Security-X

Forum Security-X => Désinfections => Discussion démarrée par: josefrelate52 le mai 17, 2012, 20:14:28

Titre: infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 17, 2012, 20:14:28
Bonjour,

Je suis moi aussi infecté par ces virus. J'ai déjà réussi a supprimer le virus de la gendarmerie avec RogueKiller. Mais tous mes fichier sont locked avec des extensions bizzares. Pouvez-vous m'aider svp

Josefrelate52
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 17, 2012, 21:29:09
Bonjour et bienvenue sur le forum,

Citer
J'ai déjà réussi a supprimer le virus de la gendarmerie avec RogueKiller.

Tu peux copier-coller, dans ta prochaine réponse, le contenu du rapport de suppression RogueKiller, s'il te plaît ?

Avant de débloquer tes fichiers, nous allons faire un contrôle de ton système.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   Recommandations pendant la désinfection :

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   OTL :

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 17, 2012, 22:40:01
Bonsoir,

Voilà les rapports de RogueKiller. Il y a deux rapport a quelques secondes d'intervalles

RAPPORT N°1
RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date: 17/05/2012 18:50:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2683324738-1878827199-1781712137-1000[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332041 8AS SATA Disk Device +++++
--- User ---
[MBR] e6645b39177f84c152214ca2d7809e3f
[BSP] 49243d964cfb8c1bd07b6288c92b10fc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 81920 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 199231488 | Size: 207925 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 625061888 | Size: 39 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

RAPPORT N°2
RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date: 17/05/2012 18:50:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2683324738-1878827199-1781712137-1000[...]\Run : 724788F5 (C:\Users\Pierre\AppData\Roaming\Ryqtnrbl\FA57DD31724788F553DB.exe) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST332041 8AS SATA Disk Device +++++
--- User ---
[MBR] e6645b39177f84c152214ca2d7809e3f
[BSP] 49243d964cfb8c1bd07b6288c92b10fc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 81920 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 199231488 | Size: 207925 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 625061888 | Size: 39 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 17, 2012, 23:20:08
Et voici le lien pour le rapport OTL

http://pjjoint.malekal.com/files.php?id=20120517_q12h11x10q13u8
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 08:27:17
Bonjour,

Les 2 rapports RogueKiller postés sont des rapports de Recherche.
Avais-tu utilisé l'option Suppression ?

Le rapport OTL indique que c'est le 3ème passage de l'outil.
Tu as été aidé sur un autre forum ?

Au 1er passage de l'outil, un rapport Extras.txt est enregistré sur le Bureau.
Tu peux fournir aussi ce rapport Extras.txt ?

Java n'est pas à jour, c'est une faille de sécurité très exploitée par ce type d'infection Virus Gendarmerie.
Nous nous en occuperons par la suite, en même temps que d'autres applications.


---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   Recommandations pendant la désinfection :

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  OTL :

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Pour pouvoir débloquer tes fichiers, il faut impérativement que tu aies la copie saine d'au moins un de tes fichiers, peu importe l'extension.
Par exemple, par rapport à ce fichier bloqué locked-Taekwondo Music Video.mp4.zbpq, il te faudrait son homologue sain non bloqué Taekwondo Music Video.mp4.
C'est par comparaison que l'outil va déterminer la clé de cryptage et pouvoir ainsi débloquer tous les autres fichiers.

Tu peux confirmer si tu disposes bien d'au moins un fichier sain non bloqué ?

@+

Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 09:43:01
Bonjour,

Après le scan de RogueKiller, j'ai cliqué sur Supprimer pour enlever le virus gendarmerie.
Tout en lisant le post précédent de Cassandra13, j'ai voulu faire la même chose mais c'est
compliquer alors j'ai poster un nouveau topic

le rapport OTL avec correction
http://pjjoint.malekal.com/files.php?id=20120518_h9k10e5e14p5

Suite a un bref recherche, mes fichiers sont crypter et j'ai pas de doublons (fichier crypter et fichier non crypter). comme je-dois en trouver un ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 10:06:33
Re,

Citer
Après le scan de RogueKiller, j'ai cliqué sur Supprimer pour enlever le virus gendarmerie.
OK

Tu n'as pas trouvé le rapport Extras.txt ?




