Auteur Sujet: [resolu] Infection virus gendarmerie nationale - fichiers locked [nanou93150]  (Lu 6918 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Bonjour a tous,

j'ai depuis ce matin mon ordinateur qui est infecté par ce foutu virus et tout mes fichiers sont pour l'instant H.S. (y compris les photos de ma niece, de mes concerts et de mariages :( ), j'ai suivi vos conseils; donc voici les liens d'OTL et extras :

- OTL : http://pjjoint.malekal.com/files.php?id=20120605_j13t14f8o8j14
- Extra : http://pjjoint.malekal.com/files.php?id=20120605_q7s5x10x10h15

Pitié Aidez moi !!! Sniff j'veux juste recuperer mes fichiers, ceux de mon ordi et de mes disques durs externes
« Modifié: juillet 28, 2012, 20:27:09 par hyunkel30 »

Security-X


Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Ah et j'ai oublié de preciser : j'ai quelques documents qui bizarrement n'ont pas ete infectes et qui sont normaux; est ce que ça pourrait servir dans la recuperation de mes fichiers perdus...?  :-[

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Bonjour nanou,

Bienvenu sur Security-X,


On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\

Citer
j'ai quelques documents qui bizarrement n'ont pas ete infectes et qui sont normaux; est ce que ça pourrait servir dans la recuperation de mes fichiers perdus...?

Si et seulement si ce sont des copies non modifiées d'un des fichiers cryptés. Il faut savoir aussi que parfois l'outil n'a pas besoin de fichier sain pour travailler, mais il vaut mieux en avoir un sous la main, issue d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc ... ;)



On va nettoyer le pc d'abord, tu as des restes de l'infection et d'autres infections (adwares : logiciel publicitaire)

1) Désinstalle les programmes suivant de ta liste des programmes (si présents) :

Note : si la désinstallation ne fonctionne pas ou se met en erreur, passe au suivant et poursuis la procédure

- Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)

- Complitly (adware : logiciel publicitaire)
- AutocompletePro (idem)
- Babylon toolbar on IE (idem)
- Searchqu Toolbar (idem)



2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    PRC - [2012/03/07 10:02:35 | 001,694,608 | ---- | M] (Bandoo Media, inc) -- C:\Program Files\Searchqu Toolbar\Datamngr\datamngrUI.exe
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-965798353-4009078557-2193727417-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-965798353-4009078557-2193727417-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110000&babsrc=SP_ss&mntrId=06440639000000000000002215433c34
    IE - HKU\S-1-5-21-965798353-4009078557-2193727417-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
    CHR - Extension: No name found = C:\Users\Nadir\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\locked-.xunc
    CHR - Extension: No name found = C:\Users\Nadir\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~1\SEARCH~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-965798353-4009078557-2193727417-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE (Bandoo Media, inc)
    O4 - HKLM..\Run: [Tuto4pc]  File not found
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll (Bandoo Media, inc)
    [2012/06/05 09:55:51 | 002,565,222 | ---- | C] (Tuto4pc                                                     ) -- C:\Users\Nadir\AppData\Roaming\install.exe
    [2012/06/04 23:53:50 | 000,000,000 | ---D | C] -- C:\Users\Nadir\AppData\Roaming\Wfpc
    [2012/05/30 02:11:41 | 000,000,000 | ---D | C] -- C:\Users\Nadir\AppData\Roaming\dclogs
    [2012/06/05 09:53:54 | 000,000,000 | ---D | M] -- C:\Users\Nadir\AppData\Roaming\Babylon
    [2012/06/05 09:53:59 | 000,000,000 | ---D | M] -- C:\Users\Nadir\AppData\Roaming\Complitly
    [2011/02/16 11:10:17 | 000,000,000 | ---D | M] -- C:\Users\Nadir\AppData\Roaming\Tuto4pc
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:88050731
    @Alternate Data Stream - 105 bytes -> C:\ProgramData\Temp:C0A9D0E7

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{535CB6C5-F565-4B47-9BF4-32771493B4C1}"=-
    "{5CC75B51-82AD-438A-B94F-F48EA4DAF434}"=-
    "{657951D2-A3AA-4370-8B0B-159D74041006}"=-
    "{7578CCF3-BF42-4889-81F0-05BB8866D31C}"=-
    "{A444FE36-C99B-4093-9A45-29289558734E}"=-
    "{E4710E47-177D-4E4A-AD16-6DFC7C810DA1}"=-
    "{F7B0BD67-769A-4B5A-A29F-212AD688958F}"=-

    :Files
    C:\Program Files\Searchqu Toolbar
    C:\Program Files\BabylonToolbar

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Merci beaucoup pour votre aide. Voila le rapport reçu apres les manipulations que vous m'avez dit de faire :

