Security-X
Forum Security-X => Désinfections => Discussion démarrée par: jos30 le avril 30, 2012, 23:27:58
-
bonjour,
j'ai été infectée par ce virus hier. après avoir tenté Roguekiller sans succès, j'ai installé Malwarebyte anti Malware qui a détecté 47 virus et les a suppimés. depuis tout est redevenu à la normale, je peux accéder à mon pc en mode normal, mais tous mes fichiers sont locked (extension changée). je n'arrive pas à trouver de solution. j'ai essyé Dr Web mais en vain car je ne retrouve plus les originaux de mes fichiers. tous mes docs importants sont dessus. Merci de votre aide.
-
Bonjour jos30,
Poste le rapport Malwarebytes s'il te plaît (onglet Rapports/Logs, tu double-cliques sur le rapport concerné)
Quelles sont les extensions qui ont été touchées et comment ont été nommés ces fichiers cryptés ?
Pour une des variantes de ce Virus Gendarmerie, il faut impérativement avoir une copie saine non cryptée pour pouvoir appliquer le correctif Dr.Web approprié, mais ce n'est pas le cas pour d'autres variantes.
On va aussi s'assurer que le système est bien désinfecté.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de Old_Timer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr (http://pjjoint.malekal.com/) et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.
@+
-
Bonjour Chantal11,
Voici le rapport Mawarebytes:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.30.05
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]
01/05/2012 09:28:13
mbam-log-2012-05-01 (09-28-13).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213669
Temps écoulé: 6 minute(s), 20 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Voici quelques exemples de fichiers cryptés:
locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo
Je fais la procédure OTL et je reviens vers toi.
Merci
-
Bonjour,
Merci pour le rapport Malwarebytes, mais en fait, c'était le rapport avec la détection et suppression des 47 virus qui m'intéresse.
locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo
C'est bien la variante où il faut avoir au moins une copie non cryptée d'un des fichiers pour applique le correctif.
Tu n'as aucune sauvegarde de fichiers ?
N'oublie pas de poster les liens pour OTL.
@+
-
désolée. voici le bon rapport.
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.30.05
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]
30/04/2012 17:47:00
mbam-log-2012-04-30 (17-47-00).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 212221
Temps écoulé: 3 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 15
HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790476B376545630AC91 (Malware.Trace) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Mozilla\Firefox\extensions|ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Données: C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 13
C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\plugins (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0} (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 17
C:\Users\Administrateur\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Administrateur\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAAbout.mht.otfx (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAEULA.mht.zbrl (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\LaunchHelp.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\install.rdf (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome\resultbar.jar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
(fin)
si j'ai une sauvegarde de fichiers mais elle est infectée aussi. tous les fichiers du PC sont comme ça.
je viens de télécharger OTL
-
Chantal11,
Voici les liens pour les fichiers OTL:
http://pjjoint.malekal.com/files.php?id=20120501_y5d5m6h14z14
http://pjjoint.malekal.com/files.php?id=20120501_n9z13n9q6p12
j'ai indiqué que ce n'était pas un contenu public. le mot de passe est : jos30
Merci de ton aide
-
Bonjour,
Merci pour les rapports.
Pour information, ton système est très vulnérable et a été infecté via une faille de sécurité Flash Player qui n'a été mis à jour.
Tes navigateurs ne sont pas à jour non plus.
Tu as installé AVG 2012 le 01/05/2012, alors que tu avais déjà Microsoft Forefront Client Security.
Tu ne peux pas avoir 2 protections résidentes actives en même temps sur ton système, cela ne sert à rien, sauf à créer une situation conflictuelle et à alourdir le système.
Tu as fait un scan avec AVG ? Avait-il mis en quarantaine des éléments ?
Si oui, poste le rapport.
Tu as installé aussi Spybot - Search & Destroy qui utilise une technologie dépassée et est devenu obsolète.
De plus, tu l'as téléchargé sur 01.net, donc avec un package indésirable qui a été supprimé par Malwarebytes.
Il faut toujours privilégier les sites officiels des éditeurs pour télécharger les applications.
Normalement sous Vista, il n'est pas possible de nommer un compte "Administrateur".
Tu as activé le compte Grand-Administrateur le 29/04 au soir vers 22h ?
L'analyse OTL a été faite sur ce compte "Administrateur", il aurait fallu lancer OTL sur ton compte habituel, celui qui a été infecté.
