infection gendarmerie + les fichiers locked-

[josefrelate52]

Bonjour,

Je suis moi aussi infecté par ces virus. J'ai déjà réussi a supprimer le virus de la gendarmerie avec RogueKiller. Mais tous mes fichier sont locked avec des extensions bizzares. Pouvez-vous m'aider svp

Josefrelate52

[chantal11]

Bonjour et bienvenue sur le forum,

J'ai déjà réussi a supprimer le virus de la gendarmerie avec RogueKiller.

Tu peux copier-coller, dans ta prochaine réponse, le contenu du rapport de suppression RogueKiller, s'il te plaît ?

Avant de débloquer tes fichiers, nous allons faire un contrôle de ton système.

---------------------------------------------------------------------------------------------

   Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
  
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
  
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles auparavant ou dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

   OTL :

• Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
   /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  CREATERESTOREPOINT
  
• Clique ensuite sur Analyse et patiente le temps du scan
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  
• Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
  Les rapports sont sauvegardés sur le Bureau.

@+

[josefrelate52]

Bonsoir,

Voilà les rapports de RogueKiller. Il y a deux rapport a quelques secondes d'intervalles

RAPPORT N°1
RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date: 17/05/2012 18:50:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2683324738-1878827199-1781712137-1000[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332041 8AS SATA Disk Device +++++
--- User ---
[MBR] e6645b39177f84c152214ca2d7809e3f
[BSP] 49243d964cfb8c1bd07b6288c92b10fc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 81920 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 199231488 | Size: 207925 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 625061888 | Size: 39 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

RAPPORT N°2
RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date: 17/05/2012 18:50:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2683324738-1878827199-1781712137-1000[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332041 8AS SATA Disk Device +++++
--- User ---
[MBR] e6645b39177f84c152214ca2d7809e3f
[BSP] 49243d964cfb8c1bd07b6288c92b10fc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 81920 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 199231488 | Size: 207925 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 625061888 | Size: 39 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

[josefrelate52]

Et voici le lien pour le rapport OTL

http://pjjoint.malekal.com/files.php?id=20120517_q12h11x10q13u8

[chantal11]

Bonjour,

Les 2 rapports RogueKiller postés sont des rapports de Recherche.
Avais-tu utilisé l'option Suppression ?

Le rapport OTL indique que c'est le 3ème passage de l'outil.
Tu as été aidé sur un autre forum ?

Au 1er passage de l'outil, un rapport Extras.txt est enregistré sur le Bureau.
Tu peux fournir aussi ce rapport Extras.txt ?

Java n'est pas à jour, c'est une faille de sécurité très exploitée par ce type d'infection Virus Gendarmerie.
Nous nous en occuperons par la suite, en même temps que d'autres applications.


---------------------------------------------------------------------------------------------

   Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
  
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
  
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

  OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Copie l'intégralité de ce script ci-dessous
  

  :OTL
  O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
  O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKU\S-1-5-21-2683324738-1878827199-1781712137-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
  [2012/05/17 18:04:08 | 000,000,000 | ---D | C] -- C:\Users\Pierre\AppData\Roaming\Ryqtnrbl
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  [2012/05/17 18:04:08 | 000,069,632 | -H-- | M] (CJSC "Computing Forces") -- C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe
  @Alternate Data Stream - 24 bytes -> C:\Windows:943505C4D4D2CC90
  
  :reg
  [HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "mctadmin"=-
  [HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "mctadmin"=-
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]
  
• Colle l'intégralité du code dans le cadre Personnalisation
  
• Clique ensuite sur le bouton Correction
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Pour pouvoir débloquer tes fichiers, il faut impérativement que tu aies la copie saine d'au moins un de tes fichiers, peu importe l'extension.
Par exemple, par rapport à ce fichier bloqué locked-Taekwondo Music Video.mp4.zbpq, il te faudrait son homologue sain non bloqué Taekwondo Music Video.mp4.
C'est par comparaison que l'outil va déterminer la clé de cryptage et pouvoir ainsi débloquer tous les autres fichiers.

Tu peux confirmer si tu disposes bien d'au moins un fichier sain non bloqué ?

