Auteur Sujet: Infection par un virus gendarmerie nationale - fichiers locked [Résolu]  (Lu 23743 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
bonjour,

j'ai été infectée par ce virus hier. après avoir tenté Roguekiller sans succès, j'ai installé Malwarebyte anti Malware qui a détecté 47 virus et les a suppimés. depuis tout est redevenu à la normale, je peux accéder à mon pc en mode normal, mais tous mes fichiers sont locked (extension changée). je n'arrive pas à trouver de solution. j'ai essyé Dr Web mais en vain car je ne retrouve plus les originaux de mes fichiers. tous mes docs importants sont dessus. Merci de votre aide.
« Modifié: mai 21, 2012, 21:31:03 par chantal11 »

Security-X


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #1 le: mai 01, 2012, 09:50:14 »
Bonjour jos30,

Poste le rapport Malwarebytes s'il te plaît (onglet Rapports/Logs, tu double-cliques sur le rapport concerné)

Quelles sont les extensions qui ont été touchées et comment ont été nommés ces fichiers cryptés ?

Pour une des variantes de ce Virus Gendarmerie, il faut impérativement avoir une copie saine non cryptée pour pouvoir appliquer le correctif Dr.Web approprié, mais ce n'est pas le cas pour d'autres variantes.

On va aussi s'assurer que le système est bien désinfecté.

   OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    Citer
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.
@+
« Modifié: mai 01, 2012, 18:11:00 par chantal11 »
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #2 le: mai 01, 2012, 20:15:08 »
Bonjour Chantal11,

Voici le rapport Mawarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.30.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]

01/05/2012 09:28:13
mbam-log-2012-05-01 (09-28-13).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213669
Temps écoulé: 6 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Voici quelques exemples de fichiers cryptés:

locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo


Je fais la procédure OTL et je reviens vers toi.
Merci


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #3 le: mai 01, 2012, 21:23:04 »
Bonjour,

Merci pour le rapport Malwarebytes, mais en fait, c'était le rapport avec la détection et suppression des 47 virus qui m'intéresse.

Citer
locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo
C'est bien la variante où il faut avoir au moins une copie non cryptée d'un des fichiers pour applique le correctif.
Tu n'as aucune sauvegarde de fichiers ?

N'oublie pas de poster les liens pour OTL.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #4 le: mai 01, 2012, 21:54:51 »
désolée. voici le bon rapport.
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.30.05

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]

30/04/2012 17:47:00
mbam-log-2012-04-30 (17-47-00).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 212221
Temps écoulé: 3 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 15
HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790476B376545630AC91 (Malware.Trace) -> Données:  -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Mozilla\Firefox\extensions|ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Données: C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 13
C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\plugins (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0} (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 17
C:\Users\Administrateur\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Administrateur\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAAbout.mht.otfx (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAEULA.mht.zbrl (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\LaunchHelp.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\install.rdf (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome\resultbar.jar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

(fin)

si j'ai une sauvegarde de fichiers mais elle est infectée aussi. tous les fichiers du PC sont comme ça.
je viens de télécharger OTL

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #5 le: mai 01, 2012, 22:19:16 »
Chantal11,

Voici les liens pour les fichiers OTL:
http://pjjoint.malekal.com/files.php?id=20120501_y5d5m6h14z14
http://pjjoint.malekal.com/files.php?id=20120501_n9z13n9q6p12

j'ai indiqué que ce n'était pas un contenu public. le mot de passe est : jos30

Merci de ton aide

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #6 le: mai 02, 2012, 09:51:57 »
Bonjour,

Merci pour les rapports.

Pour information, ton système est très vulnérable et a été infecté via une faille de sécurité Flash Player qui n'a été mis à jour.
Tes navigateurs ne sont pas à jour non plus.

Tu as installé AVG 2012 le 01/05/2012, alors que tu avais déjà Microsoft Forefront Client Security.
Tu ne peux pas avoir 2 protections résidentes actives en même temps sur ton système, cela ne sert à rien, sauf à créer une situation conflictuelle et à alourdir le système.

