Virus gendarmerie et fichiers "locked" résolu

[elfyblue]

Bonjour,
hier soir alors que j'utilisais mon pc, celui ci s'est bloqué sur une page "gendarmerie"...un virus qui a tout bloqué sur mon pc. On m'a conseillé de télécharger Malewarebytes, ce que j'ai fait. J'ai ensuite lancé un scan. Je ne sais pas si le virus a été totalement supprimé, je n'ai plus cette page de "gendarmerie", mais tous mes fichiers et toutes mes photos sont "locked".
Que dois-je faire pour être certaine que le virus a été éradiqué, et comment puis-je récupérer mes fichiers?
Merci par avance pour votre aide!!

[hyunkel30]

Bonjour elfyblue,

Bienvenu sur Security-X


On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


Télécharge OTL (de Old Timer) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Coche en haut la case devant "Tous les utilisateurs"
  
• Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
  
  
  Code: [Sélectionner]
  netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  
• A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  
  
• Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
  Une aide à l'utilisation ici
  
  Note : Les rapports sont aussi enregistrés sur le bureau
  

[elfyblue]

Voilà j'ai bien téléchargé OTL, puis scanné le pc...je vous ai ensuite envoyé les deux rapports comme indiqué sur votre réponse...j'espère que vous les avez bien reçu.

[hyunkel30]

Re,

  Apparemment la procédure n'a pas été lue jusqu'au bout

dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Sinon je peux pas savoir où sont les rapports

Un tuto en image :
http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884

[elfyblue]

Oups désolée...suis plutot novice concernant les manips lol...donc voici les liens :

http://pjjoint.malekal.com/files.php?id=20120606_d5d5h7j14u14
http://pjjoint.malekal.com/files.php?id=20120606_z7y14z13f10f9

voilà j'espère avoir bien fait les manips cette fois..

[hyunkel30]

Re,

Oui c'est bon
Et ne t'inquiète pas justement c'est pour cela que nous mettons des liens et des tutos pour ceux qui ont besoin de plus d'explication.
Dans tous les cas, en cas de doutes, pose la question, nous sommes là pour cela.

Nous allons nettoyer des adwares aussi en même temps, des logiciels publicitaires installé en sponsors car tu n'as pas décoché les options et/ou lu les conditions d'utilisation d'autres logiciels "gratuits".


1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

Note : si tu obtiens une erreur à la désinstallation, passe au suivant et poursuis le procédure

- Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)
- Java(TM) 6 Update 3 (version obsolète, tu possèdes une plus récente)

- Badoo Desktop (adware : logiciel publicitaire)
- SweetIM for Messenger 3.6 (idem)
- SweetPacks Toolbar for Internet Explorer 4.5 (idem)
- OfferBox (idem)


2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

• Double-clique sur adwcleaner0.exe pour lancer le programme.
  (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
  
  
• Dans la fenêtre principal, choisis l'option Suppression.
  
• Valide l'avertissement.
• Si le pc demande à redémarrer, accepte.
• Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
  
  
  3) Relance  OTL.exe
  
  
• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
  
  
• Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
  
  
  Code: [Sélectionner]
  