Avant toute chose, il faut impérativement que tu fasses de la place sur C:\
Il ne reste que 2 Gb de libre.
C'est nettement insuffisant, et pour que l'outil de décryptage travaille, et pour Windows 7.

A quoi correspondent les lecteurs D (200 Gb) et G (1900 Gb) ?
Ce sont des supports externes ?
Il y a beaucoup d'espace libre sur G (1570 Gb)

Désinstalle aussi toutes les applications dont tu ne te sers plus, via Programmes et fonctionnalités.




Citer
Suite a un bref recherche, mes fichiers sont crypter et j'ai pas de doublons (fichier crypter et fichier non crypter). comme je-dois en trouver un ?

Tu n'as aucune sauvegarde de tes fichiers personnels ?

On va essayer d'en trouver une copie saine en utilisant un autre outil.

Aide en image sur Shadow Explorer (http://www.forum-vista.net/forum/topic6266.html)

Tu me dis si cette procédure a bien réussi.

@+





Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 10:25:46
Oui j'ai oublié, voila donc le rapport Extra
http://pjjoint.malekal.com/files.php?id=20120518_p11u15v12w13d14

j'ai deux DD, le premier avec 200g créer avec la partition et l'autre c'est un DD externe avec 1900G. Ils sont également infecté par le virus.

J'ai lancé ShadowExplorer, mais il me propose qu'une date le 18/05/12 a 9h. J'ai jamais fais de restauration
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 10:34:05
Re,

Merci pour le rapport Extras.
Je vais le regarder.

Citer
J'ai lancé ShadowExplorer, mais il me propose qu'une date le 18/05/12 a 9h.

Non, tu dois en avoir d'autres.
Tu as au moins le point de restauration qui a été fait le 17/05/2012 22:56:30 par le scan OTL, mais qui ne peut pas nous servir puisque les fichiers sont déjà bloqués.

Il te faut dérouler la liste des points disponibles, comme indiqué sur cette capture :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi37.servimg.com%2Fu%2Ff37%2F12%2F97%2F21%2F54%2Fgestio10.jpg&hash=5b1d87505f663d40c7a035aadc840144df9660fd)

Il te faut un point à une date où le Virus Gendarmerie n'était pas encore apparu.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 10:49:59
Je t'assure que j'ai qu'une date le 18/05/12 a 9:21:18. Je t'envoi un aperçu
Est-ce que ça veut dire que y a plus rien a faire, mes fichiers sont vraiment mort ? (ils font vraiment chier ces pirates juste pour nous pourrir la vie)
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 11:28:47
Re,

C'est curieux, tu devrais au moins avoir le point de restauration crée le 17 lors du passage d'OTL, puisque la commande a bien été exécutée par l'outil.
Maintenant, avec un système qui tourne avec 2,57% d'espace libre, c'est sûr, les points de restauration n'ont pas beaucoup de chance de rester !

Bon va faire autrement.

Tu as les fichiers des extensions de Chrome qui sont bloqués.
On va en prendre une au hasard, par exemple Angry Birds.

Dans un 1er temps, après avoir afficher les fichiers et dossiers cachés dans les Options des dossiers (onglet Affichage), tu copies ce fichier (sans tenter de l'ouvrir)
C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.1.2.1_0\locked-.jhcy
et tu le colles dans un dossier à part dans G par exemple.

Ensuite tu réinstalles sous Chrome l'extension Angry Birds
https://chrome.google.com/webstore/detail/aknpkdffaafgjchaibgeefbgmgeghloj/details?hl=en
Vérifie bien que ce soit la version 1.1.2.1_0 que tu installes.

Dis-moi, si après installation de cette extension, tu as bien ce fichier
C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj\1.1.2.1_0

Sinon, tu peux tenter de re-télécharger un de ces fichiers :
Taekwondo Music Video.mp4
Mariah Carey - Don't Forget About Us.mp4
David Tao - Who Do You Love.mp4
David Tao - Too Beautiful.mp4


Tu me dis quand tu as au moins un fichier sain.