Tu as fait un scan avec AVG ? Avait-il mis en quarantaine des éléments ?
Si oui, poste le rapport.

Tu as installé aussi Spybot - Search & Destroy qui utilise une technologie dépassée et est devenu obsolète.
De plus, tu l'as téléchargé sur 01.net, donc avec un package indésirable qui a été supprimé par Malwarebytes.
Il faut toujours privilégier les sites officiels des éditeurs pour télécharger les applications.

Normalement sous Vista, il n'est pas possible de nommer un compte "Administrateur".
Tu as activé le compte Grand-Administrateur le 29/04 au soir vers 22h ?
L'analyse OTL a été faite sur ce compte "Administrateur", il aurait fallu lancer OTL sur ton compte habituel, celui qui a été infecté.
Le compte Grand-Administrateur ne doit pas être utilisé en compte normal et doit être réservé à débloquer une situation.

Si c'est bien ça, il faut que tu refasses l'analyse OTL comme indiqué dans mon 1er message depuis ton compte habituel.

J'ai une idée pour récupérer au moins une copie saine d'un de tes fichiers, mais pour cela il faut être bien sûr que cette variante Gendarmerie n'est plus active sur ton système.

J'attends donc tes réponses pour enchaîner.
Ne fais rien de ta propre initiative.

@+






 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #7 le: mai 02, 2012, 10:40:09 »
Bonjour,

Je vais supprimer AVG, je l'avais installé car forefront n'avait rien détecté.
Oui j'ai fait un scan avec AVG. Il avait trouvé une menace potentiellement dangereuse qu'il a supprimée: se localisait à cet endroit:
"C:\Users\Administrateur\AppData\Local\Mozilla\Firefox\Profiles\36ealvsy.default\Cache\1\E7\54964d01";"Fichier exécutable corrompu";"Effacé"
je ne trouve pas de rapport. j'ai juste un journal des événements.

en fait, mon mari avait, suite à l'attaque accédé au profil admin pour recréer  un autre profil et sauvegardé les données. il a restauré les données sous ce nouveau profil. il a oublié de désactiver ou en tout cas le rendre invisible. je sais pas si je me fais comprendre.

je vais refaire l'analyse OTL sur le profil infecté.
merci de ton aide.


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #8 le: mai 02, 2012, 11:06:49 »
Re,

OK, j'attends donc les nouveaux liens.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #9 le: mai 02, 2012, 11:46:09 »
voici les liens après exécution d'OTL:
http://pjjoint.malekal.com/files.php?id=20120502_z12k9o6l9t13

Je n'obtiens pas de fichier autre que OTL.txt. je ne retrouve pas de trace de fichier Extras.txt. croyant m'être trompée, j'ai refait la manip mais toujours rien.

J'ai mis du temps car OTL ne voulait pas s'exécuter de mon bureau car j'avais la boite de dialogue suivante: OTL ne peut s'exécuter depuis un fichier temporaire. Téléchargez-le sur le bureau ou dans un autre dossier.

avant, sous le profil admin je n'ai pas eu de souci.


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #10 le: mai 02, 2012, 12:27:45 »
Re,

Apparemment, ce profil est donc endommagé, puisqu'il s'ouvre en tant que profil temporaire
C:\Users\TEMP\

Il n'y a pas trace du virus gendarmerie dans les rapports, donc on va d'abord tenter de décrypter tes fichiers avant tout autre correctif.

Tu as bien des points de restauration valides sur ton système, enfin j'espère et j'espère aussi que le contenu des points de restauration n'a pas été touché par le ramsonware.
On va donc utiliser Shadow Explorer pour récupérer une copie saine d'un de tes fichiers, tu peux peut-être aussi récupérer tous tes fichiers par ce biais, tout dépend de la quantité de fichiers à récupérer.

