Security-X
Forum Security-X => Désinfections => Discussion démarrée par: romainboy le juillet 04, 2012, 14:24:47
-
Bonjour à tous.
J'ai eu le virus du gendarme il y a quelques semaines. J'ai réussi à le supprimer. Malheureusement tous mes documents sont locked. Je ne peut pas les lire. Je ne sais comment faire pour les récupérer.
Merci d'avance pour votre aide.
PS : j'ai installer OTL, mais je suis perdu :(
Romain
-
Bonjour,
je suis dans ce même cas, j'ai suivi la procédure, je n'ai obtenu qu'un seul rapport "otl.txt". Je n'ai rien de plus.
Celui-ci est disponible sur :
http://pjjoint.malekal.com/files.php?id=20120704_i11g8e14y9i15
Merci pour votre aide
-
Bonjour,
C'est parce que tu avais déjà lancé OTL sur ce pc ou que tu l'as lancé deux fois d'affilé que tu n'as eu que le rapport OTL.
Tu as deux antivirus actif, Microsoft Security Essentails et McAfee, comme tu peux le voir, multiplier les portection n'améliore rien, par contre cela peut provoquer ralentissement et conflit.
Désinstalle l'un des deux.
On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\windows\system32\drivers\okmjyene.sys -- (okmjyene)
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=174&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes,DefaultScope = {8A244612-A1F7-11E0-95C0-E71F4824019B}
IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http://badoo.com/startpage/?source=bsb&q={searchTerms}
IE - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=174&systemid=406&sr=0&q={searchTerms}
[2012/05/25 16:36:11 | 000,002,023 | ---- | M] () -- C:\Users\EoWorld\AppData\Roaming\Mozilla\Firefox\Profiles\682bzxad.default\searchplugins\locked-badoo.xml.osci
[2012/05/25 16:36:11 | 000,002,519 | ---- | M] () -- C:\Users\EoWorld\AppData\Roaming\Mozilla\Firefox\Profiles\682bzxad.default\searchplugins\locked-Search_Results.xml.atgj
[2012/01/09 09:56:44 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-366092708-3649792991-2572110610-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
MsConfig - StartUpReg: autoclk - hkey= - key= - C:\windows\autoclk.exe ()
MsConfig - StartUpReg: DATAMNGR - hkey= - key= - File not found
[2012/03/17 15:32:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Badoo
[2012/01/09 09:56:44 | 000,000,000 | ---D | C] -- C:\Program Files\Windows iLivid Toolbar
[2012/01/09 09:56:44 | 000,000,000 | ---D | C] -- C:\ProgramData\boost_interprocess
[2012/01/09 09:56:15 | 000,000,000 | ---D | C] -- C:\Users\EoWorld\AppData\Local\PackageAware
[3 C:\Users\EoWorld\Desktop\*.tmp files -> C:\Users\EoWorld\Desktop\*.tmp -> ]
[1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ]
[1 C:\Users\EoWorld\Documents\*.tmp files -> C:\Users\EoWorld\Documents\*.tmp -> ]
[2012/05/25 16:35:20 | 000,052,224 | ---- | M] () -- C:\Users\EoWorld\locked-3cel21f1px.exe.rlyn
[2012/03/17 15:32:20 | 000,001,008 | ---- | M] () -- C:\Users\EoWorld\Application Data\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
[2012/03/17 15:32:19 | 000,000,984 | ---- | M] () -- C:\Users\EoWorld\Desktop\Badoo.Desktop.lnk
[2012/05/29 14:31:51 | 000,000,000 | ---D | M] -- C:\Users\EoWorld\AppData\Roaming\Zoexfnmg
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
Bonjour,
J'ai supprimer l'antivirus McAfee,
Et j'ai éxécuter la démarche d'OTL voici le rapport :
http://pjjoint.malekal.com/files.php?id=20120705_k9u12k9i8u10
Il reste ceci à voir :
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
Et peut être plus ?
Merci de ton aide
-
Re,
Non d'abord on va décrypter tes fichiers, on fera les mises à jour ensuite ;)
L'outil peut avoir besoin d'un copie saine et non modifiée d'un des fichiers crypté. Il faut alors essayer d'en trouver sur une sauvegarde, un clé usb, un autre pc ou par téléchargement et le ramener sur le pc en question.