@+

[josefrelate52]

Bonjour,

Après le scan de RogueKiller, j'ai cliqué sur Supprimer pour enlever le virus gendarmerie.
Tout en lisant le post précédent de Cassandra13, j'ai voulu faire la même chose mais c'est
compliquer alors j'ai poster un nouveau topic

le rapport OTL avec correction
http://pjjoint.malekal.com/files.php?id=20120518_h9k10e5e14p5

Suite a un bref recherche, mes fichiers sont crypter et j'ai pas de doublons (fichier crypter et fichier non crypter). comme je-dois en trouver un ?

[chantal11]

Re,

Après le scan de RogueKiller, j'ai cliqué sur Supprimer pour enlever le virus gendarmerie.

OK

Tu n'as pas trouvé le rapport Extras.txt ?



Avant toute chose, il faut impérativement que tu fasses de la place sur C:\
Il ne reste que 2 Gb de libre.
C'est nettement insuffisant, et pour que l'outil de décryptage travaille, et pour Windows 7.

A quoi correspondent les lecteurs D (200 Gb) et G (1900 Gb) ?
Ce sont des supports externes ?
Il y a beaucoup d'espace libre sur G (1570 Gb)

Désinstalle aussi toutes les applications dont tu ne te sers plus, via Programmes et fonctionnalités.

Suite a un bref recherche, mes fichiers sont crypter et j'ai pas de doublons (fichier crypter et fichier non crypter). comme je-dois en trouver un ?

Tu n'as aucune sauvegarde de tes fichiers personnels ?

On va essayer d'en trouver une copie saine en utilisant un autre outil.

• Télécharge ShadowExplorer et enregistre-le sur le Bureau
  
• Lance l'installation par clic-droit -> Exécuter en tant qu'administrateur et suit la procédure d'installation
  
• Exécute ShadowExplorer par clic-droit -> Exécuter en tant qu'administrateur
  
• Tu as donc accès aux copies enregistrées de tes fichiers lors de la création des différents points de restauration.
• Tu sélectionnes une date récente, mais à un moment où l'infection Gendarmerie n'était pas encore présente
• Dans l'arborescence qui apparaît, recherche la copie d'un fichier que tu sais crypté maintenant
• Clic-droit sur ce fichier -> Export et tu l'enregistres bien à part, dans un nouveau dossier que tu crées spécifiquement, sans renommer le fichier

Aide en image sur Shadow Explorer

Tu me dis si cette procédure a bien réussi.

@+

[josefrelate52]

Oui j'ai oublié, voila donc le rapport Extra
http://pjjoint.malekal.com/files.php?id=20120518_p11u15v12w13d14

j'ai deux DD, le premier avec 200g créer avec la partition et l'autre c'est un DD externe avec 1900G. Ils sont également infecté par le virus.

J'ai lancé ShadowExplorer, mais il me propose qu'une date le 18/05/12 a 9h. J'ai jamais fais de restauration

[chantal11]

Re,

Merci pour le rapport Extras.
Je vais le regarder.

J'ai lancé ShadowExplorer, mais il me propose qu'une date le 18/05/12 a 9h.

Non, tu dois en avoir d'autres.
Tu as au moins le point de restauration qui a été fait le 17/05/2012 22:56:30 par le scan OTL, mais qui ne peut pas nous servir puisque les fichiers sont déjà bloqués.

Il te faut dérouler la liste des points disponibles, comme indiqué sur cette capture :



Il te faut un point à une date où le Virus Gendarmerie n'était pas encore apparu.

@+

[josefrelate52]

Je t'assure que j'ai qu'une date le 18/05/12 a 9:21:18. Je t'envoi un aperçu
Est-ce que ça veut dire que y a plus rien a faire, mes fichiers sont vraiment mort ? (ils font vraiment chier ces pirates juste pour nous pourrir la vie)

[chantal11]

Re,

C'est curieux, tu devrais au moins avoir le point de restauration crée le 17 lors du passage d'OTL, puisque la commande a bien été exécutée par l'outil.
Maintenant, avec un système qui tourne avec 2,57% d'espace libre, c'est sûr, les points de restauration n'ont pas beaucoup de chance de rester !

