Security-X
Forum Security-X => Désinfections => Discussion démarrée par: corinneb326 le juillet 16, 2012, 12:33:49
-
Bonjour,
Je suis nouvelle sur le site et mon ordinateur a été contaminé par le virus gendarmerie. J'ai de nouveau accès à internet mais malheureusement je ne peux plus ouvrir mes documents, mes images, mes musiques. Est ce que je peux avoir de l'aide car mes documents sont très important. Merci
-
Bonjour corinneb326,
Bienvenu sur Security-X
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]
Note : Les rapports sont aussi enregistrés sur le bureau
-
Bonjour,
J'ai lancé OTL etj'ai eu le rapport OTL TxT (http://pjjoint.malekal.com/files.php?id=20120717_i11k6j15e5r13
Je n'ai pas eu le Extras TxT.
Merci encore pour votre aide
-
Bonjour,
C'est parce que tu avais déjà lancé OTL sur ce pc avant.
J'ai une mauvaise nouvelle, tu as la dernière variante de l'infection, le problème est qu'à l'heure actuelle, il n'existe aucun décrypteur/utilitaire pour retrouver les fichiers crypté.
Tout ce qu'on va pouvoir faire pour le moment c'est nettoyer les restes de l'infection ...
Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYfr&ptnrS=XPxdm049YYfr&si=2271&ptb=82F51C63-8107-44CD-98E1-F76528F9922D&psa=&ind=2012051315&st=sb&n=77ed7773&searchfor={searchTerms}
IE - HKU\S-1-5-21-1454471165-329068152-725345543-1004\..\SearchScopes\{A531D99C-5A22-449b-83DA-872725C6D0ED}: "URL" = http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=62E0B00001CD5EBB00078E15&install_time=2012-07-10T16:45:20Z&src_id=30777&camp_id=4194&tb_version=1.2.2000.2(B)
IE - HKU\S-1-5-21-1454471165-329068152-725345543-1004\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYfr&ptnrS=XPxdm049YYfr&si=2271&ptb=82F51C63-8107-44CD-98E1-F76528F9922D&psa=&ind=2012051315&st=sb&n=77ed7773&searchfor={searchTerms}
IE - HKU\S-1-5-21-1454471165-329068152-725345543-1004\..\SearchScopes\{D968DE0C-D022-4C22-96F9-CAA7C42A7443}: "URL" = http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=515
FF - HKCU\Software\MozillaPlugins\eorezo.com/AgenceChromeBHO: C:\Program Files\EoRezo\npAgenceChromeBHO.dll File not found
O3 - HKU\S-1-5-21-1454471165-329068152-725345543-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1454471165-329068152-725345543-1004\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2012/07/10 17:42:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\master\Application Data\Vaprea
[2012/07/10 10:25:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\master\Zrlizsn
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
[2012/07/06 18:18:12 | 000,000,714 | ---- | M] () -- C:\Documents and Settings\master\Application Data\Microsoft\Internet Explorer\Quick Launch\OfferBox.lnk
[2011/12/12 18:04:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Norton
[2011/05/05 19:11:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NortonInstaller
[2012/07/16 09:27:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Dès que nous auront des nouvelles concernant le décryptage pour cette variante nous t'en feront part, en attendant, nous n'avons malheureusement aucune solution.
-
Merci pour ce début d'aide, j'ai relancé OTL comme vous m'avez dit par contre cela a l'air de prendre du temps....? Je vous poste le rapport dès que je l'ai.
Je savais bien que je n'avais pas de chance, j'espère tout de même que je pourrais récupérer tous mes documents un jour.
-
Je reviens vers toi car j'ai relancé OTl avec le texte en copie que tu m'a donné mais l'ordinateur est toujours en fonctionnement, dans la barre du bas il me met "killing processes. DO NOT INTERRUPT...