@+

Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 12:04:17
Ok. J'ai copier le fichier "locked-manifest.json.jhcy" mis dans un nouveau dossier a la lettre G. Ensuite, j'ai désinstallé angry puis réinstallé Angry Version 1.1.2.1. Enfin en retournant au dossier Angry, j'ai un fichier "manifest.json". Un fichier sain j'ai l'impression. j'ai fais comme tu m'as dis
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 13:04:45
Re,

C'est parfait  :D

Tu as bien fait de la place sur C ?

Si c'est bien le cas, on va utiliser l'outil (j'ai vu que tu l'avais déjà téléchargé).

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RannohDecryptor :

---------------------------------------------------------------------------------------------

Je ne suis pas devant mon PC cet après-midi.
Je ne pourrai me reconnecter qu'en début de soirée.

Si tu rencontres un souci particulier qui nécessite une réponse urgente, envoie un MP à Hunkel30 qui prendra le relais temporairement (s'il est disponible).
Si cela peut attendre, tu attends mon retour.
De toutes façons si tu as beaucoup de fichiers à débloquer, la procédure avec l'outil va être longue.

Bon courage  :NNN
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 13:45:51
tu veux quoi par "tu l'as placé dans C ?". Le fichier sain est dans un nouveau dossier mis dans le DD externe à la lettre G
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 17:55:03
Re,

tu veux quoi par "tu l'as placé dans C ?". Le fichier sain est dans un nouveau dossier mis dans le DD externe à la lettre G

Non, je ne parlais pas du fichier sain.
Ma question était Tu as bien fait de la place sur C ?
Tu as un problème d'espace libre sur C, l'outil ne va pas pouvoir travailler correctement.
Il te faut libérer de l'espace sur C, tu n'en disposes que de 2Gb.
Je t'en parlais dans ce message -> http://forum.security-x.fr/desinfections/infection-gendarmerie-les-fichiers-locked/msg68563/#msg68563

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 18:57:17
Super t'es là !

J'avais mal lu ton post. j'ai libéré 10go, tu penses que c'est suffisant ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 19:20:39
Re,

Citer
j'ai libéré 10go, tu penses que c'est suffisant ?

Tout dépend du nombre de fichiers qu'il y a à débloquer.
Il y en a beaucoup sur C ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 20:04:27
J'avoue je sais pas trop. Tant pis je vais lancer quand meme le scan. mais je sais comment ca marche le prog de kasperky. J'ai selectionné tous les lecteurs et avant le scan, kasperky me l'emplacement d'un fichier. J'ai d'abord mis le fichier sain et le resultat du scan n'a trouvé aucun problème. J'ai ensuite mis le fichier infecté et le résultat est le meme c'est a dire aucun problème. Dis moi comment ça fonctionne kasperky
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 20:20:58
Re,

L'outil va comparer le fichier sain et son homologue "locked" et détermine ainsi la clé d'encryptage.
Ensuite l'outil applique cette clé d'encryptage à tous les fichiers "locked" rencontrés et va ainsi débloquer les fichiers les uns après les autres.

Donc oui, à ce stade, lance le scan.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 20:39:44
j'suis peut-etre soulant mais le scan ne marche pas
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 20:44:51
j'suis peut-etre soulant mais le scan ne marche pas

C'est-à-dire ?
Tu as un message d'erreur ?

Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 20:57:54
Dis moi comment l'utiliser le programme Kasperky
1 - je selectionne tous les lecteurs
2 - Il me demande l'emplacement d'un fichier, je prends quoi ?
3 - je lance le scan
Titre: Re : Re : infection gendarmerie + les fichiers locked-
Posté par: éiht le mai 18, 2012, 21:26:11
Bonjour jose


J'ai selectionné tous les lecteurs et avant le scan, kasperky me (demande ) l'emplacement d'un fichier. J'ai d'abord mis le fichier sain et le resultat du scan n'a trouvé aucun problème.

