Security-X

Forum Security-X => Désinfections => Discussion démarrée par: beethoven le juin 05, 2012, 11:07:15

Titre: [resolu] PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 11:07:15

Bonjour,

J'ai été infecté par un virus Trojan, qui a encrypté tous mes fichiers,
J'ai fait une desinfection complète ainsi que les mises à jour.
J'ai accès à W7 versions 64 bits, mais je n'arrive toujours pas à relire mes fichiers.
J'ai utilisés web doctor qui me décrypte les fichiers, mais ils ne sont toujours pas lisibles.
je reprends donc la procédure de départ avec OTL dont j'ai posté les rapports.

Merci de m'aider afin de récupérer ces fichiers;

Amicalement,

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 11:14:59

Je joins également le rapport Roquekiller que j'ai utilisé.

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: chantal11 le juin 05, 2012, 12:05:19

Bonjour,

Merci pour les rapports.

As-tu utilisé Malwarebytes ?
Si oui, merci de poster aussi le rapport.

Citer

J'ai utilisés web doctor qui me décrypte les fichiers

Quel outil exactement as-tu utilisé ?

As-tu bien un fichier sain (non crypté) qui est l'homologue d'un des fichiers bloqués ?

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :

• Java(TM) 6 Update 30
• Java(TM) 6 Update 30 (64-bit)

----------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Copie l'intégralité de ce script ci-dessous
  

Code: [Sélectionner]