On va donc tenter ceci depuis ton profil habituel :

  • Télécharge ShadowExplorer et enregistre-le sur le Bureau
  • Lance l'installation par clic-droit -> Exécuter en tant qu'administrateur et suit la procédure d'installation
  • Exécute ShadowExplorer par clic-droit -> Exécuter en tant qu'administrateur
  • Tu as donc accès aux copies enregistrées de tes fichiers lors de la création des différents points de restauration.
  • Tu sélectionnes une date récente, mais à un moment où l'infection Gendarmerie n'était pas encore présente
  • Dans l'arborescence qui apparaît, recherche la copie d'un fichier que tu sais crypté maintenant
  • Clic-droit sur ce fichier -> Export et tu l'enregistres bien à part, dans un nouveau dossier que tu crées spécifiquement, sans renommer le fichier
Aide en image sur Shadow Explorer

Tu me dis si cette procédure a bien réussie.

Tu restes bien connectée sur ce profil sans redémarrer le PC pour l'instant et sans changer de session.

On appliquera le correctif de décryptage en suivant dès que tu auras indiqué ta réponse.

@+

« Modifié: mai 02, 2012, 12:39:32 par chantal11 »
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #11 le: mai 02, 2012, 13:03:35 »
je viens d'installer Shadow explorer et je te mets ce que j'ai en piece jointe. et quand j'ouvre, tous les fichiers sont cryptés meme ceux datant de 2011. à part les fichiers systeme. mon fichier st trop gros, je peux pas te le transférer

pour les dates tout en haut, à coté du lecteur c, elles vont du 1er mai 2012à 22h03 jusqu'au 02 mai 2012 à 11h33. et sur d, aucune date disponible et aucune arborescence.

ca me fait peur. j'ai l'impression que je n'ai aucune sauvegarde de mon système avant l'attaque du virus.

merci de ton aide

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #12 le: mai 02, 2012, 13:13:40 »
Re,

Citer
pour les dates tout en haut, à coté du lecteur c, elles vont du 1er mai 2012à 22h03 jusqu'au 02 mai 2012 à 11h33.
Il n'y a aucun point de restauration avant ?
Tu avais désactivé la protection système ?
Tu avais fait une restauration système pour tenter de supprimer le ramsomware Gendarmerie ?

Peux-tu me dire si les fichiers .jpg sont touchés ?
Est-ce que ce fichier C:\Windows\Web\Wallpaper\img24.jpg est crypté ?
Que représente ce fond de Bureau, c'est natif Vista ou c'est une image personnelle ?

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #13 le: mai 02, 2012, 13:39:43 »
en fait ce pc est un pc professionnel;mon mari l'a eu via sa société et il me dit que le point de restauration est uniquement disponible pour les pc achetés dans le commerce. donc en l’occurrence, non il n'y avait pas de restauration système. on ne l'a sans doute pas activé non plus, en tout cas, je ne pense pas.


oui les fichiers jpg sont aussi touchés. le fichier C:\Windows\Web\Wallpaper\img24.jpg est en fait un fonds d'écran qui, après recherche est introuvable. c'était une photo que j'ai mis en fond d'écran. depuis l'attaque du virus, et la manip, il n'y a plus aucun fonds d'écran. j'ai le fond d'écran par défaut de Vista.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #14 le: mai 02, 2012, 13:57:12 »
Re,

Citer
en fait ce pc est un pc professionnel;mon mari l'a eu via sa société et il me dit que le point de restauration est uniquement disponible pour les pc achetés dans le commerce.
Non les points de restauration se créent quelque soit le PC, qu'il soit professionnel ou de commerce, comme tu dis;
La preuve, c'est que via OTL on a pu créer des points de restauration, 3 normalement, puisque tu as lancé 3 fois l'outil avec le scan personnalisé demandé.

Citer
on ne l'a sans doute pas activé non plus
En effet, le service ne devait pas être en fonction et c'est OTL qui l'a activé avec la commande CREATERESTOREPOINT.

Mais cela n'arrange pas notre affaire.

Citer
c'était une photo que j'ai mis en fond d'écran. depuis l'attaque du virus, et la manip, il n'y a plus aucun fonds d'écran. j'ai le fond d'écran par défaut de Vista.
Je vais vérifier sur un Vista comment ça se présente, mais si tu n'as pas l'original, cela ne nous avance pas non plus.