Le compte Grand-Administrateur ne doit pas être utilisé en compte normal et doit être réservé à débloquer une situation.
Si c'est bien ça, il faut que tu refasses l'analyse OTL comme indiqué dans mon 1er message depuis ton compte habituel.
J'ai une idée pour récupérer au moins une copie saine d'un de tes fichiers, mais pour cela il faut être bien sûr que cette variante Gendarmerie n'est plus active sur ton système.
J'attends donc tes réponses pour enchaîner.
Ne fais rien de ta propre initiative.
@+
-
Bonjour,
Je vais supprimer AVG, je l'avais installé car forefront n'avait rien détecté.
Oui j'ai fait un scan avec AVG. Il avait trouvé une menace potentiellement dangereuse qu'il a supprimée: se localisait à cet endroit:
"C:\Users\Administrateur\AppData\Local\Mozilla\Firefox\Profiles\36ealvsy.default\Cache\1\E7\54964d01";"Fichier exécutable corrompu";"Effacé"
je ne trouve pas de rapport. j'ai juste un journal des événements.
en fait, mon mari avait, suite à l'attaque accédé au profil admin pour recréer un autre profil et sauvegardé les données. il a restauré les données sous ce nouveau profil. il a oublié de désactiver ou en tout cas le rendre invisible. je sais pas si je me fais comprendre.
je vais refaire l'analyse OTL sur le profil infecté.
merci de ton aide.
-
Re,
OK, j'attends donc les nouveaux liens.
@+
-
voici les liens après exécution d'OTL:
http://pjjoint.malekal.com/files.php?id=20120502_z12k9o6l9t13
Je n'obtiens pas de fichier autre que OTL.txt. je ne retrouve pas de trace de fichier Extras.txt. croyant m'être trompée, j'ai refait la manip mais toujours rien.
J'ai mis du temps car OTL ne voulait pas s'exécuter de mon bureau car j'avais la boite de dialogue suivante: OTL ne peut s'exécuter depuis un fichier temporaire. Téléchargez-le sur le bureau ou dans un autre dossier.
avant, sous le profil admin je n'ai pas eu de souci.
-
Re,
Apparemment, ce profil est donc endommagé, puisqu'il s'ouvre en tant que profil temporaire
C:\Users\TEMP\
Il n'y a pas trace du virus gendarmerie dans les rapports, donc on va d'abord tenter de décrypter tes fichiers avant tout autre correctif.
Tu as bien des points de restauration valides sur ton système, enfin j'espère et j'espère aussi que le contenu des points de restauration n'a pas été touché par le ramsonware.
On va donc utiliser Shadow Explorer pour récupérer une copie saine d'un de tes fichiers, tu peux peut-être aussi récupérer tous tes fichiers par ce biais, tout dépend de la quantité de fichiers à récupérer.
On va donc tenter ceci depuis ton profil habituel :
- Télécharge ShadowExplorer (http://www.shadowexplorer.com/uploads/ShadowExplorer-0.8-setup.exe) et enregistre-le sur le Bureau
- Lance l'installation par clic-droit -> Exécuter en tant qu'administrateur et suit la procédure d'installation
- Exécute ShadowExplorer par clic-droit -> Exécuter en tant qu'administrateur
- Tu as donc accès aux copies enregistrées de tes fichiers lors de la création des différents points de restauration.
- Tu sélectionnes une date récente, mais à un moment où l'infection Gendarmerie n'était pas encore présente
- Dans l'arborescence qui apparaît, recherche la copie d'un fichier que tu sais crypté maintenant
- Clic-droit sur ce fichier -> Export et tu l'enregistres bien à part, dans un nouveau dossier que tu crées spécifiquement, sans renommer le fichier
Aide en image sur Shadow Explorer (http://www.forum-vista.net/forum/topic6266.html)
Tu me dis si cette procédure a bien réussie.
Tu restes bien connectée sur ce profil sans redémarrer le PC pour l'instant et sans changer de session.
On appliquera le correctif de décryptage en suivant dès que tu auras indiqué ta réponse.