Bisous Chantal. :)
à 19:04:27 le scan était déjà fait

Je me demande ou est le hic !!!!
éiht





Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 21:35:16
Re,

Il faut suivre les indications qui sont à l'écran.

L'outil dans un 1er temps tente de déterminer automatiquement la clé d'encryptage.
S'il n'y arrive pas, il devrait te demander le chemin d'un fichier non crypté pour calculer cette clé d'encryptage.

Donc en fait, tu lances l'outil et tu cliques sur Start scan et tu laisses travailler l'outil.
Si à l'écran suivant, tu ne sais pas interpréter ce qui est inscrit en anglais, fais-nous une capture et poste-la.

Si l'outil n'arrive pas à calculer la clé d'encryptage par rapport au fichier sain que tu lui indiques, il faudra essayer avec un autre fichier sain (un des mp4 que je te conseillais de re-télécharger par exemple).

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 18, 2012, 22:12:45
Je vais t'expliquer comment je fais avec des captures. Je sélectionne les lecteurs (kaspersky1). Puis je prends un fichier infecté au hasard (kaspersky2). Je lance le scan et le résultat (kaspersky 3). Est ce que je dois faire ça pour chaque fichier infecté pour qu'il trouve la clé ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 18, 2012, 22:22:15
Re,

Ce n'est pas n'importe quel fichier encrypté qu'il faut lui soumettre, mais bien celui pour lequel tu as une copie saine.

Et comme je te l'indiquais, si l'outil n'arrive pas à décrypter, il faudrait refaire l'analyse avec une autre paire de fichiers, comme un mp4 (il te faut donc le fichier crypté et son homologue copie saine).

Peut-être as-tu aussi souvenance d'une photo ou d'un document que tu aurais envoyé en pièce jointe dans un mail, tu pourrais ainsi récupérer la copie saine d'un fichier ?

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 20, 2012, 11:03:34
Bonjour Chantal11,


J'ai fini par trouver la solution du problème, j'avais confondu avec un autre kaspersky. Rannohdecryptor a decrypter presque tous mes fichiers. J'ai pu retrouver quelques photos mais il y a que j'ai pas pu l'ouvrir après le decryptage et ça été pareil pour certains videos et peut-etre meme mes fichier musicaux. Sais-tu comment remettre ces photos comme il était ? ils sont vraiment important ces photos.
Je devais, tout en libérant de la place, lancer à plusieurs reprises kaspersky. Y'a t-il un risque si je choisis l'option "Delete crypted files after decryption" ? vu le problème avec les photos et les vidéos.
Je te dirai quand j'aurai fini cette étape.
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 20, 2012, 11:13:11
Bonjour josefrelate52,

Je m'inquiétais de ne pas avoir de tes nouvelles, je suis donc ravie d'apprendre que le processus de décryptage est en cours.

Citer
J'ai pu retrouver quelques photos mais il y a que j'ai pas pu l'ouvrir après le decryptage et ça été pareil pour certains videos et peut-etre meme mes fichier musicaux. Sais-tu comment remettre ces photos comme il était ? ils sont vraiment important ces photos.

Est-ce que ce sont des fichiers que tu aurais tenter de renommer quand tu t'es aperçu du problème sur tes fichiers personnels ?
Il y en a beaucoup ?
Si on prend l'exemple d'une photo que tu n'arrives pas à ouvrir, peux-tu la mettre en pièce jointe (ou me l'envoyer en Message personnel si c'est une photo privée) ?
Pour m'envoyer un message personnel -> http://forum.security-x.fr/pm/?sa=send;u=449

Citer
Je devais, tout en libérant de la place, lancer à plusieurs reprises kaspersky.
Oui, les 10 Go libérés n'étaient semble-t-il pas suffisants.

