol)
merci bcp
-
Re,
Et ils ne se désinstalle pas normalement eux non ? Où ils se sont désinstallé et reste dans la liste ?
Pour les autres, toujours dans Ccleaner au même endroit, sélectionne le programme désiré, puis à droite, clique sur "Effacer l'entrée"
(donc pour Yontoo, car l'autre je le vois plus moi)
-
coucoun
Bien voila , mes lego se sont bien desintallés normalement ;) et j'ai effacer yontoo avec Ccleaner , mes programmes restant marche bien donc c'est parfait.
merci !!!!!
-
Re :III
Bien on clôture alors :
1) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime manuellement RannohDecryptor
2) Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Un conseil, à vérifier car après suppression des fichiers décryptés maintenant, on regagne de la place, mais ton disque commence à être plein :
Drive C: | 450,44 Gb Total Space | 68,94 Gb Free Space | 15,31% Space Free | Partition Type: NTFS
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
re coucou :)
lorsque je clique sur SXCU.exe , executer en tant qu'administrateur rien ne se passe ... que me conseillez vous :)
merci
-
Re,
D'engueuler le développeur qui doit trainer pas loin sur le forum :NNN
Et en double-cliquant simplement dessus, il s'ouvre ou pas ? (il faut lui laisser quelques seconde pour charger des numéros de versions via une connexion web)
-
hihi cher dévellopeur :)
ça marche pas non plus rien ne se passe :p je suis désoler de vous importuner sinon :)
j'ai quand meme mise à jour adobe reader, intallé firefox , et noter tous vos conseil pour optimiser mes chances de ne plus me faire infecté,
en tous cas je reviendrais sur votre super forum pour m'instruire informatiquement
merci a vous et toute votre équipe S-x
-
désoler , si si ça marche rhooo :NNN
à bientot et bonne continuation
-
:)
Faut nous le dire sinon, on peut rechercher la cause et voir si c'est un souci de l'outil ou sur ton pc.
Si tout est ok et surtout que tu maintiens et à fait les mises à jour de Java, flash player et adobe reader, c'est bon ;)
@ bientôt.
:AAN