@+
-
je viens d'installer Shadow explorer et je te mets ce que j'ai en piece jointe. et quand j'ouvre, tous les fichiers sont cryptés meme ceux datant de 2011. à part les fichiers systeme. mon fichier st trop gros, je peux pas te le transférer
pour les dates tout en haut, à coté du lecteur c, elles vont du 1er mai 2012à 22h03 jusqu'au 02 mai 2012 à 11h33. et sur d, aucune date disponible et aucune arborescence.
ca me fait peur. j'ai l'impression que je n'ai aucune sauvegarde de mon système avant l'attaque du virus.
merci de ton aide
-
Re,
pour les dates tout en haut, à coté du lecteur c, elles vont du 1er mai 2012à 22h03 jusqu'au 02 mai 2012 à 11h33.
Il n'y a aucun point de restauration avant ?
Tu avais désactivé la protection système ?
Tu avais fait une restauration système pour tenter de supprimer le ramsomware Gendarmerie ?
Peux-tu me dire si les fichiers .jpg sont touchés ?
Est-ce que ce fichier C:\Windows\Web\Wallpaper\img24.jpg est crypté ?
Que représente ce fond de Bureau, c'est natif Vista ou c'est une image personnelle ?
@+
-
en fait ce pc est un pc professionnel;mon mari l'a eu via sa société et il me dit que le point de restauration est uniquement disponible pour les pc achetés dans le commerce. donc en l’occurrence, non il n'y avait pas de restauration système. on ne l'a sans doute pas activé non plus, en tout cas, je ne pense pas.
oui les fichiers jpg sont aussi touchés. le fichier C:\Windows\Web\Wallpaper\img24.jpg est en fait un fonds d'écran qui, après recherche est introuvable. c'était une photo que j'ai mis en fond d'écran. depuis l'attaque du virus, et la manip, il n'y a plus aucun fonds d'écran. j'ai le fond d'écran par défaut de Vista.
-
Re,
en fait ce pc est un pc professionnel;mon mari l'a eu via sa société et il me dit que le point de restauration est uniquement disponible pour les pc achetés dans le commerce.
Non les points de restauration se créent quelque soit le PC, qu'il soit professionnel ou de commerce, comme tu dis;
La preuve, c'est que via OTL on a pu créer des points de restauration, 3 normalement, puisque tu as lancé 3 fois l'outil avec le scan personnalisé demandé.
on ne l'a sans doute pas activé non plus
En effet, le service ne devait pas être en fonction et c'est OTL qui l'a activé avec la commande CREATERESTOREPOINT.
Mais cela n'arrange pas notre affaire.
c'était une photo que j'ai mis en fond d'écran. depuis l'attaque du virus, et la manip, il n'y a plus aucun fonds d'écran. j'ai le fond d'écran par défaut de Vista.
Je vais vérifier sur un Vista comment ça se présente, mais si tu n'as pas l'original, cela ne nous avance pas non plus.
Puisque c'est un PC professionnel, il n'y a pas un fichier qui aurait été transmis à quelqu'un par mail ou par tout autre moyen, original que tu pourrais récupérer ?
Ou une photo que tu aurais transmis à un proche, ou un document quelconque ?
@+
-
OK pour tes réponses. sinon, y a des fichiers que je me suis envoyé par mail que je peux récupérer via ma boite mail. j'essaie d'en retrouver un ou deux.
merci de ton aide
-
Re,
y a des fichiers que je me suis envoyé par mail que je peux récupérer via ma boite mail. j'essaie d'en retrouver un ou deux.
OK, tu les enregistres comme indiqué dans un nouveau dossier bien à part et tu me signales quand c'est fait.
Pour ce fichier C:\Windows\Web\Wallpaper\img24.jpg, c'est bien le fonds d'écran par défaut Vista.
Re-vérifie dans le répertoire Wallpaper si tu as bien ce fichier, il doit y être normalement.
Affiche les fichiers et dossiers cachés dans l'onglet Affichage de Options des dossiers au besoin.
Mais ce fichier img24.jpg ne doit pas être crypté normalement, sinon ce fonds d'écran ne pourrait pas s'afficher.
@+
-
Je viens de les enregistrer sur un fichier distinct sur le bureau.
j'ai bien vérifié le fichier img24, qui était cahcé. il est bien présent et non crypté.
à tte
-
Re,
Je viens de les enregistrer sur un fichier distinct sur le bureau.