Citer
Y'a t-il un risque si je choisis l'option "Delete crypted files after decryption" ? vu le problème avec les photos et les vidéos.
Il vaut mieux attendre en effet pour cette étape.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 20, 2012, 18:49:29
Je m'inquiétais de ne pas avoir de tes nouvelles, je suis donc ravie d'apprendre que le processus de décryptage est en cours.
C'est gentil.

Je ne pense pas avoir renommer ces fichiers infectés. Le seul fichier que j'avais renommer c'était RogueKiller mais je l'ai retélécharger ou un doc word mais je l'ai récuperer de justesse en annulant la derniere action  (ouf!)
Et puis j'ai parcouru les topics et qu'ils ne faut surtout pas renommer ces fichiers. J'ai quelques photos. Je t'envoi un exemple de photo. par contre je peux plus t'envoyer la photo avec cryptage, je l'ai supprimer. Je pense que le problème est dùe que le scan a été suspendu afin que je libére de la place et le scan
n'a pas fini de decrypter et passe au fichier suivant. T'en pense quoi ? Et encore j'ai pas fini de décrypter tous mes fichiers par manque de place et que je dois supprimer une par une les fichiers locked. quel perte de temps!! :(

Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 20, 2012, 18:51:20
le fichier
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 20, 2012, 19:04:02
Re,

En effet le fichier semble corrompu.

Je vais demander conseil et je reviens vers toi.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 21, 2012, 07:14:08
Bonjour,

Nous avons fait quelques essais sur ton fichier jpg, mais en vain.
Le fichier est corrompu et aucune application n'arrive à l'ouvrir.
Il ne semble pas possible de le réparer.

Tu as beaucoup de fichiers dans ce cas, qui sont corrompus ?

L'outil RannohDecryptor fournit un rapport quand il décrypte, tu peux poster ce que tu as comme rapport(s) ?

Tu en où de la procédure de décryptage ?

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 21, 2012, 15:07:42
Bonjour,

J'ai quelques photos que j'ai pu récupéré mais il en reste quelques unes. Est-ce que tu penses que si je garde le fichier crypter et que je relance kaspersky pour un nouveau scan, je retrouver mes photos ? Je t'envoie le rapport de Rannoh. Je dois encore lancer le scan mais j'ai du mal a faire de la place dans mon Hdd, j'avais pourtant libérer 10g et je dois encore libérer de la place. Le pire c'est que j'ai pas pu récupérer mes 10g après avoir supprimer les fichiers locked. Il me reste moins de 2go  :)
peut pas t'envoyer le fichier, il est trop gros
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 21, 2012, 15:31:19
Bonjour,

Oui, ce problème d'espace libre est pénalisant pour toi.
Tu es obligé d'y aller par à-coup.

Citer
Est-ce que tu penses que si je garde le fichier crypter et que je relance kaspersky pour un nouveau scan, je retrouver mes photos ?
C'est à tenter oui.
Mets-les dans un dossier à part, mais pense aussi à inclure dans ce dossier, un fichier crypté et son homologue non crypté, sinon l'outil n'aura aucune référence pour travailler.

Citer
peut pas t'envoyer le fichier, il est trop gros
Compresse le en .zip

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 21, 2012, 17:22:23
Bonne idée de ta part, je vais mettre ces fichiers dans un dossier a part. Tu sais la photo que je t'ai envoyer et que tu disais qu'elle était corrompu. et ben finalement j'ai réussi à l'ouvrir cette photo. Je la croyais condamné mais je sais pas comment elle est devenu clean du jour au lendemain. Je peux dire OUF! j'espére que ce sera la meme chose pour tout les autres. pour le rapport que j'essaye de t'envoyer, il était bien en zip mais elle pese 546ko. Pour l'instant je cherche de de la place dans mon hdd mais c'est vraiment chiant, je sais pas comment j'aurai fini de nettoyer. Je te dirai quand j'en aurai fini avec ça pour passer a l'étape suivante.

++
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 21, 2012, 17:30:56
Re,

Citer
Tu sais la photo que je t'ai envoyer et que tu disais qu'elle était corrompu. et ben finalement j'ai réussi à l'ouvrir cette photo. Je la croyais condamné mais je sais pas comment elle est devenu clean du jour au lendemain. Je peux dire OUF! j'espére que ce sera la meme chose pour tout les autres.