Bon va faire autrement.

Tu as les fichiers des extensions de Chrome qui sont bloqués.
On va en prendre une au hasard, par exemple Angry Birds.

Dans un 1er temps, après avoir afficher les fichiers et dossiers cachés dans les Options des dossiers (onglet Affichage), tu copies ce fichier (sans tenter de l'ouvrir)
C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.1.2.1_0\locked-.jhcy
et tu le colles dans un dossier à part dans G par exemple.

Ensuite tu réinstalles sous Chrome l'extension Angry Birds
https://chrome.google.com/webstore/detail/aknpkdffaafgjchaibgeefbgmgeghloj/details?hl=en
Vérifie bien que ce soit la version 1.1.2.1_0 que tu installes.

Dis-moi, si après installation de cette extension, tu as bien ce fichier
C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.1.2.1_0

Sinon, tu peux tenter de re-télécharger un de ces fichiers :
Taekwondo Music Video.mp4
Mariah Carey - Don't Forget About Us.mp4
David Tao - Who Do You Love.mp4
David Tao - Too Beautiful.mp4

Tu me dis quand tu as au moins un fichier sain.

@+

[josefrelate52]

Ok. J'ai copier le fichier "locked-manifest.json.jhcy" mis dans un nouveau dossier a la lettre G. Ensuite, j'ai désinstallé angry puis réinstallé Angry Version 1.1.2.1. Enfin en retournant au dossier Angry, j'ai un fichier "manifest.json". Un fichier sain j'ai l'impression. j'ai fais comme tu m'as dis

[chantal11]

Re,

C'est parfait 

Tu as bien fait de la place sur C ?

Si c'est bien le cas, on va utiliser l'outil (j'ai vu que tu l'avais déjà téléchargé).

---------------------------------------------------------------------------------------------

RannohDecryptor :

• Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
  
• Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
  
• Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  
• Clique sur Start scan
  
  
• L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
  
• L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  
• Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  
• Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien
  
  
• Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

---------------------------------------------------------------------------------------------

Je ne suis pas devant mon PC cet après-midi.
Je ne pourrai me reconnecter qu'en début de soirée.

Si tu rencontres un souci particulier qui nécessite une réponse urgente, envoie un MP à Hunkel30 qui prendra le relais temporairement (s'il est disponible).
Si cela peut attendre, tu attends mon retour.
De toutes façons si tu as beaucoup de fichiers à débloquer, la procédure avec l'outil va être longue.

Bon courage 

[josefrelate52]

tu veux quoi par "tu l'as placé dans C ?". Le fichier sain est dans un nouveau dossier mis dans le DD externe à la lettre G

[chantal11]

Re,

tu veux quoi par "tu l'as placé dans C ?". Le fichier sain est dans un nouveau dossier mis dans le DD externe à la lettre G

Non, je ne parlais pas du fichier sain.
Ma question était Tu as bien fait de la place sur C ?
Tu as un problème d'espace libre sur C, l'outil ne va pas pouvoir travailler correctement.
Il te faut libérer de l'espace sur C, tu n'en disposes que de 2Gb.
Je t'en parlais dans ce message -> http://forum.security-x.fr/desinfections/infection-gendarmerie-les-fichiers-locked/msg68563/#msg68563

@+

[josefrelate52]

Super t'es là !

J'avais mal lu ton post. j'ai libéré 10go, tu penses que c'est suffisant ?

[chantal11]

Re,

j'ai libéré 10go, tu penses que c'est suffisant ?

Tout dépend du nombre de fichiers qu'il y a à débloquer.
Il y en a beaucoup sur C ?

[josefrelate52]

J'avoue je sais pas trop. Tant pis je vais lancer quand meme le scan. mais je sais comment ca marche le prog de kasperky. J'ai selectionné tous les lecteurs et avant le scan, kasperky me l'emplacement d'un fichier. J'ai d'abord mis le fichier sain et le resultat du scan n'a trouvé aucun problème. J'ai ensuite mis le fichier infecté et le résultat est le meme c'est a dire aucun problème. Dis moi comment ça fonctionne kasperky

[chantal11]

Re,

L'outil va comparer le fichier sain et son homologue "locked" et détermine ainsi la clé d'encryptage.
Ensuite l'outil applique cette clé d'encryptage à tous les fichiers "locked" rencontrés et va ainsi débloquer les fichiers les uns après les autres.