OK on continue alors.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) matsnu1-decryptor :
- Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
et enregistre-le sur ton Bureau
- Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
- Indique le chemin du fichier non crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fnon_en10.jpg&hash=80ca4da27f4701eafd56547114989e08c25c1afb) (http://www.servimg.com/image_preview.php?i=615&u=12972154)
- Ensuite, indique le chemin du même fichier crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fencryp10.jpg&hash=efab0327452690c244e6f8f4a1816685789f7a17) (http://www.servimg.com/image_preview.php?i=616&u=12972154)
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.
Aide en images sur la fiche Malekal (http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/) (Voir EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt, tout en bas de la fiche)
On croise les doigts :D
-
J'ai une erreur en cliquant sur le lien: Adresse introuvable. Firefox en peut trouver le serveur à l'adresse ftp
-
Salut jos, voici un lien fonctionnel
ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
-
Re,
Excuse-moi, j'avais mis sous forme d'url alors que c'est un ftp.
J'ai modifié dans la procédure.
Voici le lien direct -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
@+
-
Dr Web vient de finir son décryptage. La boite dialogue indique que 9605 fichiers ont été décryptés.
SUPER!!! quand je regarde, presque tous mes fichiers sont décryptés (plus de fichier locked) mais il reste encore quelqes fichier slocked tels que des fichiers *.doc, *.pub, *.pdf, *.jpg.
l'analyse de dr web, je l'ai fait avec un fichier *.jpg et son homonyme crypté. peut etre devrais je essayer avec d'autres extensions de fichiers!
merci. à +
-
Re,
La boite dialogue indique que 9605 fichiers ont été décryptés.
Hé bien ! Il y en avait en effet ! :D
Bon ceux-là sont décryptés, c'est super :sup:
mais il reste encore quelqes fichier slocked tels que des fichiers *.doc, *.pub, *.pdf, *.jpg.
peut etre devrais je essayer avec d'autres extensions de fichiers!
Oui, retente l'opération avec un autre fichier si tu as l'original non crypté et son homologue crypté.
Il en reste beaucoup à décrypter ?
@+
-
A bien y regarder, Dr web s'inspire des fichiers cryptés pour recréer les non cryptés. ce qui fait que dans un seul dossier, j'ai à la fois le normal et le crypté. et éventuellement ce qui n'a pas pu etre décrypté. faut que je regarde de plus près et que je fasse un peu de ménage pour éviter les doublons inutiles et du coup supprimer les locked pour lesquels j'ai l'original. après faudrait que je sécurise mon pc. j'hésite du coup à faire les mises à jour firefox, java, adobe, flash etc.... :'(
Merci infiniment de ton aide. c'est super sympa.
Je reviens vers toi.
-
Re,
faut que je regarde de plus près et que je fasse un peu de ménage pour éviter les doublons inutiles et du coup supprimer les locked pour lesquels j'ai l'original
OK mais il faut quand même tenter de décrypter le reste, tu feras du ménage par la suite.
j'hésite du coup à faire les mises à jour firefox, java, adobe, flash etc...
On s'en occupera, c'est important, mais nous avons un correctif OTL aussi à appliquer en complément.
Il faudra aussi que l'on vérifie pour ce profil endommagé.
Le plus urgent pour l'instant, c'est de décrypter tous tes fichiers.
@+
-
ok Merci beauoup Chantal. Je suis en train de prendre mes fichiers et de voir si le fichier décrypté correspond au locked afin de supprimer les locked. J'en ai pas mal. après si besoin, je relancerai Dr web; mais jusqu'à présent, tous les fichiers sont présents. merci de ton aide.
Je te fais signe demain soir.
Merci infiniment et bonne soirée.
-
Re,
OK, tu devrais aussi sauvegarder tous les fichiers décryptés sur un support externe.
Procède aussi à la création d'un nouveau compte Administrateur via Panneau de configuration -> Comptes Utilisateurs -> Gérer un autre compte -> Créer un nouveau compte.
Coche bien la case Administrateur et tu le nommes comme tu veux.
Ton profil habituel est endommagé et fonctionne actuellement en tant que profil temporaire.
Il faut prendre les devants avant qu'il ne soit plus possible de démarrer sur ce compte corrompu.
Tiens-moi au courant quand tu auras pu repasser l'outil Dr.Web, on pourra ainsi finaliser la désinfection avec un correctif OTL et les mises à jour.