C'est une bonne nouvelle.
Chez moi, elle ne s'est pas arrangée, on ne peut toujours pas l'ouvrir.
Comme tu passes l'outil au coup par coup, peut-être que quelques fichiers ont besoin de plusieurs passages de l'outil ?
Toujours est-il qu'avec de la patience tu vas y arriver petit à petit.

Pour le rapport, héberge-le sur un site qui accepte cette taille de fichier, soit sur pjjoint.fr (http://pjjoint.malekal.com/) soit sur cjoint.com (http://cjoint.com/), soit tout autre hébergeur.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 21, 2012, 20:09:54
je t'ai envoyer le rapport par MP. Tu l'as bien recu ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 21, 2012, 20:17:21
Oui, et je t'ai répondu  :NNN
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 26, 2012, 11:26:08
Bonjour Chantal11,

Après quelques jours sans nouvelles, me revoila! (hé hé) Bon, je pense que j'ai supprimer tous les locked de mes HDD. Je pense également que j'ai recupéré tous mes fichiers mis a part quelques photos et videos. Je sais pas si un jour je les retrouverai ces fichiers devenu corrompu. Je gardé les locked des fichiers corrompu pour repasser le scan plus tard. sinon je dirai a tous les créateurs de virus "allez vous faire biiiiiiiiiiiiip"
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 26, 2012, 11:38:51
Bonjour,

OK, on continue alors.

Avant de finaliser la procédure, nous allons mettre à jour les extensions non à jour qui ont permis au Virus Gendarmerie de s'installer.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  SX Check&Update :

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: sergio100fr le mai 26, 2012, 19:37:22
Mon ordinateur a été infecté il y a 5 jours par le fameux virus « Gendarmerie nationale «  Je dispose d’un PC avec Windows vista Pack 1. Les dégâts sont les suivants :
-Fichiers Word Excel Adobe jpg sont « locked »
-Le démarrage en mode sans échec est difficile. Il ne peut se faire en le forçant dans le mode normal mais en interrompant le cycle infernal par une coupure à froid. C’est là que j’ai fait une copie de mes documents sur le disque dur externe qui est raccordé en permanence. C’est là que je me suis aperçu que les fichiers étaient locked aussi sur la sauvegarde sauf une sauvegarde que j’avais fait en février sur ce disque externe. Mais depuis je l’ai débranché pour ne pas altérer les fichiers restant supposés sains.
Hier j’ai appelé orange car je paye tout de même l’antivirus chez eux. Le technicien a fait des manips à distance pour enlever le virus. Cela à durer plus d’une heure. Pour les fichiers lockés   il a dit que ça prendrait trop de temps sans garanti de réussite.
Aujourd’hui j’ai fait des opérations comme restauration système d’il y a un mois. J’ai fais des mises à jour de Java qui était un point faible de mon PC.
Suite à la lecture des échanges sur le forum j’ai téléchargé OTL. J’ai démarré le scan du PC Le rapport est ci-dessous.
Avant de formater mon PC et de récupérer ce qui est récupérable sur la sauvegarde, je voudrait essayer de dé locker les fichiers de mon ordinateur.
Pour cela je voudrais savoir si Matsnu1 de DrWeb est le bon programme qui répond à mon problème. Sachant que je dispose dans mes mails d’un ficher au moins sains.

Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: hyunkel30 le mai 26, 2012, 22:50:27
Bonsoir,

J'ai transférer ce complément de réponse dans le sujet que je vous ai crée à partir du message laissé dans le sujet de procédure préliminaire :
http://forum.security-x.fr/desinfections/infection-gendarmerie-fichiers-locked/
Merci de rester sur ce dernier à partir de maintenant pour la suite de la procédure de prise en charge.
 :AAN
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 29, 2012, 15:21:59
Bonjour,

Voila après quelques jours d'absent, j'ai fait les MAJ. je t'envoie le rapport
http://pjjoint.malekal.com/files.php?id=20120529_l11x11k5x7o11
Est-ce que tu penses que si je repasse plusieurs fois le scan sur des fichiers corrompus et qu'ils sont pas toujours nettoyer, je ne retrouverai plus mes fichiers ?
:)
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 29, 2012, 15:56:36
Bonjour,

Merci pour le rapport.