Donc oui, à ce stade, lance le scan.

@+

[josefrelate52]

j'suis peut-etre soulant mais le scan ne marche pas

[chantal11]

j'suis peut-etre soulant mais le scan ne marche pas

C'est-à-dire ?
Tu as un message d'erreur ?

[josefrelate52]

Dis moi comment l'utiliser le programme Kasperky
1 - je selectionne tous les lecteurs
2 - Il me demande l'emplacement d'un fichier, je prends quoi ?
3 - je lance le scan

[éiht]

Bonjour jose

J'ai selectionné tous les lecteurs et avant le scan, kasperky me (demande ) l'emplacement d'un fichier. J'ai d'abord mis le fichier sain et le resultat du scan n'a trouvé aucun problème.

Bisous Chantal.
à 19:04:27 le scan était déjà fait

Je me demande ou est le hic !!!!
éiht

[chantal11]

Re,

Il faut suivre les indications qui sont à l'écran.

L'outil dans un 1er temps tente de déterminer automatiquement la clé d'encryptage.
S'il n'y arrive pas, il devrait te demander le chemin d'un fichier non crypté pour calculer cette clé d'encryptage.

Donc en fait, tu lances l'outil et tu cliques sur Start scan et tu laisses travailler l'outil.
Si à l'écran suivant, tu ne sais pas interpréter ce qui est inscrit en anglais, fais-nous une capture et poste-la.

Si l'outil n'arrive pas à calculer la clé d'encryptage par rapport au fichier sain que tu lui indiques, il faudra essayer avec un autre fichier sain (un des mp4 que je te conseillais de re-télécharger par exemple).

@+

[josefrelate52]

Je vais t'expliquer comment je fais avec des captures. Je sélectionne les lecteurs (kaspersky1). Puis je prends un fichier infecté au hasard (kaspersky2). Je lance le scan et le résultat (kaspersky 3). Est ce que je dois faire ça pour chaque fichier infecté pour qu'il trouve la clé ?

[chantal11]

Re,

Ce n'est pas n'importe quel fichier encrypté qu'il faut lui soumettre, mais bien celui pour lequel tu as une copie saine.

Et comme je te l'indiquais, si l'outil n'arrive pas à décrypter, il faudrait refaire l'analyse avec une autre paire de fichiers, comme un mp4 (il te faut donc le fichier crypté et son homologue copie saine).

Peut-être as-tu aussi souvenance d'une photo ou d'un document que tu aurais envoyé en pièce jointe dans un mail, tu pourrais ainsi récupérer la copie saine d'un fichier ?

@+

[josefrelate52]

Bonjour Chantal11,


J'ai fini par trouver la solution du problème, j'avais confondu avec un autre kaspersky. Rannohdecryptor a decrypter presque tous mes fichiers. J'ai pu retrouver quelques photos mais il y a que j'ai pas pu l'ouvrir après le decryptage et ça été pareil pour certains videos et peut-etre meme mes fichier musicaux. Sais-tu comment remettre ces photos comme il était ? ils sont vraiment important ces photos.
Je devais, tout en libérant de la place, lancer à plusieurs reprises kaspersky. Y'a t-il un risque si je choisis l'option "Delete crypted files after decryption" ? vu le problème avec les photos et les vidéos.
Je te dirai quand j'aurai fini cette étape.

[chantal11]

Bonjour josefrelate52,

Je m'inquiétais de ne pas avoir de tes nouvelles, je suis donc ravie d'apprendre que le processus de décryptage est en cours.

J'ai pu retrouver quelques photos mais il y a que j'ai pas pu l'ouvrir après le decryptage et ça été pareil pour certains videos et peut-etre meme mes fichier musicaux. Sais-tu comment remettre ces photos comme il était ? ils sont vraiment important ces photos.