:OTL
SRV - [2012/05/08 14:08:06 | 000,335,208 | ---- | M] (Aedge Performance BCN SL) [Auto | Stopped] -- C:\Program Files\OfferBox\OfferBoxUpdateService.exe -- (OfferBox update service)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10015
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10015
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org/keyword/
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10015
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jerecherche.org
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes,DefaultScope = {715a3250-abb6-4eda-9d8b-b399c8c9b0c5}
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes\{1797ACC3-4FF8-4E00-938D-8AC1C8079BB1}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=01708B03-1FCD-41F5-B2A7-0A0ACF592CB8&apn_sauid=8AF76AF8-0C2F-4B60-9ADD-CE518185DA94
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}: "URL" = http://www.jerecherche.org/result.php?q={searchTerms}
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes\{715a3250-abb6-4eda-9d8b-b399c8c9b0c5}: "URL" = http://www.planet-surf.com/?search&q={searchTerms}
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http://badoo.com/startpage/?source=bsb&q={searchTerms}
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10015
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:56847
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [offerbox] C:\Program Files\OfferBox\OfferBox.exe (Aedge Performance BCN SL)
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000..\Run: [appinfo] C:\Users\sandrineappinfo.exe\appinfo.exe File not found
O4 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000..\Run: [Badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe (Badoo)
O4 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000..\Run: [lan] C:\Users\sandrine\chat-land\Chat-Landmessenger.jar File not found
O4 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000..\Run: [tempHome] C:\Users\sandrine\AppData\Local\Temp\racourci.vbe File not found
O4 - Startup: C:\Users\sandrine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appinfo.lnk =  File not found
O15 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..Trusted Domains: chat-land.org ([]* in Trusted sites)
O15 - HKU\S-1-5-21-2623691389-4086773642-1171862383-1000\..Trusted Ranges: GD ([http] in Local intranet)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
[2012/06/06 16:44:30 | 000,000,000 | ---D | C] -- C:\ProgramData\SweetIM
[2012/06/06 16:44:30 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM
[2012/06/06 16:44:14 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Roaming\OfferBox
[2012/06/06 16:44:05 | 000,000,000 | ---D | C] -- C:\Program Files\OfferBox
[2012/06/06 15:59:08 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{90A1F0B0-D24C-454D-A6F3-E82BA8C8E0AB}
[2012/06/06 15:58:57 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2F9710B7-8B19-4EA5-BF8A-18E5AF01B8E6}
[2012/06/05 21:29:51 | 000,825,312 | ---- | C] (Iminent) -- C:\Users\sandrine\Desktop\IminentSetup_2-KFRPtAWP-1_.exe
[2012/06/05 18:44:57 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Roaming\Aiqyrlxtwen
[2012/06/05 16:31:48 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{9B4B63C2-A25D-4C5E-B190-C7B8215565B2}
[2012/06/05 16:31:37 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{B0F7E325-B96A-4E34-BFFB-2E42A71AE646}
[2012/06/04 16:31:59 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{6A438FA4-670C-4B6C-B166-DCC41D7B45A0}
[2012/06/04 16:31:48 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{5B26A2C4-E8C3-4814-BC09-204704849670}
[2012/06/03 21:33:38 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{ADEB980D-8389-4003-8C09-CFC6FAF719F4}
[2012/06/03 21:33:25 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{CE63D6B3-2FA6-440B-B31F-1D39D9D3B2A4}
[2012/06/03 09:32:58 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{A94F5216-C24C-4941-9EA5-65FA72432361}
[2012/06/03 09:32:47 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{50A4B699-5D99-4F77-8B01-6C21ADD7808B}
[2012/06/02 16:51:24 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{4E310F81-F9A7-4DDE-9DE4-69D145834680}
[2012/06/02 16:51:12 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{0A12722D-502E-4F08-B21B-ABBC89E846D0}
[2012/06/01 18:59:36 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{1BDC3224-F7FB-49C6-A618-01D0C895F9AA}
[2012/06/01 18:59:26 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{5E1BF832-1FD4-4E50-A8A9-90AF280DC799}
[2012/05/31 21:31:17 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{032A6AB2-33D8-4534-AA5D-E5A2DF543ED5}
[2012/05/31 21:31:07 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{8AB07B42-898B-4AA0-AA73-17D0FBDCF96D}
[2012/05/30 21:29:22 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{7A68E307-C329-48D5-86F0-FFF79E5A49AD}
[2012/05/30 21:29:11 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2B91FC81-3A96-4442-AF7D-15AA8CC08CA3}
[2012/05/30 09:26:09 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{5350AC7D-BA02-43C7-BC12-8158E6175637}
[2012/05/30 09:25:58 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{02C7F9B6-C07F-45AD-81AD-231138E711FB}
[2012/05/29 21:25:26 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{91237593-7465-4D9B-AD81-A401188219EC}
[2012/05/29 21:25:16 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{61706CC9-B7F5-472A-B25C-5D47F2AD399B}
[2012/05/29 01:27:11 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{9F015B69-34B9-4575-8D90-23173EC76636}
[2012/05/29 01:27:00 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{A7F748EB-6B34-4DB8-97F6-B2D4C234B6DD}
[2012/05/28 13:26:45 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{80310E64-ADEA-491F-91CC-36569B9501DD}
[2012/05/28 13:26:34 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{A8FB6BA6-6C10-4099-8F22-D51EDCF253DC}
[2012/05/28 01:26:06 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{98C79149-6F84-4F6C-BBFD-C609B1165B9C}
[2012/05/28 01:25:56 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{66EDF021-AAD9-4410-AA3D-8F8ED8A2A2CA}
[2012/05/27 09:30:23 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{0103922E-2F33-496A-B1A7-159C4A477293}
[2012/05/27 09:30:12 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{BA42CB7C-FD3A-47AA-B694-BFE3C36C05E1}
[2012/05/26 12:07:33 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{51B5E918-B16C-45C3-8C4A-8637FF9E26DE}