Puisque c'est un PC professionnel, il n'y a pas un fichier qui aurait été transmis à quelqu'un par mail ou par tout autre moyen, original que tu pourrais récupérer ?
Ou une photo que tu aurais transmis à un proche, ou un document quelconque ?

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #15 le: mai 02, 2012, 14:03:48 »
OK pour tes réponses. sinon, y a des fichiers que je me suis envoyé par mail que je peux récupérer via ma boite mail. j'essaie d'en retrouver un ou deux.

merci de ton aide

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #16 le: mai 02, 2012, 14:11:31 »
Re,

Citer
y a des fichiers que je me suis envoyé par mail que je peux récupérer via ma boite mail. j'essaie d'en retrouver un ou deux.
OK, tu les enregistres comme indiqué dans un nouveau dossier bien à part et tu me signales quand c'est fait.

Pour ce fichier C:\Windows\Web\Wallpaper\img24.jpg, c'est bien le fonds d'écran par défaut Vista.
Re-vérifie dans le répertoire Wallpaper si tu as bien ce fichier, il doit y être normalement.
Affiche les fichiers et dossiers cachés dans l'onglet Affichage de Options des dossiers au besoin.
Mais ce fichier img24.jpg ne doit pas être crypté normalement, sinon ce fonds d'écran ne pourrait pas s'afficher.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #17 le: mai 02, 2012, 16:34:38 »
Je viens de les enregistrer sur un fichier distinct sur le bureau.

j'ai bien vérifié le fichier img24, qui était cahcé. il est bien présent et non crypté.
à tte

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #18 le: mai 02, 2012, 16:39:29 »
Re,

Citer
Je viens de les enregistrer sur un fichier distinct sur le bureau.

OK on continue alors.

matsnu1-decryptor :

  • Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
    et enregistre-le sur ton Bureau
  • Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Indique le chemin du fichier non crypté

  • Ensuite, indique le chemin du même fichier crypté

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  • Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.
Aide en images sur la fiche Malekal (Voir EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt, tout en bas de la fiche)

On croise les doigts  :D
« Modifié: mai 02, 2012, 17:20:59 par chantal11 »
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #19 le: mai 02, 2012, 17:12:42 »
J'ai une erreur en cliquant sur le lien: Adresse introuvable. Firefox en peut trouver le serveur à l'adresse ftp

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Re : Infection par un virus gendarmerie nationale
« Réponse #20 le: mai 02, 2012, 17:19:14 »
Salut jos, voici un lien fonctionnel

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #21 le: mai 02, 2012, 17:22:18 »
Re,

Excuse-moi, j'avais mis sous forme d'url alors que c'est un ftp.

J'ai modifié dans la procédure.

Voici le lien direct -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #22 le: mai 02, 2012, 18:10:58 »
Dr Web vient de finir son décryptage. La boite dialogue indique que 9605 fichiers ont été décryptés.

SUPER!!! quand je regarde, presque tous mes fichiers sont décryptés (plus de fichier locked)  mais il reste encore quelqes fichier slocked tels que des fichiers *.doc, *.pub, *.pdf, *.jpg.

l'analyse de dr web, je l'ai fait avec un fichier *.jpg et son homonyme crypté. peut etre devrais je essayer avec d'autres extensions de fichiers!

merci. à +

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #23 le: mai 02, 2012, 18:20:26 »
Re,

Citer
La boite dialogue indique que 9605 fichiers ont été décryptés.
Hé bien ! Il y en avait en effet !  :D

Bon ceux-là sont décryptés, c'est super  :sup:

Citer
mais il reste encore quelqes fichier slocked tels que des fichiers *.doc, *.pub, *.pdf, *.jpg.
peut etre devrais je essayer avec d'autres extensions de fichiers!

Oui, retente l'opération avec un autre fichier si tu as l'original non crypté et son homologue crypté.
Il en reste beaucoup à décrypter ?