Sauf qu'entre-temps, Java a édité une mise à jour majeure.

Désinstalle Java(TM) 6 Update 32 via Programmes et fonctionnalités
Installe la dernière version 7 Update 4 -> http://www.java.com/fr/download/

Mets à jour aussi Firefox, la dernière version est la 12.0 -> http://www.mozilla.org/fr/firefox/fx/
ainsi que Opera -> http://www.opera.com/

Citer
Est-ce que tu penses que si je repasse plusieurs fois le scan sur des fichiers corrompus et qu'ils sont pas toujours nettoyer, je ne retrouverai plus mes fichiers ?
Tu peux le tenter en effet, maintenant que tu as fait un peu de ménage.

Isole sur un autre support les fichiers en question débloqués mais corrompus et repasse l'outil pour les fichiers locked restants.
Dis-moi ce que ça donne.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le mai 30, 2012, 09:52:15
bonjour,

j'ai fais la maj
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le mai 30, 2012, 14:04:54
Bonjour,

Tu as pu repasser l'outil sur les fichiers locked pour débloquer des fichiers non corrompus ?

Nous pouvons de toutes façons continuer à avancer.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Purge points de restauration :


---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

Garde RannohDecryptor si tu le souhaites pour continuer à tenter de décrypter les fichiers restants.

---------------------------------------------------------------------------------------------

Dis-moi quand ces 2 procédures ont été effectuées.

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le juin 05, 2012, 21:10:13
Bonjour,

Tu en es où ?
Tu as pu récupérer tous tes fichiers ?
Les dernières procédures demandées ont été effectuées ?

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le juin 16, 2012, 17:45:05
Bonjour


J'ai lancé le Purge points de restauration mais il s'est bloqué sans raison. J'étais obligé de redémarré le pc. Les fichiers infectés qui sont dans un dossier a part ne sont plus récupérable je crois. J'ai passé plusieurs fois le scan mais rien à faire. Ces fichiers sont corrompu pour toujours. Tu connais d'autres solutions pour qu'ils reprennent vie ? Est-ce que tu veux toujours m'aider ?

:)
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le juin 16, 2012, 18:11:51
Bonjour,

Hélas si l'outil RannohDecryptor n'y est pas arrivé, c'est mal parti.

Nous avions tenté avec l'outil du Dr Web ?
Si non, on peut le tenter.

Il y a aussi un outil Avira qui est sorti, on pourra aussi le tenter si Dr Web ne donne pas de résultat.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) matsnu1-decryptor :

Aide en images sur la fiche Malekal (http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/) (Voir EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt, tout en bas de la fiche)

---------------------------------------------------------------------------------------------

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le juin 16, 2012, 19:12:09
re
l'outil dr web n'a pas pu les réparés. Je vais essayer avira. tu peux me donner le lien ?
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le juin 16, 2012, 19:25:36
Re,

Oui, voilà la fiche Avira -> http://www.avira.com/en/support-for-business-knowledgebase-detail/kbid/1253

Le lien de téléchargement de l'outil Avira Ransom File Unlocker -> http://www.avira.com/files/support/FAQ_KB_Download_Files/EN/ransom_file_unlocker.zip

Bonne chance,

@+
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: josefrelate52 le juin 16, 2012, 19:48:11
même résultat avec avira  :'(
Titre: Re : infection gendarmerie + les fichiers locked-
Posté par: chantal11 le juin 16, 2012, 20:53:25
Re,

Sur cette fiche du Dr.Web, il est signalé qu'on peut contacter le support si des données restent codées
http://news.drweb.fr/show/?i=628&c=5

Les techniciens ont peut-être une solution à te proposer ?

Tiens-nous au courant.

@+