Auteur Sujet: [resolu] VIRUS DU GENDARME SUPR MAIS DOC LOCKED  (Lu 6185 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
[resolu] VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« le: juillet 04, 2012, 14:24:47 »
Bonjour à tous.

J'ai eu le virus du gendarme il y a quelques semaines. J'ai réussi à le supprimer. Malheureusement tous mes documents sont locked. Je ne peut pas les lire. Je ne sais comment faire pour les récupérer.

Merci d'avance pour votre aide.

PS : j'ai installer OTL, mais je suis perdu  :(

Romain
« Modifié: juillet 28, 2012, 20:34:29 par hyunkel30 »

Security-X

[resolu] VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« le: juillet 04, 2012, 14:24:47 »

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #1 le: juillet 04, 2012, 14:46:41 »
Bonjour,

je suis dans ce même cas, j'ai suivi la procédure, je n'ai obtenu qu'un seul rapport "otl.txt". Je n'ai rien de plus.

Celui-ci est disponible sur :
http://pjjoint.malekal.com/files.php?id=20120704_i11g8e14y9i15

Merci pour votre aide
« Modifié: juillet 04, 2012, 17:22:18 par chantal11 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #2 le: juillet 04, 2012, 17:46:49 »
Bonjour,

C'est parce que tu avais déjà lancé OTL sur ce pc ou que tu l'as lancé deux fois d'affilé que tu n'as eu que le rapport OTL.

Tu as deux antivirus actif, Microsoft Security Essentails et McAfee, comme tu peux le voir, multiplier les portection n'améliore rien, par contre cela peut provoquer ralentissement et conflit.
Désinstalle l'un des deux.



On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\



1) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    DRV - File not found [Kernel | System | Stopped] -- C:\windows\system32\drivers\okmjyene.sys -- (okmjyene)
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=174&systemid=406&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes,DefaultScope = {8A244612-A1F7-11E0-95C0-E71F4824019B}
    IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http://badoo.com/startpage/?source=bsb&q={searchTerms}
    IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=174&systemid=406&sr=0&q={searchTerms}
    [2012/05/25 16:36:11 | 000,002,023 | ---- | M] () -- C:\Users\EoWorld\AppData\Roaming\Mozilla\Firefox\Profiles\682bzxad.default\searchplugins\locked-badoo.xml.osci
    [2012/05/25 16:36:11 | 000,002,519 | ---- | M] () -- C:\Users\EoWorld\AppData\Roaming\Mozilla\Firefox\Profiles\682bzxad.default\searchplugins\locked-Search_Results.xml.atgj
    [2012/01/09 09:56:44 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    MsConfig - StartUpReg: autoclk - hkey= - key= - C:\windows\autoclk.exe ()
    MsConfig - StartUpReg: DATAMNGR - hkey= - key= -  File not found
    [2012/03/17 15:32:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Badoo
    [2012/01/09 09:56:44 | 000,000,000 | ---D | C] -- C:\Program Files\Windows iLivid Toolbar
    [2012/01/09 09:56:44 | 000,000,000 | ---D | C] -- C:\ProgramData\boost_interprocess
    [2012/01/09 09:56:15 | 000,000,000 | ---D | C] -- C:\Users\EoWorld\AppData\Local\PackageAware
    [3 C:\Users\EoWorld\Desktop\*.tmp files -> C:\Users\EoWorld\Desktop\*.tmp -> ]
    [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
    [1 C:\Users\EoWorld\Documents\*.tmp files -> C:\Users\EoWorld\Documents\*.tmp -> ]
    [2012/05/25 16:35:20 | 000,052,224 | ---- | M] () -- C:\Users\EoWorld\locked-3cel21f1px.exe.rlyn
    [2012/03/17 15:32:20 | 000,001,008 | ---- | M] () -- C:\Users\EoWorld\Application Data\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
    [2012/03/17 15:32:19 | 000,000,984 | ---- | M] () -- C:\Users\EoWorld\Desktop\Badoo.Desktop.lnk
    [2012/05/29 14:31:51 | 000,000,000 | ---D | M] -- C:\Users\EoWorld\AppData\Roaming\Zoexfnmg

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #3 le: juillet 05, 2012, 13:32:43 »
Bonjour,

J'ai supprimer l'antivirus McAfee,

Et j'ai éxécuter la démarche d'OTL voici le rapport :
http://pjjoint.malekal.com/files.php?id=20120705_k9u12k9i8u10

Il reste ceci à voir :

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

Et peut être plus ?

Merci de ton aide

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #4 le: juillet 05, 2012, 14:00:14 »
Re,

Non d'abord on va décrypter tes fichiers, on fera les mises à jour ensuite ;)

L'outil peut avoir besoin d'un copie saine et non modifiée d'un des fichiers crypté. Il faut alors essayer d'en trouver sur une sauvegarde, un clé usb, un autre pc ou par téléchargement et le ramener sur le pc en question.