Est-ce que ce sont des fichiers que tu aurais tenter de renommer quand tu t'es aperçu du problème sur tes fichiers personnels ?
Il y en a beaucoup ?
Si on prend l'exemple d'une photo que tu n'arrives pas à ouvrir, peux-tu la mettre en pièce jointe (ou me l'envoyer en Message personnel si c'est une photo privée) ?
Pour m'envoyer un message personnel -> http://forum.security-x.fr/pm/?sa=send;u=449

Je devais, tout en libérant de la place, lancer à plusieurs reprises kaspersky.

Oui, les 10 Go libérés n'étaient semble-t-il pas suffisants.

Y'a t-il un risque si je choisis l'option "Delete crypted files after decryption" ? vu le problème avec les photos et les vidéos.

Il vaut mieux attendre en effet pour cette étape.

@+

[josefrelate52]

Je m'inquiétais de ne pas avoir de tes nouvelles, je suis donc ravie d'apprendre que le processus de décryptage est en cours.
C'est gentil.

Je ne pense pas avoir renommer ces fichiers infectés. Le seul fichier que j'avais renommer c'était RogueKiller mais je l'ai retélécharger ou un doc word mais je l'ai récuperer de justesse en annulant la derniere action  (ouf!)
Et puis j'ai parcouru les topics et qu'ils ne faut surtout pas renommer ces fichiers. J'ai quelques photos. Je t'envoi un exemple de photo. par contre je peux plus t'envoyer la photo avec cryptage, je l'ai supprimer. Je pense que le problème est dùe que le scan a été suspendu afin que je libére de la place et le scan
n'a pas fini de decrypter et passe au fichier suivant. T'en pense quoi ? Et encore j'ai pas fini de décrypter tous mes fichiers par manque de place et que je dois supprimer une par une les fichiers locked. quel perte de temps!!

[josefrelate52]

le fichier

[chantal11]

Re,

En effet le fichier semble corrompu.

Je vais demander conseil et je reviens vers toi.

@+

[chantal11]

Bonjour,

Nous avons fait quelques essais sur ton fichier jpg, mais en vain.
Le fichier est corrompu et aucune application n'arrive à l'ouvrir.
Il ne semble pas possible de le réparer.

Tu as beaucoup de fichiers dans ce cas, qui sont corrompus ?

L'outil RannohDecryptor fournit un rapport quand il décrypte, tu peux poster ce que tu as comme rapport(s) ?

Tu en où de la procédure de décryptage ?

@+

[josefrelate52]

Bonjour,

J'ai quelques photos que j'ai pu récupéré mais il en reste quelques unes. Est-ce que tu penses que si je garde le fichier crypter et que je relance kaspersky pour un nouveau scan, je retrouver mes photos ? Je t'envoie le rapport de Rannoh. Je dois encore lancer le scan mais j'ai du mal a faire de la place dans mon Hdd, j'avais pourtant libérer 10g et je dois encore libérer de la place. Le pire c'est que j'ai pas pu récupérer mes 10g après avoir supprimer les fichiers locked. Il me reste moins de 2go 
peut pas t'envoyer le fichier, il est trop gros

[chantal11]

Bonjour,

Oui, ce problème d'espace libre est pénalisant pour toi.
Tu es obligé d'y aller par à-coup.

Est-ce que tu penses que si je garde le fichier crypter et que je relance kaspersky pour un nouveau scan, je retrouver mes photos ?

C'est à tenter oui.
Mets-les dans un dossier à part, mais pense aussi à inclure dans ce dossier, un fichier crypté et son homologue non crypté, sinon l'outil n'aura aucune référence pour travailler.

peut pas t'envoyer le fichier, il est trop gros

Compresse le en .zip

@+

[josefrelate52]

Bonne idée de ta part, je vais mettre ces fichiers dans un dossier a part. Tu sais la photo que je t'ai envoyer et que tu disais qu'elle était corrompu. et ben finalement j'ai réussi à l'ouvrir cette photo. Je la croyais condamné mais je sais pas comment elle est devenu clean du jour au lendemain. Je peux dire OUF! j'espére que ce sera la meme chose pour tout les autres. pour le rapport que j'essaye de t'envoyer, il était bien en zip mais elle pese 546ko. Pour l'instant je cherche de de la place dans mon hdd mais c'est vraiment chiant, je sais pas comment j'aurai fini de nettoyer. Je te dirai quand j'en aurai fini avec ça pour passer a l'étape suivante.

