Auteur Sujet: Infection virus gendarmerie nationale - fichiers locked [Cassandra13] [Résolu]  (Lu 11384 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Bonsoir,

Mon ordinateur a été contaminé par ce virus il y a quelques jours. J'ai utilisé RogueKiller pour scanner mon PC et supprimer les menaces, en Mode sans échec. Après ça, l'ordinateur a redémarrer normalement mais ensuite j'ai retrouvé tous les fichiers de mon disque C: "locked". Après 2 jours de "délockage" avec Kaspersky, j'ai retrouvé tous mes fichiers.
Mon souci est que les fichiers se sont à nouveau relocker quand j'ai redémarré l'ordi et le virus a contaminé 2 de mes disques durs externes.

Quelqu'un a-t-il le même souci ? ya-t-il une solution définitive pour débloquer les fichiers sans qu'ils se rebloquent à nouveau au redémarrage du PC ?
comment décontaminer mes disques durs externes ?

merci bcp par avance !
« Modifié: mai 21, 2012, 21:29:26 par chantal11 »

Security-X


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour Cassandra13 et bienvenue sur le forum,

Citer
Mon souci est que les fichiers se sont à nouveau relocker quand j'ai redémarré l'ordi et le virus a contaminé 2 de mes disques durs externes.

En effet, avant de débloquer les fichiers, il faut s'assurer que le Virus Gendarmerie Nationale n'est plus actif sur le système, sinon, c'est la réinfection assurée.

Nous allons donc établir un diagnostic avec cet outil, suis bien les instructions indiquées :

   OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    Citer
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.
Poste aussi le rapport de suppression Roguekiller.

@+
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Bonjour Chantal,

Merci de ton retour rapide. Je vais suivre tes instructions et te tiens au courant.
J'ai encore quelques fichiers à délocker.
bonne soirée

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
Merci de ton retour rapide. Je vais suivre tes instructions et te tiens au courant.
J'ai encore quelques fichiers à délocker.

Justement, il faudrait contrôler le système avant de débloquer les fichiers.
Si tes fichiers ont de nouveau été cryptés la 1ère fois, c'est que le Virus Gendarmerie Nationale était toujours actif sur ton système.

Bon, mais maintenant que tu as recommencé le processus de décryptage, va jusqu'au bout.

N'oublie pas aussi le rapport RogueKiller.

@+ 
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Voici le dernier rapport avec Malwarebytes qui détecte 15 objets potentiellement dangereux:
 
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.13.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421

Protection: Désactivé

14/05/2012 19:09:47
mbam-log-2012-05-14 (23-53-57).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 535685
Temps écoulé: 29 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 14
HKCR\CrossriderApp0003491.BHO (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.BHO.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.FBApi (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.FBApi.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.Sandbox (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.Sandbox.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\CLSID\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\TypeLib\{44444444-4444-4444-4444-440044344491} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\Interface\{55555555-5555-5555-5555-550055345591} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Program Files (x86)\Vid-Saver\Vid-Saver.dll (PUP.GamePlayLab) -> Aucune action effectuée.

(fin)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
Aucune action effectuée

Pour le rapport Malwarebytes, si tu n'as pas supprimé la sélection de tous les éléments détectés, les PUP sont toujours présents sur ton système  ;)

Mais ce n'est pas ce qui nous préoccupe pour l'instant.
C'est surtout le rapport de suppression de Roguekiller que je voudrais et impérativement les rapports OTL et Extras pour vérifier si le Virus Gendarmerie est encore présent ou non.

Tu en es où de tes déblocages de fichiers. Ils ont tous été décryptés ?

@+
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
bonsoir, oui j'ai pu décrypter tous mes fichiers. Pour Malwarebytes, j'ai bien supprimer les 15 fichiers virusés juste après avoir édité le rapport en fait.

Voici le rapport de Rogue Killer :

RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Cyndie [Droits d'admin]
Mode: Recherche -- Date: 15/05/2012 21:56:43

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] OTL.exe -- C:\Users\Cyndie\Desktop\OTL.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9750423AS +++++
--- User ---
[MBR] e71ed3f9e26943aaece211b96df495cf
[BSP] 177507aede73c8eab31fee7866ebab1f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 286161 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 638488576 | Size: 403641 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt




Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonsoir,

Tu as relancé RogueKiller ce soir, mais c'était le rapport initial qui m'aurait intéressé, celui qui a permis de nettoyer le ransomware, du moins c'est ce que tu dis dans ton 1er message :
Mon ordinateur a été contaminé par ce virus il y a quelques jours. J'ai utilisé RogueKiller pour scanner mon PC et supprimer les menaces, en Mode sans échec.

Tu n'as plus ce rapport ?