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale
« Réponse #24 le: mai 02, 2012, 18:27:47 »
A bien y regarder, Dr web s'inspire des fichiers cryptés pour recréer les non cryptés. ce qui fait que dans un seul dossier, j'ai à la fois le normal et le crypté. et éventuellement ce qui n'a pas pu etre décrypté. faut que je regarde de plus près et que je fasse un peu de ménage pour éviter les doublons inutiles et du coup supprimer les locked pour lesquels j'ai l'original. après faudrait que je sécurise mon pc. j'hésite du coup à faire les mises à jour firefox, java, adobe, flash etc.... :'(
Merci infiniment de ton aide. c'est super sympa.

Je reviens vers toi.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale
« Réponse #25 le: mai 02, 2012, 18:33:47 »
Re,

Citer
faut que je regarde de plus près et que je fasse un peu de ménage pour éviter les doublons inutiles et du coup supprimer les locked pour lesquels j'ai l'original
OK mais il faut quand même tenter de décrypter le reste, tu feras du ménage par la suite.

Citer
j'hésite du coup à faire les mises à jour firefox, java, adobe, flash etc...
On s'en occupera, c'est important, mais nous avons un correctif OTL aussi à appliquer en complément.

Il faudra aussi que l'on vérifie pour ce profil endommagé.

Le plus urgent pour l'instant, c'est de décrypter tous tes fichiers.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #26 le: mai 02, 2012, 21:07:46 »
ok Merci beauoup Chantal. Je suis en train de prendre mes fichiers et de voir si le fichier décrypté correspond au locked afin de supprimer les locked. J'en ai pas mal. après si besoin, je relancerai Dr web; mais jusqu'à présent, tous les fichiers sont présents. merci de ton aide.

Je te fais signe demain soir.

Merci infiniment et bonne soirée.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #27 le: mai 02, 2012, 21:25:38 »
Re,

OK, tu devrais aussi sauvegarder tous les fichiers décryptés sur un support externe.

Procède aussi à la création d'un nouveau compte Administrateur via Panneau de configuration -> Comptes Utilisateurs -> Gérer un autre compte -> Créer un nouveau compte.
Coche bien la case Administrateur et tu le nommes comme tu veux.

Ton profil habituel est endommagé et fonctionne actuellement en tant que profil temporaire.
Il faut prendre les devants avant qu'il ne soit plus possible de démarrer sur ce compte corrompu.

Tiens-moi au courant quand tu auras pu repasser l'outil Dr.Web, on pourra ainsi finaliser la désinfection avec un correctif OTL et les mises à jour.

Bon courage  :NNN
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #28 le: mai 03, 2012, 15:01:22 »
Bonjour jos30   :D

Je ne sais pas trop où tu en es, mais Kaspersky vient de sortir un outil aussi pour décrypter ces fichiers locked, sur le même principe, en comparant un fichier crypté et son homologue non crypté.

Son avantage, c'est qu'il y a possibilité de supprimer ensuite tous les fichiers cryptés.

Ce serait intéressant de le tenter pour les fichiers encore cryptés après le passage de l'outil de Dr.Web.

RannohDecryptor :

  • Télécharge RannohDecryptor.exe de Kaspersky et enregistre-le sur ton Bureau
  • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan

  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Bonne chance  :D
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #29 le: mai 05, 2012, 23:59:38 »
Bonjour Chantal,

jev viens à peine de finir de supprimer les fichiers locked. ça m'a pris quatre bonnes soirées car peu de temps en journée (boulot).

Je viens juste de voir ton message , merci quand même. J'ai pu récupérer tous les fichiers (j'ai vérifié les fichiers un par un et comparé le nom avec le locked) à part un (le plus important ) que j'ai renommé juste après l'attaque virus en croyant que ça fonctionnerait. et je le retrouve pas. tant pis

Merci beaucoup de ton aide.


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #30 le: mai 06, 2012, 08:19:35 »
Bonjour jos30,

Contente que tu aies pu récupérer tous tes fichiers, sauf celui que tu avais tenté de renommer (il ne faut en aucun cas renommer dans ce cas, au risque de ne plus pouvoir le décrypter).