All processes killed
========== OTL ==========
No active process named datamngrUI.exe was found!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ not found.
HKEY_USERS\S-1-5-21-965798353-4009078557-2193727417-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-965798353-4009078557-2193727417-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-965798353-4009078557-2193727417-1001\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}\ not found.
File C:\Users\Nadir\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\locked-.xunc not found.
C:\Users\Nadir\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0\icons folder moved successfully.
C:\Users\Nadir\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk\1.0_0 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
File C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ deleted successfully.
File C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9D717F81-9148-4f12-8568-69135F087DB0}\ not found.
C:\PROGRA~1\SEARCH~1\Datamngr\BROWSE~1.DLL moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ not found.
File C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
File C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-965798353-4009078557-2193727417-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DATAMNGR not found.
File C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Tuto4pc deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll deleted successfully.
C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll deleted successfully.
C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll moved successfully.
C:\Users\Nadir\AppData\Roaming\install.exe moved successfully.
C:\Users\Nadir\AppData\Roaming\Wfpc folder moved successfully.
C:\Users\Nadir\AppData\Roaming\dclogs folder moved successfully.
C:\Users\Nadir\AppData\Roaming\Babylon folder moved successfully.
C:\Users\Nadir\AppData\Roaming\Complitly\64 folder moved successfully.
C:\Users\Nadir\AppData\Roaming\Complitly folder moved successfully.
C:\Users\Nadir\AppData\Roaming\Tuto4pc\SoftwareUpdate folder moved successfully.
C:\Users\Nadir\AppData\Roaming\Tuto4pc folder moved successfully.
ADS C:\ProgramData\Temp:88050731 deleted successfully.
ADS C:\ProgramData\Temp:C0A9D0E7 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{535CB6C5-F565-4B47-9BF4-32771493B4C1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{535CB6C5-F565-4B47-9BF4-32771493B4C1}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5CC75B51-82AD-438A-B94F-F48EA4DAF434} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5CC75B51-82AD-438A-B94F-F48EA4DAF434}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{657951D2-A3AA-4370-8B0B-159D74041006} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{657951D2-A3AA-4370-8B0B-159D74041006}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7578CCF3-BF42-4889-81F0-05BB8866D31C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7578CCF3-BF42-4889-81F0-05BB8866D31C}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{A444FE36-C99B-4093-9A45-29289558734E} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A444FE36-C99B-4093-9A45-29289558734E}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{E4710E47-177D-4E4A-AD16-6DFC7C810DA1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4710E47-177D-4E4A-AD16-6DFC7C810DA1}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F7B0BD67-769A-4B5A-A29F-212AD688958F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F7B0BD67-769A-4B5A-A29F-212AD688958F}\ not found.
========== FILES ==========
C:\Program Files\Searchqu Toolbar\Datamngr folder moved successfully.
C:\Program Files\Searchqu Toolbar folder moved successfully.
File\Folder C:\Program Files\BabylonToolbar not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Nadir
->Temp folder emptied: 10646060 bytes
->Temporary Internet Files folder emptied: 622994 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 475 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1105 bytes
RecycleBin emptied: 1192960 bytes
 
Total Files Cleaned = 12,00 mb
 
 
OTL by OldTimer - Version 3.2.46.1 log created on 06052012_232852

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

J'ai pas pu mettre de lien car il m'etait impossible de transformer le fichier log en txt

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Ce n'est pas grave pour le lien, tant que le rapport n'est pas trop long ;)

On termine une étape de nettoyage, puis on passera au décryptage.
Tu as pu trouver un fichier sain comme demandé ?

Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Citer
Tu as pu trouver un fichier sain comme demandé ?

sur le seul disque dur externe qui n'a pas ete touché, normalement oui je dois avoir un de mes fichiers qui est sain, mais pas tout les fichiers qui ont été "locked"...

La je vais faire la manip' que vous m'avez dit ci dessus...merci encore

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
J'ai utilisé ADW cleaner; voila le rapport :

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

OK pour le rapport.

Pour le fichier, un seul suffit, ;) le tout est qu'il fasse plus de 4ko.

/!\ L'ensemble de tes disques étant excessivement plein, la procédure ne pourra s'effectuer en une seule fois, il faudra la refaire plusieurs fois en passant entre chaque l'option de suppression des fichiers en double décrypté /!\

Voilà la procédure :

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure


Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
la le logiciel de kaspersky est en train de decrypter et il est marque que 3293 fichiers de decryptes sur 9866... Par contre j'arrive pas a trouver ou les fichiers decryptes apparaissent...

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Citer
et il est marque que 3293 fichiers de decryptes sur 9866...

L'explication était en début de procédure :
Citer
/!\ L'ensemble de tes disques étant excessivement plein, la procédure ne pourra s'effectuer en une seule fois, il faudra la refaire plusieurs fois en passant entre chaque l'option de suppression des fichiers en double décrypté /!\

Les fichiers décrypté sont à la même place que ceux crypté, ils ne les rassemblent pas ;)

Donc tu vérifies quelques fichiers décryptés s'ils s'ouvrent bien, si c'est bon, tu relance l'outil avec l'option de suppression des fichiers locked en double (voir fin de procédure dans le message précédent)
Puis tu relance l'outil pour qu'il en décrypte une nouvelle fournée, etc

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Ah d'accord !! Merci hyunkel30 !!!  ;)

Hors ligne nanou93150

  • Membres
  • Members
  • Messages: 8
Merci beaucoup hyunkel30 !!! J'ai reussi a tout recuperer !!! Merci encore !!!!  :) ;) :D ;D

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Attends, nous n'en avons pas tout à fait terminé ;)

On doit nettoyer les outils et surtout mettre à jour ton pc pour éviter de te refaire infecter !

Si ce n'est pas déjà fait, relance le décrypteur avec l'option de suppression des fichiers "locked" pour terminer le nettoyage.

Puis ensuite :

1) Relance  OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.

    Supprime manuellement RanohDecryptor.exe


    /!\ Tu as remarqué que tous tes disques étaient quasiment plein, cela peut engendrer ralentissement et plantage du système, je te conseille très fortement de nettoyer tous les logiciels et fichiers inutiles, et d'archiver sur d'autres disque dur externe, ou clé usb et dvd, tous tes documents personnels pour faire de la place et conserver au moins 20 à 25% de tes disques libre /!\



    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie ensuite et supprime si encore présent les anciennes version dans ta liste des programmes : Java(TM) 6 Update 29

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )


  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X
     :AAN