[2012/05/26 12:07:22 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{6EBEC19E-7044-403E-BCA1-1818E82DFDA0}
[2012/05/25 16:06:11 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{6122D99C-90AF-4F86-81F0-4AE7FA661D5C}
[2012/05/25 16:06:00 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2B1AC627-7206-4356-8797-2691C35CCB12}
[2012/05/24 16:49:41 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2866977D-5ACC-4A6B-A363-B951D685F878}
[2012/05/24 16:49:28 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{7FB15D89-79DB-42F7-9A7D-003ADAF3D2C7}
[2012/05/23 17:21:41 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2859B75F-970A-4EE0-87A3-7E0DE23F1B85}
[2012/05/23 17:21:31 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{4CBC3782-1178-4730-A7B0-C476D641D369}
[2012/05/22 15:44:59 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{4D9991A1-7224-4F05-88F9-EABE1BF58C76}
[2012/05/22 15:44:49 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{CFC9AA94-7718-4C8A-B68E-EEED152A0E51}
[2012/05/21 16:04:26 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{900A6F48-3D12-4F58-A2ED-968FF84CC558}
[2012/05/21 16:04:15 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{751BD99C-3EEB-4628-910F-745A9B62D2BB}
[2012/05/20 23:08:54 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{2EE35B08-7D04-4412-B447-F5D72F321A63}
[2012/05/20 23:08:43 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{CD674332-7D63-4648-8F49-666BEBB53579}
[2012/05/20 11:08:28 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{DE698F26-E897-4915-8878-1424E7D5A3D4}
[2012/05/20 11:08:17 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{381C2A23-8CDD-4EA3-B1FC-33401FE54DD9}
[2012/05/19 23:07:49 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{D6231A21-1D0C-4883-B080-7CB29545B6C6}
[2012/05/19 23:07:38 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{5E1E0970-F839-4141-983B-288807C3B395}
[2012/05/19 11:07:14 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{977F6F64-72DD-448B-BDAA-053691279E19}
[2012/05/19 11:07:04 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{69AC6836-5522-4E1E-9268-8C97FA6D7455}
[2012/05/18 23:06:35 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{24EB0412-AF03-4638-BE6E-59C060450AA4}
[2012/05/18 23:06:24 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{91C708EE-B05C-428E-B354-2B8077E9AD26}
[2012/05/18 11:05:57 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{979B41A7-8E49-4656-A694-3510084B4021}
[2012/05/18 11:05:46 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{7185B641-2FA2-4931-B145-75E1EC69B394}
[2012/05/17 22:18:33 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{768F01F3-2B5A-42D7-9F03-E2AB8F9F88CC}
[2012/05/17 22:18:19 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{7749E94C-D8A6-4E00-A904-4353767E6826}
[2012/05/17 10:18:03 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{BB1803B5-C44A-4D12-B00C-08343A7A00DB}
[2012/05/17 10:17:52 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{29E9C47C-3C70-4AA6-8F98-0BFC8B16A5AF}
[2012/05/16 22:04:44 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{61D5EFC9-CEC0-4FCA-9452-C3579D7AEDD7}
[2012/05/16 22:04:34 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{AD875EA9-F294-41FF-90F5-11E8364E6570}
[2012/05/15 21:34:43 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{D8B90A24-E0CF-49C9-BD1A-BF6CBDFBE78A}
[2012/05/15 21:34:33 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{00AC8FEA-FC45-45A1-8AA0-F240B10E0CA0}
[2012/05/15 09:34:07 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{920CCE7A-B834-4081-B42B-2BFD2DA79CBD}
[2012/05/15 09:33:56 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{81E79D95-6142-433F-B7A7-1E4A28FD6E7F}
[2012/05/14 21:33:25 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{71CC5517-BB97-4972-92C0-DCAB69808190}
[2012/05/14 21:33:13 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{60E2DDC3-C17D-4AF2-B12E-A4EEAF45BDF2}
[2012/05/13 23:34:02 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{97E136AE-DEC4-4EDB-8B63-BC4C0F48C7A9}
[2012/05/13 23:33:51 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{B1B8CC37-D905-46BC-8401-50C83D0F9EC8}
[2012/05/13 11:33:38 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{27C1AF8E-DFAC-4EE4-B1CD-3C53E11B5DA1}
[2012/05/13 11:33:27 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{BCEE963F-C912-4595-A8CE-D2272143D838}
[2012/05/12 23:33:01 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{EA1CF536-9F18-4CC4-8467-CCB6BD7AF1B7}
[2012/05/12 23:32:50 | 000,000,000 | ---D | C] -- C:\Users\sandrine\AppData\Local\{482F1A6B-C450-4728-83D8-828B5C0DDF26}
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\sandrine\*.tmp files -> C:\Users\sandrine\*.tmp -> ]
[2012/06/06 16:44:22 | 000,000,218 | ---- | M] () -- C:\Users\sandrine\Desktop\SweetPcFix.url
[2012/06/06 16:44:11 | 000,000,835 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox.lnk
[2012/06/06 16:44:17 | 000,000,000 | ---D | M] -- C:\Users\sandrine\AppData\Roaming\OfferBox
@Alternate Data Stream - 154 bytes -> C:\ProgramData\TEMP:2B40A7DB
@Alternate Data Stream - 153 bytes -> C:\ProgramData\TEMP:7C4DCB5B
@Alternate Data Stream - 153 bytes -> C:\ProgramData\TEMP:6E65510A
@Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:E9FAC3AB
@Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:363E775E
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:6ED8B881
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:922DA2DB
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:4CD3F344
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:02CC0035
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:0ED1C542
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:12383CAE
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:A6D6E537
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:EDDBC69E
@Alternate Data Stream - 135 bytes -> C:\ProgramData\TEMP:E8B61305
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:2AD33723
@Alternate Data Stream - 132 bytes -> C:\ProgramData\TEMP:18B5F839
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:0BACBDD9
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:56FBA78D
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:3086B95F
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:A02025CE
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:5A9F1AE5
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:1ECED34B
@Alternate Data Stream - 100 bytes -> C:\ProgramData\TEMP:B2CD146E