Est ce je dois le laisser finir, cela fait plus de 2h qu'il met se message, ou est ce que je dois arreter l'ordi de manière forte.L'ordinateur ne s'est jamais éteint et n'a donc jamais redémarré
Merci de me tenir informer
-
Re,
Oui, c'est trop long.
Si rien ne répond, éteins manuellement le pc.
Puis relance-le en mode sans échec pour refaire la procédure :
Aide : Comment faire démarrer son ordinateur en mode sans échec (http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec).
-
j'ai relance OTl et j'ai eu les 2 rapports
OTL.Txt et Extras.Txt.
http://pjjoint.malekal.com/files.php?id=20120717_m15r13d10k9d12
http://pjjoint.malekal.com/files.php?id=20120717_y10s14j9l5l6
-
Re,
Attention, je ne demandais pas de refaire un scan, mais de refaire entièrement cette procédure de suppression :
http://forum.security-x.fr/desinfections/infection-par-virus-gendarmerie/msg73717/#msg73717
Mais en ayant démarré en mode sans échec avant :
Redémarre en Mode Sans Echec :
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
Aide : Comment faire démarrer son ordinateur en mode sans échec (http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec).
-
Désolé je n'avais pas bien compris,j'arrive à l'écran noir mais je ne peux aller avec les flèches de mon clavier sur le mode sans échec. Peux tu m'aider. Mon clavier pourtant fonctionne correctement, je ne comprends pas donc pas pourquoi cela ne marche pas
-
Re,
C'est quoi ton pc ? Un portable, un pc fixe ?
Tu as un clavier USB, sans fil ou filaire ?
-
Bonjour,
J'ai un pc fixe avec un clavier et souris sans fil.
-
Re,
C'est pour cela, en mode sans échec le pilote du sans-fil n'est pas chargé ...
Tu as un clavier à fil quelque part pour faire ceci ?
-
J'en ai un mais je ne sais pas s'il marche, je vais essayer et je reviens vers toi
-
Ca y est j'y suis arrivée, le mode sans echec a fonctionné, je t'envoie le rapport http://pjjoint.malekal.com/files.php?id=20120718_m7z5o9l15d8.
Peux tu me dire si mon ordinateur est bien nettoyé ?
Peux tu me dire quel antivirus est plus efficace et conseillé, internet en propose beaucoup et j'avoue que je ne m'y connais pas assez.
-
Re,
Ok pour le rapport.
Peux tu me dire si mon ordinateur est bien nettoyé ?
Oui pour l'infection initiale.
Par contre tes fichiers sont toujours crypté puisque comme je l'avais dit, pour le moment il n'existe aucun outil pour réparer cela.
Je t'en informerais si cela évolue.
Peux tu me dire quel antivirus est plus efficace et conseillé, internet en propose beaucoup et j'avoue que je ne m'y connais pas assez.
Aucun ne t'aurais aidé ici, l'infection est venu de l'ouverture d'une pièce jointe sur des variantes d'infection non encore répertoriées par les base de données d'antivirus.
C'était donc à toi de protéger ton pc en évitant l'ouverture de cette pièce jointe ...
Et c'est pareil pour tous le reste, le "meilleur" antivirus c'est toi, en tenant le pc à jour, et en adoptant un comportement réfléchi et responsable sur le net.
Je reviendrais donc vers toi dès qu'une solution de décryptage sera trouvée.
:AAN
-
Merci beaucoup pour cette 1ere aide. J'attends avec impatience de tes nouvelles pour mes fichiers.J'espère que la solution sera rapide...
Je pense que je n'ouvrirais pas de pièces jointes de si tôt.
cordialement
-
Bonjour,
Je me permet de revenir vers vous pour savoir si vous avez enfin la solution et les outils pour décrypter mes fichiers.
Cordialement
-
Re-bonjour,
Non malheureusement, aucun éditeur n'a jamais réussis à sortir un correctif pour décrypter cette variante de ransomware.
Les fichiers sont donc perdu.
Désolé.
:AAN