++

[chantal11]

Re,

Tu sais la photo que je t'ai envoyer et que tu disais qu'elle était corrompu. et ben finalement j'ai réussi à l'ouvrir cette photo. Je la croyais condamné mais je sais pas comment elle est devenu clean du jour au lendemain. Je peux dire OUF! j'espére que ce sera la meme chose pour tout les autres.

C'est une bonne nouvelle.
Chez moi, elle ne s'est pas arrangée, on ne peut toujours pas l'ouvrir.
Comme tu passes l'outil au coup par coup, peut-être que quelques fichiers ont besoin de plusieurs passages de l'outil ?
Toujours est-il qu'avec de la patience tu vas y arriver petit à petit.

Pour le rapport, héberge-le sur un site qui accepte cette taille de fichier, soit sur pjjoint.fr soit sur cjoint.com, soit tout autre hébergeur.

@+

[josefrelate52]

je t'ai envoyer le rapport par MP. Tu l'as bien recu ?

[chantal11]

Oui, et je t'ai répondu 

[josefrelate52]

Bonjour Chantal11,

Après quelques jours sans nouvelles, me revoila! (hé hé) Bon, je pense que j'ai supprimer tous les locked de mes HDD. Je pense également que j'ai recupéré tous mes fichiers mis a part quelques photos et videos. Je sais pas si un jour je les retrouverai ces fichiers devenu corrompu. Je gardé les locked des fichiers corrompu pour repasser le scan plus tard. sinon je dirai a tous les créateurs de virus "allez vous faire biiiiiiiiiiiiip"

[chantal11]

Bonjour,

OK, on continue alors.

Avant de finaliser la procédure, nous allons mettre à jour les extensions non à jour qui ont permis au Virus Gendarmerie de s'installer.

---------------------------------------------------------------------------------------------

  SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  
• Ferme toutes les applications, y compris ton navigateur
  
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  
• Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
  A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  
• Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
  
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  
• Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse.

@+

[sergio100fr]

Mon ordinateur a été infecté il y a 5 jours par le fameux virus « Gendarmerie nationale «  Je dispose d’un PC avec Windows vista Pack 1. Les dégâts sont les suivants :
-Fichiers Word Excel Adobe jpg sont « locked »
-Le démarrage en mode sans échec est difficile. Il ne peut se faire en le forçant dans le mode normal mais en interrompant le cycle infernal par une coupure à froid. C’est là que j’ai fait une copie de mes documents sur le disque dur externe qui est raccordé en permanence. C’est là que je me suis aperçu que les fichiers étaient locked aussi sur la sauvegarde sauf une sauvegarde que j’avais fait en février sur ce disque externe. Mais depuis je l’ai débranché pour ne pas altérer les fichiers restant supposés sains.
Hier j’ai appelé orange car je paye tout de même l’antivirus chez eux. Le technicien a fait des manips à distance pour enlever le virus. Cela à durer plus d’une heure. Pour les fichiers lockés   il a dit que ça prendrait trop de temps sans garanti de réussite.
Aujourd’hui j’ai fait des opérations comme restauration système d’il y a un mois. J’ai fais des mises à jour de Java qui était un point faible de mon PC.
Suite à la lecture des échanges sur le forum j’ai téléchargé OTL. J’ai démarré le scan du PC Le rapport est ci-dessous.
Avant de formater mon PC et de récupérer ce qui est récupérable sur la sauvegarde, je voudrait essayer de dé locker les fichiers de mon ordinateur.
Pour cela je voudrais savoir si Matsnu1 de DrWeb est le bon programme qui répond à mon problème. Sachant que je dispose dans mes mails d’un ficher au moins sains.