Bon courage :NNN
-
Bonjour jos30 :D
Je ne sais pas trop où tu en es, mais Kaspersky vient de sortir un outil aussi pour décrypter ces fichiers locked, sur le même principe, en comparant un fichier crypté et son homologue non crypté.
Son avantage, c'est qu'il y a possibilité de supprimer ensuite tous les fichiers cryptés.
Ce serait intéressant de le tenter pour les fichiers encore cryptés après le passage de l'outil de Dr.Web.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RannohDecryptor :
- Télécharge RannohDecryptor.exe (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) de Kaspersky et enregistre-le sur ton Bureau
- Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr (http://pjjoint.malekal.com/) s'il est trop long et indique le lien
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Bonne chance :D
-
Bonjour Chantal,
jev viens à peine de finir de supprimer les fichiers locked. ça m'a pris quatre bonnes soirées car peu de temps en journée (boulot).
Je viens juste de voir ton message , merci quand même. J'ai pu récupérer tous les fichiers (j'ai vérifié les fichiers un par un et comparé le nom avec le locked) à part un (le plus important ) que j'ai renommé juste après l'attaque virus en croyant que ça fonctionnerait. et je le retrouve pas. tant pis
Merci beaucoup de ton aide.
-
Bonjour jos30,
Contente que tu aies pu récupérer tous tes fichiers, sauf celui que tu avais tenté de renommer (il ne faut en aucun cas renommer dans ce cas, au risque de ne plus pouvoir le décrypter).
Tu avais repassé Dr.Web une seconde fois pour ceux qui n'étaient pas décryptés ?
Comment se comporte ton profil habituel ? Celui qui est endommagé ?
Tu as pu créer un autre compte Administrateur ?
On continue donc.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Programmes et fonctionnalités (si présents) :
- Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
- Fissa (adware)
- Widestream6 (lié un adware)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2583879
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\widestream6@spointer.com: C:\Program Files\Widestream6\spointer\extensions\widestream6@spointer.com [2010/12/04 22:22:41 | 000,000,000 | ---D | M]
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Interest recogniser for Widestream6 (powered by Spointer)) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} - C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll (Widestream6)
O4 - HKLM..\Run: [] File not found
[1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[1 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
:Commands
[EMPTYTEMP]
[RESETHOSTS]
[CREATERESTOREPOINT]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Mets à jour Firefox :
Télécharge et installe cette dernière version Firefox (http://www.mozilla.org/fr/firefox/fx/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Mise à jour d'Internet Explorer :
Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9 (http://windows.microsoft.com/fr-FR/internet-explorer/products/ie/home)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
- Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- C:\_OTL\MovedFiles\********_******.log
- SX Check&Update
@+
-
Bonjour Chantal,
Oui j'ai u récupérer tous mes fichiers et je n'ai pas eu à repasser Dr Web.
Par conre, je dois acheter un disque diur externe pour sauvegarder toutes mes données.
J'attends de sauvegarder les données avant de continuer sur les procédures figurant dans ton précédent mail? ou je peux faire les manips sans souci?
actuellement, mon profil endommagé fonctionne plutot bien, à part un temps d'attente un peu long au démarrage. de plus, si je veux sauvegarder un fichier, il me le sauvegarde sauf qu'après il est introuvable (sauvegardé dans un fichier temp).
du coup, je sauvegarde sur le D:\
oui je viens de créer un compte Admin.
merci de ton retour.
-
Bonjour,
Tu as bien créer une nouvelle session administrateur ?
De toutes façons tous tes fichiers sont sauvegardés maintenant sur D ?
Tu peux donc continuer la procédure indiquée ;)
-
oui tout est Ok pour les 2 questions.
j'ai désinstallé Spybot et widestream.
Impossible de desintaller fissa, car erreur dans la base de registre. la capture d'écran excède 500Ko, je peux pas te l'envoyer
je continue avec OTL.
-
File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\widestream6@spointer.com: C:\Program Files\Widestream6\spointer\extensions\widestream6@spointer.com not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9}\ not found.