:OTL
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012/06/05 08:49:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9A2667B7-35C2-4CBE-8F34-5CEF098884DF}
[2012/06/05 08:49:11 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A4821351-EE63-4293-B5B2-874A3F633FFA}
[2012/06/05 08:48:25 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{819004CF-9227-482B-A5AE-B08D6FD9A487}
[2012/06/04 18:51:01 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{043FAC00-2A52-4313-818C-0D9DB963E517}
[2012/06/04 17:16:39 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{D227C066-F8C0-4AB1-994B-FD800E50FBAF}
[2012/06/04 17:16:29 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9800B3CC-E12A-4640-AE25-E1126662052F}
[2012/06/04 12:49:46 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3C98E131-6CD8-47F1-B7D7-5F4E1C2A4D5E}
[2012/06/04 12:49:08 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B24C6A4A-E723-4B4D-936B-6A42FDDDF9F3}
[2012/06/04 12:35:09 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{CDC16636-B9FB-4483-92C9-1B1841F6CE7C}
[2012/06/04 10:41:56 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{763AA7D8-EA14-40D7-BCC7-2AA79CEA4BBC}
[2012/06/04 10:32:50 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6AFD14DC-AF1A-4339-9116-73A1C63A0040}
[2012/06/04 10:29:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1F8BFD8D-210F-46F9-8A84-AEF42DF742B0}
[2012/06/01 18:30:50 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{D0DD89AB-180F-4232-946C-EBD9F1BACC11}
[2012/06/01 18:30:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2C74AB52-7EF0-4A6F-B47F-2E4BEC4552AB}
[2012/06/01 16:52:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E7DB847E-633D-440C-AFB6-C1E64F8455EC}
[2012/06/01 16:52:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{39D4D07A-B860-4324-8C6D-A578CA4D7344}
[2012/06/01 12:11:11 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A23EE4C8-826A-4C3E-B4B6-5CDEEC844C1F}
[2012/06/01 11:37:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\Desktop\RK_Quarantine
[2012/06/01 02:03:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{061C42F6-9AFF-4BBA-B18D-B7E79E32B930}
[2012/05/31 14:04:10 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{7C1FD27D-7264-4FF5-944D-C615C0AEA9C0}
[2012/05/30 16:56:34 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{50E84866-183C-4E54-881B-FE02571BD186}
[2012/05/30 16:56:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{51317D91-C528-4ACA-B04E-F7B83DCB9063}
[2012/05/30 15:50:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{75D9B3DD-44EB-4EB4-82D6-D60391BDFF46}
[2012/05/30 15:47:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C159EFD2-8CFC-4566-B2CE-E1663D3A41B3}
[2012/05/27 07:04:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{8B823AA3-8E89-4C7F-B181-CE0A44DBC9B0}
[2012/05/27 07:04:18 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{4170D518-9C81-4F8C-AF60-B3F37FD49E1F}
[2012/05/27 01:39:54 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E9CA04B9-333B-4F0E-A2B0-F5E3F17809B9}
[2012/05/26 13:38:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{5176AB99-58E3-4EE0-A26C-108E2A45BB2C}
[2012/05/26 07:53:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2BFB832B-0C21-49FE-96B4-29CA0F6988F7}
[2012/05/26 07:53:29 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A3304B73-150B-47D4-B66B-7AFEE8156935}
[2012/05/26 00:06:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A9DBAABD-062C-418E-9B69-C3A4135A8BD0}
[2012/05/25 22:25:15 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E5DD5ADA-0257-4432-B05B-E248B7C6152B}
[2012/05/25 22:12:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B5B734ED-C15F-4CAE-84C6-DE1AB1069792}
[2012/05/25 20:12:24 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F3C6BAAF-21C8-4414-AD0A-A0751164E176}
[2012/05/25 20:08:33 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{200275C1-88B2-4DAD-9A1B-B21729228AAA}
[2012/05/25 20:05:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1C00F4EC-352A-4AAA-B57D-81016AC26F44}
[2012/05/25 20:05:06 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{BC88FEE7-1067-48D4-8906-952DD58C7C39}
[2012/05/25 10:06:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{43CE5E8A-DBEE-42C1-A3F5-ABA33729D398}
[2012/05/25 10:06:18 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2F682484-400B-4597-BA57-468C81F39FE5}
[2012/05/25 09:15:28 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{160CD5DB-D2B3-4798-A080-5ABD10AE2266}
[2012/05/22 06:53:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3844A96E-7D9F-4B73-AAD8-42BBF85BA123}
[2012/05/22 06:53:40 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3F6AE4F3-0E67-414E-B2A2-87E6ACE3626B}
[2012/05/21 22:33:59 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{774E647F-1A63-4F8F-ACAB-1B37CF305C1A}
[2012/05/21 22:33:07 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9986C095-BB28-41BA-9547-7B410BD85E04}
[2012/05/21 09:51:41 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2498D373-4192-43DE-A064-04068EDFAF65}
[2012/05/21 09:51:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{97876CEA-6FD6-428C-952A-20D969D760C7}
[2012/05/20 16:32:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3562BC8B-D005-4DD2-9F78-D704FB24FE65}
[2012/05/20 16:32:07 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E88E2F5A-7F61-4B0D-9A46-390C481BA72E}
[2012/05/20 16:31:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DE8E7E24-DCB0-431C-9F71-B41BECC277ED}