Maintenant que tu as pu décrypter tous tes fichiers, il faut que nous vérifions ton système.

Fais la procédure avec OTL, comme indiqué ici -> http://forum.security-x.fr/desinfections/re-infection-par-un-virus-gendarmerie-nationale-fichiers-locked-sujet-maxgrey/msg68232/#msg68232
et indique-nous les liens pour les rapports OTL et Extras.

@+
 


Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Non malheureusement je n'ai pas conservé le 1er rapport de Rogue Killer. J'avais également fait une analyse complète avec Bit Defender... mais je n'ai pas les rapports non plus

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
Non malheureusement je n'ai pas conservé le 1er rapport de Rogue Killer

Ce n'est pas grave  ;)

Il y a une raison particulière pour que le SP1 ne soit pas installé sur ton Windows 7 ?
Un Windows non à jour, Java et Flash Player non à jour non plus, le Virus Gendarmerie a eu la part belle sur ton système  :III
On s'en occupera par la suite.

---------------------------------------------------------------------------------------------

   Désinstalle via Programmes et fonctionnalités :

  • Ask Toolbar (Barre d'outil inutile)
----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :OTL
    IE - HKLM\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
    IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\SearchScopes\{52129C37-CB50-4767-A8B7-0DD5DC33957E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MGX&o=15351&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=JO&apn_dtid=YYYYYYYYFR&apn_uid=19A2BCDA-B419-4815-9B98-6BD8A6C58AC9&apn_sauid=5DA24706-562F-4E6D-AFE8-7D2617916C5B
    IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    O2 - BHO: (MAGIX Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (MAGIX Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
    O4 - HKU\S-1-5-21-3383274509-1844309855-408724065-1002..\Run: [Bubble Dock] C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe (Nosibay)
    [2012/05/13 21:10:19 | 000,000,000 | ---D | C] -- C:\Users\Cyndie\AppData\Roaming\Jiptnfkw
    [2012/05/12 21:03:47 | 000,000,000 | ---D | C] -- C:\Users\Cyndie\AppData\Roaming\Bjuscscybfd
    [7 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [2011/07/19 22:15:34 | 000,000,000 | ---D | M] -- C:\Users\Cyndie\AppData\Roaming\Nosibay
    [2011/07/18 16:37:26 | 004,454,512 | ---- | M] (Nosibay) -- C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\Bubble Dock.exe
    [2011/07/18 16:37:24 | 000,448,624 | ---- | M] (Nosibay) -- C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe
    @Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:D1B5B4F1

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Tes extensions Chrome ont bien été décryptées, mais il y a toujours encore les extensions "locked".
Tu devrais les supprimer via les paramètres de Google Chrome.

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • SX Check&Update
@+
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Bonsoir Chantal,

Oui en fait j'avais installé le Pack bien avant de choper le virus mais dans mes multiples tentatives de m'en débarasser, j'ai fait un point de restauration du coup ça la désinstaller. Je le mettrai à jour.

J'ai bien supprimé la ToolBar. Pour OTL : voilà le rapport suite à tes indications :



All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\URLSearchHooks\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry key HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\SearchScopes\{52129C37-CB50-4767-A8B7-0DD5DC33957E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52129C37-CB50-4767-A8B7-0DD5DC33957E}\ not found.
Registry key HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater not found.
File C:\Program Files (x86)\Ask.com\Updater\Updater.exe not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Bubble Dock deleted successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe moved successfully.
C:\Users\Cyndie\AppData\Roaming\Jiptnfkw folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Bjuscscybfd folder moved successfully.
C:\Windows\SysWow64\SET34D0.tmp deleted successfully.
C:\Windows\SysWow64\SET3A1B.tmp deleted successfully.
C:\Windows\SysWow64\sho2A2.tmp deleted successfully.
C:\Windows\SysWow64\sho4115.tmp deleted successfully.
C:\Windows\SysWow64\sho65A6.tmp deleted successfully.
C:\Windows\SysWow64\sho7E85.tmp deleted successfully.
C:\Windows\SysWow64\shoE325.tmp deleted successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\tmp\download folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\tmp folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\widgets folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\stickers folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\settings folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\nosibox folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\install folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay folder moved successfully.
File C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\Bubble Dock.exe not found.
File C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe not found.
ADS C:\ProgramData\Temp:D1B5B4F1 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Cyndie
->Temp folder emptied: 1862942385 bytes
->Temporary Internet Files folder emptied: 657300832 bytes
->Java cache emptied: 98696196 bytes
->Google Chrome cache emptied: 403044796 bytes
->Flash cache emptied: 12806408 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 348382024 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36046081 bytes
RecycleBin emptied: 454757440 bytes
 
Total Files Cleaned = 3 695,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.43.0 log created on 05162012_222004

Files\Folders moved on Reboot...
C:\Users\Cyndie\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YGLV4FIC\tweet_button.1336551279[1].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T72CLBLE\fastbutton[2].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NJN9Q4NA\re-infection-par-un-virus-gendarmerie-nationale-fichiers-locked-sujet-maxgrey[1].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

Registry entries deleted on Reboot...