Tu avais repassé Dr.Web une seconde fois pour ceux qui n'étaient pas décryptés ?

Comment se comporte ton profil habituel ? Celui qui est endommagé ?
Tu as pu créer un autre compte Administrateur ?

On continue donc.

---------------------------------------------------------------------------------------------

   Désinstalle via Programmes et fonctionnalités (si présents) :

  • Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
  • Fissa (adware)
  • Widestream6 (lié  un adware)
----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2583879
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\widestream6@spointer.com: C:\Program Files\Widestream6\spointer\extensions\widestream6@spointer.com [2010/12/04 22:22:41 | 000,000,000 | ---D | M]
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (Interest recogniser for Widestream6 (powered by Spointer)) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} - C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll (Widestream6)
    O4 - HKLM..\Run: []  File not found
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]

    :Commands
    [EMPTYTEMP]
    [RESETHOSTS]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
----------------------------------------------------------------------------------------------

  Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox

---------------------------------------------------------------------------------------------

  Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • SX Check&Update
@+



 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #31 le: mai 08, 2012, 13:40:47 »
Bonjour Chantal,

Oui j'ai u récupérer tous mes fichiers et je n'ai pas eu à repasser Dr Web.
Par conre, je dois acheter un disque diur externe pour sauvegarder toutes mes données.

J'attends de sauvegarder les données avant de continuer sur les procédures figurant dans ton précédent mail? ou je peux faire les manips sans souci?

actuellement, mon profil endommagé fonctionne plutot bien, à part un temps d'attente un peu long au démarrage. de plus, si je veux sauvegarder un fichier, il me le sauvegarde sauf qu'après il est introuvable (sauvegardé dans un fichier temp).

du coup, je sauvegarde sur le D:\

oui je viens de créer un compte Admin.

merci de ton retour.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #32 le: mai 08, 2012, 14:25:14 »
Bonjour,

Tu as bien créer une nouvelle session administrateur ?

De toutes façons tous tes fichiers sont sauvegardés maintenant sur D ?

Tu peux donc continuer la procédure indiquée  ;)
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #33 le: mai 08, 2012, 16:04:02 »
oui tout est Ok pour les 2 questions.
j'ai désinstallé Spybot et widestream.

Impossible de desintaller fissa, car erreur dans la base de registre. la capture d'écran excède 500Ko, je peux pas te l'envoyer

je continue avec OTL.

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #34 le: mai 08, 2012, 16:34:07 »
File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\widestream6@spointer.com: C:\Program Files\Widestream6\spointer\extensions\widestream6@spointer.com not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}\ not found.
File C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\ProgramData\SPLEF4E.tmp deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 882028 bytes
->Temporary Internet Files folder emptied: 346049 bytes
->FireFox cache emptied: 28760277 bytes
->Flash cache emptied: 456 bytes
 
User: Administrateur
->Temp folder emptied: 27428631 bytes
->Temporary Internet Files folder emptied: 82415 bytes
->Java cache emptied: 13869 bytes
->FireFox cache emptied: 283291973 bytes
->Flash cache emptied: 1140 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Poupoune
->Temp folder emptied: 77352 bytes
->Temporary Internet Files folder emptied: 33223 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 6872747 bytes
->Flash cache emptied: 456 bytes
 
User: Public
 
User: TEMP
->Temp folder emptied: 78653 bytes
->Temporary Internet Files folder emptied: 33223 bytes
->FireFox cache emptied: 12561512 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21550054 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 7340170911 bytes
 
Total Files Cleaned = 7 364,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.42.2 log created on 05082012_161033

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


fichier ouvert (dans le bloc note) lors du reboot

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #35 le: mai 08, 2012, 16:45:16 »
Re,

OK pour le correctif OTL (il en manque un bout, mais ce n'est pas grave).