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #5 le: juillet 06, 2012, 09:02:05 »
Bonjour,

Voilà le résultat de mes trois rapport. J'ai du refaire deux fois la procédure. Car la première fois je n'avais pas cocher la case supprimer les fichiers après désinfection et je n'avais plus de place sur le disque dur pour copier les fichiers sains.

-----------

16:29:57.0656 1144   Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
16:29:57.0886 1144   ============================================================
16:29:57.0886 1144   Current date / time: 2012/07/05 16:29:57.0886
16:29:57.0886 1144   SystemInfo:
16:29:57.0886 1144   
16:29:57.0886 1144   OS Version: 6.1.7601 ServicePack: 1.0
16:29:57.0886 1144   Product type: Workstation
16:29:57.0886 1144   ComputerName: EOWORLD-HP
16:29:57.0886 1144   UserName: EoWorld
16:29:57.0886 1144   Windows directory: C:\windows
16:29:57.0886 1144   System windows directory: C:\windows
16:29:57.0886 1144   Processor architecture: Intel x86
16:29:57.0886 1144   Number of processors: 2
16:29:57.0886 1144   Page size: 0x1000
16:29:57.0886 1144   Boot type: Normal boot
16:29:57.0886 1144   ============================================================
16:29:57.0886 1144   Initialize success
16:30:24.0927 3596   Deinitialize success

----------

18:39:05.0856 1668   ProcessDriveEnumEx: Drive F:\ type 5:0
18:39:05.0856 1668   
18:39:05.0856 1668   Statistic:
18:39:05.0856 1668   Processed:   230198
18:39:05.0856 1668   Suspicious:   0
18:39:05.0856 1668   Found:      40529
18:39:05.0856 1668   Decrypted:   32251
18:39:05.0856 1668   ================================================================================
18:39:05.0856 1668   Scan finished
18:39:05.0856 1668   ================================================================================

--------------

21:08:01.0141 3036   ProcessDriveEnumEx: Drive F:\ type 5:0
21:08:01.0141 3036   
21:08:01.0141 3036   Statistic:
21:08:01.0141 3036   Processed:   248341
21:08:01.0141 3036   Suspicious:   0
21:08:01.0141 3036   Found:      37051
21:08:01.0141 3036   Decrypted:   37041
21:08:01.0141 3036   ================================================================================
21:08:01.0141 3036   Scan finished
21:08:01.0141 3036   ================================================================================
21:10:10.0294 2472   Deinitialize success

--------------------------

Voilà pour moi

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #6 le: juillet 06, 2012, 09:40:11 »
Re,

Oui j'avais oublié de te préciser ce point, à cause de la copie du fichier avant décryptage, si la place est réduite sur les disque, il devient vite plein.

C'est le dernier rapport celui-là ?
Citer
21:08:01.0141 3036   Found:      37051
21:08:01.0141 3036   Decrypted:   37041
21:08:01.0141 3036   ================================================================================
21:08:01.0141 3036   Scan finished
21:08:01.0141 3036   ================================================================================
21:10:10.0294 2472   Deinitialize success

Il semble encore manquer 10 fichiers non décrypté.

Le disque n'est pas de nouveau plein ?

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #7 le: juillet 06, 2012, 10:49:30 »
Oui c'est bien le dernier rapport les 10 fichiers non décryptés ont étaient supprimés manuellement.

Il s'agissait de fichier que j'avais modifier pour essayer de les lires. Ils n'étaient pas important aussi je les aient supprimés (j'avais modifié leurs noms)


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #8 le: juillet 06, 2012, 11:15:57 »
Re,

Très bien alors.

Si ce n'est pas terminé ou refais, relance l'outil de décryptage avec l'option de suppression des fichiers crypté en double.

Ensuite on conclus :

1) Relance  OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie ensuite que les anciennes version de java ont bien été supprimée, seul doit rester Java 7 Update 5

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire si besoin, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X ;)

     :AAN

Hors ligne romainboy

  • Membres
  • Members
  • Messages: 6
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #9 le: juillet 06, 2012, 13:47:50 »
Bjr

Tout est fait

Mais dans SXCU, il me dit que flash player active X est out !


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : VIRUS DU GENDARME SUPR MAIS DOC LOCKED
« Réponse #10 le: juillet 06, 2012, 14:16:40 »
Re,

L'activeX oui c’est lié à Internet explorer, mais c'est un bug de la version actuelle de SXCU, n'en tiens pas compte si la version installée chez toi est bien la 11.3.300.257

La 11.3.300.262 n'est que pour firefox ;)

 :AAN