Télécharge RannohDecryptor (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) (de Kaspersky) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Merci à Chantal11 pour la procédure
-
Bonjour,
Voilà le résultat de mes trois rapport. J'ai du refaire deux fois la procédure. Car la première fois je n'avais pas cocher la case supprimer les fichiers après désinfection et je n'avais plus de place sur le disque dur pour copier les fichiers sains.
-----------
16:29:57.0656 1144 Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
16:29:57.0886 1144 ============================================================
16:29:57.0886 1144 Current date / time: 2012/07/05 16:29:57.0886
16:29:57.0886 1144 SystemInfo:
16:29:57.0886 1144
16:29:57.0886 1144 OS Version: 6.1.7601 ServicePack: 1.0
16:29:57.0886 1144 Product type: Workstation
16:29:57.0886 1144 ComputerName: EOWORLD-HP
16:29:57.0886 1144 UserName: EoWorld
16:29:57.0886 1144 Windows directory: C:\windows
16:29:57.0886 1144 System windows directory: C:\windows
16:29:57.0886 1144 Processor architecture: Intel x86
16:29:57.0886 1144 Number of processors: 2
16:29:57.0886 1144 Page size: 0x1000
16:29:57.0886 1144 Boot type: Normal boot
16:29:57.0886 1144 ============================================================
16:29:57.0886 1144 Initialize success
16:30:24.0927 3596 Deinitialize success
----------
18:39:05.0856 1668 ProcessDriveEnumEx: Drive F:\ type 5:0
18:39:05.0856 1668
18:39:05.0856 1668 Statistic:
18:39:05.0856 1668 Processed: 230198
18:39:05.0856 1668 Suspicious: 0
18:39:05.0856 1668 Found: 40529
18:39:05.0856 1668 Decrypted: 32251
18:39:05.0856 1668 ================================================================================
18:39:05.0856 1668 Scan finished
18:39:05.0856 1668 ================================================================================
--------------
21:08:01.0141 3036 ProcessDriveEnumEx: Drive F:\ type 5:0
21:08:01.0141 3036
21:08:01.0141 3036 Statistic:
21:08:01.0141 3036 Processed: 248341
21:08:01.0141 3036 Suspicious: 0
21:08:01.0141 3036 Found: 37051
21:08:01.0141 3036 Decrypted: 37041
21:08:01.0141 3036 ================================================================================
21:08:01.0141 3036 Scan finished
21:08:01.0141 3036 ================================================================================
21:10:10.0294 2472 Deinitialize success
--------------------------
Voilà pour moi
-
Re,
Oui j'avais oublié de te préciser ce point, à cause de la copie du fichier avant décryptage, si la place est réduite sur les disque, il devient vite plein.
C'est le dernier rapport celui-là ?
21:08:01.0141 3036 Found: 37051
21:08:01.0141 3036 Decrypted: 37041
21:08:01.0141 3036 ================================================================================
21:08:01.0141 3036 Scan finished
21:08:01.0141 3036 ================================================================================
21:10:10.0294 2472 Deinitialize success
Il semble encore manquer 10 fichiers non décrypté.
Le disque n'est pas de nouveau plein ?
-
Oui c'est bien le dernier rapport les 10 fichiers non décryptés ont étaient supprimés manuellement.
Il s'agissait de fichier que j'avais modifier pour essayer de les lires. Ils n'étaient pas important aussi je les aient supprimés (j'avais modifié leurs noms)
-
Re,
Très bien alors.
Si ce n'est pas terminé ou refais, relance l'outil de décryptage avec l'option de suppression des fichiers crypté en double.
Ensuite on conclus :
1) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
2) Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie ensuite que les anciennes version de java ont bien été supprimée, seul doit rester Java 7 Update 5
- Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire si besoin, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X ;)
:AAN
-
Bjr
Tout est fait
Mais dans SXCU, il me dit que flash player active X est out !
-
Re,
L'activeX oui c’est lié à Internet explorer, mais c'est un bug de la version actuelle de SXCU, n'en tiens pas compte si la version installée chez toi est bien la 11.3.300.257
La 11.3.300.262 n'est que pour firefox ;)
:AAN