[hyunkel30]

Bonsoir,

J'ai transférer ce complément de réponse dans le sujet que je vous ai crée à partir du message laissé dans le sujet de procédure préliminaire :
http://forum.security-x.fr/desinfections/infection-gendarmerie-fichiers-locked/
Merci de rester sur ce dernier à partir de maintenant pour la suite de la procédure de prise en charge.
 

[josefrelate52]

Bonjour,

Voila après quelques jours d'absent, j'ai fait les MAJ. je t'envoie le rapport
http://pjjoint.malekal.com/files.php?id=20120529_l11x11k5x7o11
Est-ce que tu penses que si je repasse plusieurs fois le scan sur des fichiers corrompus et qu'ils sont pas toujours nettoyer, je ne retrouverai plus mes fichiers ?

[chantal11]

Bonjour,

Merci pour le rapport.

Sauf qu'entre-temps, Java a édité une mise à jour majeure.

Désinstalle Java(TM) 6 Update 32 via Programmes et fonctionnalités
Installe la dernière version 7 Update 4 -> http://www.java.com/fr/download/

Mets à jour aussi Firefox, la dernière version est la 12.0 -> http://www.mozilla.org/fr/firefox/fx/
ainsi que Opera -> http://www.opera.com/

Est-ce que tu penses que si je repasse plusieurs fois le scan sur des fichiers corrompus et qu'ils sont pas toujours nettoyer, je ne retrouverai plus mes fichiers ?

Tu peux le tenter en effet, maintenant que tu as fait un peu de ménage.

Isole sur un autre support les fichiers en question débloqués mais corrompus et repasse l'outil pour les fichiers locked restants.
Dis-moi ce que ça donne.

@+

[josefrelate52]

bonjour,

j'ai fais la maj

[chantal11]

Bonjour,

Tu as pu repasser l'outil sur les fichiers locked pour débloquer des fichiers non corrompus ?

Nous pouvons de toutes façons continuer à avancer.

---------------------------------------------------------------------------------------------

  Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Copie l'intégralité de ce script ci-dessous
  

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]
• Colle l'intégralité du code dans le cadre Personnalisation
  
• Clique ensuite sur le bouton Correction
  
• Si l'outil te demande de redémarrer le PC, tu acceptes

---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur Purge d'outils
  
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Supprime SXCU de ton Bureau
  
• Supprime tous les rapports générés restants

Garde RannohDecryptor si tu le souhaites pour continuer à tenter de décrypter les fichiers restants.

---------------------------------------------------------------------------------------------

Dis-moi quand ces 2 procédures ont été effectuées.

@+

[chantal11]

Bonjour,

Tu en es où ?
Tu as pu récupérer tous tes fichiers ?
Les dernières procédures demandées ont été effectuées ?

@+

[josefrelate52]

Bonjour


J'ai lancé le Purge points de restauration mais il s'est bloqué sans raison. J'étais obligé de redémarré le pc. Les fichiers infectés qui sont dans un dossier a part ne sont plus récupérable je crois. J'ai passé plusieurs fois le scan mais rien à faire. Ces fichiers sont corrompu pour toujours. Tu connais d'autres solutions pour qu'ils reprennent vie ? Est-ce que tu veux toujours m'aider ?

[chantal11]

Bonjour,

Hélas si l'outil RannohDecryptor n'y est pas arrivé, c'est mal parti.

Nous avions tenté avec l'outil du Dr Web ?
Si non, on peut le tenter.

Il y a aussi un outil Avira qui est sorti, on pourra aussi le tenter si Dr Web ne donne pas de résultat.

---------------------------------------------------------------------------------------------

matsnu1-decryptor :

• Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
  et enregistre-le sur ton Bureau
  
• Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
  
• Indique le chemin du fichier non crypté
  
  
• Ensuite, indique le chemin du même fichier crypté
  
  
• L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  
• Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.

Aide en images sur la fiche Malekal (Voir EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt, tout en bas de la fiche)

---------------------------------------------------------------------------------------------

@+

[josefrelate52]

re
l'outil dr web n'a pas pu les réparés. Je vais essayer avira. tu peux me donner le lien ?