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
J'ai bien mis Java et Flash Player à jour. Voici le rapport :

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Aucun Service Pack
UserName : Cyndie
16/05/2012
23:03:20
version = v0.2.3 
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX 
Version : 11.2.202.235
Flash Player ActiveX  est à jour

Nom : Trend Micro Titanium Internet Security
   Version : 3.1.1109

Nom : Trend Micro Titanium Internet Security
   Version : 3.00


---
Name : FlashPlayer Plugin
Version : 10.0.32.18
Flash Player Plugin n'est pas à jour!

Java Information :
   Nom : Java(TM) 6 Update 32
   Version : 6.0.320
Java(TM) 6 Update 32 est à jour

Nom : Internet Explorer
   Version : 9.0.8112.16421


Merci bcp !

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
Oui en fait j'avais installé le Pack bien avant de choper le virus mais dans mes multiples tentatives de m'en débarasser, j'ai fait un point de restauration du coup ça la désinstaller. Je le mettrai à jour.
OK, il faudra bien y penser à la fin de la procédure.

Citer
J'ai bien mis Java et Flash Player à jour
Ce n'est pas tout à fait à jour.
Le plugin Flash Player pour Firefox n'est pas à jour.

Ouvre cette page avec Firefox
http://get.adobe.com/fr/flashplayer/
Télécharge et installe la dernière version 11.2.202.235

Java n'est pas à jour non plus.

Désinstalle via Programmes et Fonctionnalités Java(TM) 6 Update 32
Ouvre cette page avec n'importe quel navigateur
http://www.java.com/fr/download/
Télécharge et installe la dernière version 7 Update 4

---------------------------------------------------------------------------------------------

  Purge points de restauration :


  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :Commands
    [CLEARALLRESTOREPOINTS]
    [EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
  • Supprime SXCU et RannohDecryptor de ton Bureau
  • Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------

  Mets à jour ton système via Windows Update

Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1

---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :


  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !


  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
    Maintenir Java, Adobe Reader et le player Flash à jour
    Exploitation SWF/PDF et Java - système non à jour = danger


  • Au niveau de Firefox, tu peux sécuriser ta navigation
    Firefox sécurisé


  • Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu
Pourquoi éviter le P2P ? Point législatif et dangers


[/list]

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Bonjour,

Merci pour ton aide. J'ai bien suivi toutes les instructions et installé également tous les updates Windows + le Pack. :)
 je penserai à faire des mises à jour plus régulièrement. J'admets ne pas etre une pro de l'informatique et j'ai tendance à zapper ce genre de mises à jour. A priori les fichiers ne se relockent plus. Comment puis-je être certaine que le virus est bien parti ? est ce que les disques durs externes où les fichiers avaient été lockés peuvent être connectés à mon PC sans risque ?

Merci encore

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
je penserai à faire des mises à jour plus régulièrement. J'admets ne pas etre une pro de l'informatique et j'ai tendance à zapper ce genre de mises à jour.

Comme tu as pu le constater, c'est primordial d'être à jour au niveau de Java, Flash Player et Reader?
Ces failles des écurité, quand elles sont présentes sur un système, sont très exploitées.

Visite régulièrement le forum, nous annonçons en général qu'une mise à jour est disponible.

Citer
A priori les fichiers ne se relockent plus. Comment puis-je être certaine que le virus est bien parti ? est ce que les disques durs externes où les fichiers avaient été lockés peuvent être connectés à mon PC sans risque ?

Oui, tu peux en effet sans risque reconnecter des supports externes.
Il n'y avait plus trace du Virus Gendarmerie dans ton rapport OTL, ni dans RogueKiller.

Bonne continuation et bon surf  :AAC
« Modifié: mai 17, 2012, 18:53:13 par chantal11 »
 

Hors ligne Cassandra13

  • Membres
  • Members
  • *
  • Messages: 37
Merci beaucoup pour tes conseils ! :)
Bonne fin de journée

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

@ nanou93150 : ton propre sujet a été ouvert ici -> http://forum.security-x.fr/desinfections/infection-virus-gendarmerie-nationale-fichiers-locked-%28nanou93150%29/msg70186/#msg70186

Patiente le temps d'être pris en charge par un bénévole,

@+