[2012/05/20 16:31:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3A23A179-12FA-4CBC-BE7D-E973178C9990}
[2012/05/20 11:13:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C013D715-B4C5-4F41-B274-457047DEDD71}
[2012/05/20 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F8320DB9-FF5F-4C17-81A0-BDCA6E4F25B5}
[2012/05/19 23:13:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F111A19F-6053-4675-B647-E44F279F9684}
[2012/05/19 23:12:45 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{FE89C885-9487-4171-8BE3-AF0A20D16B1B}
[2012/05/19 11:13:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{47CC1A4F-A166-41B4-B6F9-BDD344E94061}
[2012/05/19 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{489A7546-C6DA-47D9-968F-8D21AD558299}
[2012/05/18 23:13:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0593EE8B-88E5-4B19-9D26-1AB238FC44A0}
[2012/05/18 23:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A859FE7F-50FA-494F-B0E7-1108582045D8}
[2012/05/18 11:13:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B620A2F9-1710-4C81-AD73-1FDC6CC8B5D4}
[2012/05/18 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{38AD6D95-2E2C-475C-8888-2B9367B9443F}
[2012/05/18 09:34:43 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{8F633B69-06A7-4CD1-A26A-C2E5C2E15A81}
[2012/05/18 09:33:52 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A334C92F-6631-40DF-8841-23AA3D2D82BB}
[2012/05/17 21:34:43 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{666C6301-B359-4B5B-A9CF-94C30F44A299}
[2012/05/17 21:33:52 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{027D5A92-4986-4060-96E9-FC3E6061A30F}
[2012/05/17 09:33:57 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B4145141-0BCD-4349-BB24-F650D7EBB2C8}
[2012/05/16 09:41:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1B09BA43-FEFE-4793-945C-550642F9FB95}
[2012/05/16 09:40:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C6AA0A60-F765-499F-AF1C-32BC573EA10E}
[2012/05/15 20:12:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6FA76C71-A7DD-45F2-8C2D-AA8A7C559384}
[2012/05/15 20:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{FE184B78-AD5C-4246-A7E8-62717F9FCA44}
[2012/05/15 08:12:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{99C6CF3F-DE83-4EBC-BCBD-62BB0FEDD0C1}
[2012/05/15 08:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DF2CE7FC-8FDD-41CE-BAFD-0E05568F7902}
[2012/05/14 20:12:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1EA5962F-4D84-476B-AB09-3433E286A727}
[2012/05/14 20:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6FFD014B-D366-42C3-9E64-0FE2F47F3803}
[2012/05/14 08:11:32 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A419C3BD-7C7F-44F0-8188-209BCFEC124E}
[2012/05/14 08:11:21 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{69097631-E3CA-447E-9C24-5DBF11160409}
[2012/05/14 08:05:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1A9B6A52-0850-4947-B1BB-9FD1C4E9447B}
[2012/05/14 08:05:38 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3ACE69E9-A574-49C2-A1E0-467598429C30}
[2012/05/13 14:20:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A8190B3C-8D1D-4438-B83F-EC00283C4CDE}
[2012/05/13 14:20:25 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C57D632B-E86D-4A62-AB62-05D1A1610A22}
[2012/05/13 14:20:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{CF050681-5AA7-4FA1-8928-8D3293B20F1D}
[2012/05/13 14:20:02 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{71351F7D-9F7C-4EAD-B058-D58261188138}
[2012/05/13 10:29:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{AD4057C1-3E0B-41A2-AEA1-8E44CB01D5F7}
[2012/05/13 10:28:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{002559D8-4FD5-4BDF-9918-E6260F134B60}
[2012/05/12 16:18:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A8CFA08C-D9C9-4FC8-A443-79274B4A5E56}
[2012/05/12 16:18:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{972E6472-3703-465C-9294-7B1D5AB16D76}
[2012/05/12 15:39:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A696D558-2401-4B6C-9FB5-6D583169CF5C}
[2012/05/12 15:39:34 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DF60E1DC-F2D8-4EB0-A4A0-CE5631EC69FC}
[2012/05/12 08:25:17 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6844EB38-61CD-40E5-87F5-C081C1BA3703}
[2012/05/12 08:24:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{90C32CDE-0D4B-48F4-BF13-7B7AED600644}
[2012/05/11 14:34:33 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0D820A40-5C5C-484D-BF71-A29AF8A90FBD}
[2012/05/11 14:33:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6AFDCD88-07C8-4415-9F88-CCF35228BAF2}
[2012/05/10 09:33:53 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B8FDD39C-D7E0-4CBE-AB88-403EA2450B80}
[2012/05/10 09:33:02 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{BCBBDF60-C55E-4CB2-A82F-003C862EA2E4}
[2012/05/09 15:29:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0015320D-97E0-422D-A049-D37D7EEA8627}
[2012/05/09 15:29:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B742AFFA-83FC-47D1-BC03-ADAA52FF8FC4}
[2012/05/09 12:53:10 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{EDF39E13-1442-4316-B219-1C91857672F6}
[2012/05/09 12:52:56 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A9688FDD-EF54-4064-8B5B-3B3E0A006792}
[1 C:\Users\SYLVIE\Documents\*.tmp files -> C:\Users\SYLVIE\Documents\*.tmp -> ]
[2012/05/27 02:46:44 | 000,052,224 | ---- | M] () -- C:\Users\SYLVIE\3cel21f1px.exe
[2012/06/01 12:50:06 | 000,052,224 | ---- | C] () -- C:\Users\SYLVIE\3cel21f1px.decrypted01.exe