Tu peux enchaîner sur la suite.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #36 le: mai 08, 2012, 17:18:15 »
re, voici le rapport SX Cheuck & update:

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows Vista 32 bits
Service Pack : 2
UserName : Josiane
08/05/2012
17:16:24
version = v0.2.3 
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX 
Version : 10.3.181.26
Flash Player ActiveX  n'est pas à jour!

Name : FlashPlayer Plugin
Version : 11.2.202.235
Flash Player Plugin est à jour

Nom : Mozilla Firefox 12.0 (x86 fr)
   Version : 12.0

Nom : Mozilla Maintenance Service
   Version : 12.0

Name : Adobe Acrobat 8 Professional - English, Français, Deutsch
Version : 8.0.0
Adobe Reader n'est pas à jour!
Nom : Adobe Photoshop CS3
Version : 10
Adobe Reader n'est pas à jour!

Name : Adobe PDF Library Files
Version : 8.0
Adobe Reader n'est pas à jour!
Nom : Internet Explorer
   Version : 9.0.8112.16421


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #37 le: mai 08, 2012, 17:25:27 »
Re,

Ouvre Internet Explorer et télécharge et installe la dernière version Flash Player sur cette page
http://get.adobe.com/fr/flashplayer/
Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)

  Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9

Tu me dis quand c'est fait.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #38 le: mai 08, 2012, 18:28:05 »
je viens de mettre a jour flash player sur IE9. j'avais installé IE9 comme tu me l'as dit depuis tout a l'heure deja.
j'ai suivi tes requetes à la lettre.
A toute

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #39 le: mai 08, 2012, 18:44:17 »
Re,

Bien  :D

---------------------------------------------------------------------------------------------

  Purge points de restauration :


  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :Commands
    [CLEARALLRESTOREPOINTS]
    [EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Supprime SXCU de ton Bureau ainsi que matsnu1decrypt.exe
  • Supprime tous les rapports générés
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
---------------------------------------------------------------------------------------------

N'oublie de sauvegarder sur un support externe tes données personnelles.

Pour ton profil corrompu, quand tu auras vérifié que tu as récupéré toutes données personnelles enregistrées sous cette session et que ta nouvelle session fonctionne parfaitement, tu pourras le supprimer en suivant cette procédure :
Supprimer un compte Administrateur ou Utilisateur standard

---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :

  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !


N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

-------------------------------------------------------------------------------------------

Tiens moi au courant en cas de difficultés rencontrées ou quand tu auras appliqué les procédures.

@+


 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #40 le: mai 10, 2012, 11:06:43 »
Bonjour Hayden76,

Ton propre sujet a été ouvert ici -> http://forum.security-x.fr/desinfections/%28sujet-de-hayden76%29-infection-par-un-virus-gendarmerie-nationale-fichiers-locked/

Merci de continuer sur ce dernier pour une prise en charge.

@+
 

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #41 le: mai 17, 2012, 11:15:26 »
Bonjour Chantal,

Après avoir ouvert une nouvelle session avec un autre nom d'utilisateur, je me suis apercue que les fichiers étaient locked J'ai utilisé Kapersky RannohDecryptor.

Voici le lien du rapport.

http://pjjoint.malekal.com/files.php?id=20120517_c6s8x8v14c7

Merci de ton aide;

Hors ligne jos30

  • Membres
  • Members
  • *
  • Messages: 22
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #42 le: mai 17, 2012, 11:18:44 »
Je viens de vérifier et jk'ai les bons fichiers. je vais lui demander de supprimer les fichiers locked. merci de m'avoir indiqué ce logiciel. il me facilite la tache

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23277
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Infection par un virus gendarmerie nationale - fichiers locked
« Réponse #43 le: mai 17, 2012, 11:32:53 »
Bonjour,

Oui tu peux utiliser l'option Delete crypted files after decryption dans Change parameters -> Additional options.

Tous tes fichiers sont bien débloqués :
Citer
23:10:49.0423 2576   Statistic:
23:10:49.0423 2576   Processed:   208732
23:10:49.0423 2576   Suspicious:   0
23:10:49.0423 2576   Found:      8794
23:10:49.0423 2576   Decrypted:   8794

@+