File C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\ProgramData\SPLEF4E.tmp deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 882028 bytes
->Temporary Internet Files folder emptied: 346049 bytes
->FireFox cache emptied: 28760277 bytes
->Flash cache emptied: 456 bytes
User: Administrateur
->Temp folder emptied: 27428631 bytes
->Temporary Internet Files folder emptied: 82415 bytes
->Java cache emptied: 13869 bytes
->FireFox cache emptied: 283291973 bytes
->Flash cache emptied: 1140 bytes
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Poupoune
->Temp folder emptied: 77352 bytes
->Temporary Internet Files folder emptied: 33223 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 6872747 bytes
->Flash cache emptied: 456 bytes
User: Public
User: TEMP
->Temp folder emptied: 78653 bytes
->Temporary Internet Files folder emptied: 33223 bytes
->FireFox cache emptied: 12561512 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 21550054 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 7340170911 bytes
Total Files Cleaned = 7 364,00 mb
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.42.2 log created on 05082012_161033
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
fichier ouvert (dans le bloc note) lors du reboot
-
Re,
OK pour le correctif OTL (il en manque un bout, mais ce n'est pas grave).
Tu peux enchaîner sur la suite.
@+
-
re, voici le rapport SX Cheuck & update:
SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows Vista 32 bits
Service Pack : 2
UserName : Josiane
08/05/2012
17:16:24
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 10.3.181.26
Flash Player ActiveX n'est pas à jour!
Name : FlashPlayer Plugin
Version : 11.2.202.235
Flash Player Plugin est à jour
Nom : Mozilla Firefox 12.0 (x86 fr)
Version : 12.0
Nom : Mozilla Maintenance Service
Version : 12.0
Name : Adobe Acrobat 8 Professional - English, Français, Deutsch
Version : 8.0.0
Adobe Reader n'est pas à jour!
Nom : Adobe Photoshop CS3
Version : 10
Adobe Reader n'est pas à jour!
Name : Adobe PDF Library Files
Version : 8.0
Adobe Reader n'est pas à jour!
Nom : Internet Explorer
Version : 9.0.8112.16421
-
Re,
Ouvre Internet Explorer et télécharge et installe la dernière version Flash Player sur cette page
http://get.adobe.com/fr/flashplayer/
Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Mise à jour d'Internet Explorer :
Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9 (http://windows.microsoft.com/fr-FR/internet-explorer/products/ie/home)
Tu me dis quand c'est fait.
@+
-
je viens de mettre a jour flash player sur IE9. j'avais installé IE9 comme tu me l'as dit depuis tout a l'heure deja.
j'ai suivi tes requetes à la lettre.
A toute
-
Re,
Bien :D
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Supprime SXCU de ton Bureau ainsi que matsnu1decrypt.exe
- Supprime tous les rapports générés
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
---------------------------------------------------------------------------------------------
N'oublie de sauvegarder sur un support externe tes données personnelles.
Pour ton profil corrompu, quand tu auras vérifié que tu as récupéré toutes données personnelles enregistrées sous cette session et que ta nouvelle session fonctionne parfaitement, tu pourras le supprimer en suivant cette procédure :
Supprimer un compte Administrateur ou Utilisateur standard (http://www.chantal11.com/2010/07/supprimer-un-compte-administrateur-ou-utilisateur-standard/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-------------------------------------------------------------------------------------------
Tiens moi au courant en cas de difficultés rencontrées ou quand tu auras appliqué les procédures.
@+
-
Bonjour Hayden76,
Ton propre sujet a été ouvert ici -> http://forum.security-x.fr/desinfections/%28sujet-de-hayden76%29-infection-par-un-virus-gendarmerie-nationale-fichiers-locked/
Merci de continuer sur ce dernier pour une prise en charge.
@+
-
Bonjour Chantal,
Après avoir ouvert une nouvelle session avec un autre nom d'utilisateur, je me suis apercue que les fichiers étaient locked J'ai utilisé Kapersky RannohDecryptor.
Voici le lien du rapport.
http://pjjoint.malekal.com/files.php?id=20120517_c6s8x8v14c7
Merci de ton aide;
-
Je viens de vérifier et jk'ai les bons fichiers. je vais lui demander de supprimer les fichiers locked. merci de m'avoir indiqué ce logiciel. il me facilite la tache
-
Bonjour,
Oui tu peux utiliser l'option Delete crypted files after decryption dans Change parameters -> Additional options.
Tous tes fichiers sont bien débloqués :
23:10:49.0423 2576 Statistic:
23:10:49.0423 2576 Processed: 208732
23:10:49.0423 2576 Suspicious: 0
23:10:49.0423 2576 Found: 8794
23:10:49.0423 2576 Decrypted: 8794
@+