:files
ipconfig /flushdns /c
C:\Users\SYLVIE\3cel21f1px.exe
C:\Users\SYLVIE\3cel21f1px.decrypted01.exe

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]


• Colle l'intégralité du code dans le cadre Personnalisation
  
• Clique ensuite sur le bouton Correction
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

@+

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 12:57:32

J'ai utilisé security Essentials de Microsoft et ADW Cleaner
Je peux utiliser Malware bytes si vousle désirez.
Enfin, j'ai fait les changements demandés et voici les log :

Oui, j'ai des fichiers sains et intacts pour la restauration.

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 13:13:29

Voici le log, et j'ai utilisé matsnudecrypt pour le déchiffrage, mais sans succés.
Merci de votre aide.

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 13:37:33

voici le lien pour le log :

L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : http://pjjoint.malekal.com/files.php?id=20120605_q712u511j11

De plus, je joins les 2 fichiers de ADW Cleaner;

;-)

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: chantal11 le juin 05, 2012, 14:47:53

Bonjour,

Hormis les gros rapports comme OTL que l'on doit héberger, pour les autres rapports, copie-colle leur contenu, c'est plus simple  ;)

Je ne t'avais pas encore demandé de passer AdwCleaner, mais puisque tu l'as fait, recommence l'option Suppression, cela n'a pas fonctionné.

Ne lance que les outils que je te demande d'utiliser, sinon, on ne va pas s'en sortir.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware (http://www.malwarebytes.org/mbam/program/mbam-setup.exe) et enregistre le sur le Bureau
  
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  
• Clique sur Terminer
  
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
  
• A la fin du scan, clique sur Afficher les résultats
  
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  
• Si un redémarrage est demandé, clique sur Yes
  
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse

----------------------------------------------------------------------------------------------

Citer

j'ai utilisé matsnudecrypt pour le déchiffrage, mais sans succés.

On va en utiliser un autre, puisque tu as des fichiers sains.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RannohDecryptor :

• Télécharge RannohDecryptor.exe (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) de Kaspersky et enregistre-le sur ton Bureau
  
• Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
  
• Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  
• Clique sur Start scan
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
  
• L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
  
• L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  
• Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  
• Poste la fin du rapport, de la ligne Statistic à la ligne Scan finished dans ta prochaine réponse.
  
  
• Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

/!\ Cette variante ne chiffre pas seulement les données personnelles de l'utilisateur, elle y a aussi accès et notamment aux mots de passe enregistrés sur le système. Il faudra surveiller tout compte bancaire, de messagerie ou réseaux sociaux et changer impérativement tous tes mots de passe  /!\

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner(S).txt
  
• mbam-log[date-heure].txt
  
• fin du rapport RannohDecryptor

@+

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 19:46:38

 :D

Bonsoir,

Voici les rapports, et il me semble que le problème est résolu.
J'ai réussi aussi à récupérer les fichiers encryptés.
Merci beaucoup, beaucoup pour votre aide.

 :AAF

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: beethoven le juin 05, 2012, 19:51:16

Rapport Decryptor

Avez-vous d'autres conseils à me fournir concernant mon système W7 ?
Dois-je éliminer Firefox ou bien d'autres logiciels ?

Merci pour votre aide et bonne soirée.

Titre: Re : PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
Posté par: chantal11 le juin 05, 2012, 20:55:57

Re,

En effet tous les fichiers locked ont été débloqués :

Citer

18:25:33.0555 4456   Found:      891
18:25:33.0555 4456   Decrypted:   891

Pour AdwCleaner, l'option Suppression n'a de nouveau pas fonctionné.

--> Relance AdwCleaner et clique sur Désinstaller.

--> Tu vas le re-télécharger et l'exécuter comme indiqué ci-dessous :

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  
• Ferme toutes les applications, y compris ton navigateur
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)

---------------------------------------------------------------------------------------------

Tu as encore utilisé un outil sans que je te le demande?
Sois patient, on y arrive, mais il faut suivre la procédure.

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 30 (64-bit) et Java(TM) 6 Update 30 via Panneau de configuration -> Programmes et fonctionnalités.

Je te l'avais demandé mais tu ne l'as pas fait.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  SX Check&Update :

• Ferme toutes les applications, y compris ton navigateur
  
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  
• Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  
• Copie-colle le contenu de ce rapport dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox (http://www.mozilla.org/fr/firefox/fx/)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9 (http://windows.microsoft.com/fr-FR/internet-explorer/products/ie/home)

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner(S).txt
  
• SX Check&Update

@+