:Files
C:\Program Files\OfferBox
C:\Program Files\SweetIM
C:\ProgramData\Badoo

:Commands
[emptytemp]

  
• Puis clique sur le bouton Correction en haut à gauche
  
• Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  
• Poste le rapport de suppression s'il apparait.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

• Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
  Une aide à l'utilisation ici
  
  
  
  
  
  
  Question à côté ... où est-ce que tu as téléchargé ta version de Malwarebyte's ?
  
   :AAN
  

[elfyblue]

Voici les liens des rapports :


http://pjjoint.malekal.com/files.php?id=20120606_p12e5t10m9q15
http://pjjoint.malekal.com/files.php?id=20120606_z5v12x11d8n12

En ce qui concerne Malwarebyte's je l'ai téléchargé sur softonic.

[hyunkel30]

Re,

Ok c'est bien ce que je pensais pour Malwarebyte's ... pour te signaler donc que ce téléchargement sur cette plateforme à infecté ton oc avec des adwares, des sponsors publicitaire ajouter au logiciels par softonic alors que Malwarebyte's lui est parfaitement sain ...
Fuis les plateformes de ce genre, Softonic, 01net, etc ... Télécharge chez les éditeurs des logiciels.
à lire :
http://www.malekal.com/2012/05/14/softonic-bundle-tuto4pc/


Pour le reste ... as-tu bien désactivé Avast! et empêché ce dernier de lancer OTL en mode sansdbox ?
J'ai des doutes quand je vois le rapport ...

On va regarder de nouveau :

Relance OTL :

• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Coche en haut la case devant "Tous les utilisateurs"
  
• Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
  
  
  Code: [Sélectionner]
  netsvcs
msconfig
drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles

  
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  
  
• A la fin du scan, seul le rapport  OTL.Txt s'ouvrira
  
  
• Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
  Une aide à l'utilisation ici
  
  Note : Les rapports sont aussi enregistrés sur le bureau
  

[elfyblue]

Bonjour, j'ai relancé le scan OTL comme tu me l'as indiqué. Voici le rapport.

http://pjjoint.malekal.com/files.php?id=20120607_d5b6p6m7l7

[hyunkel30]

Re,

Bon c'est nickel, je voulais juste m'assurer que le premier script avait fonctionné car c'était pas flagrant sur le rapport, mais en fait, c'est bon

On passe donc au décryptage :

/!\ Ton espace disque étant réduit sur C:, l'outil peut ne pas réussir à tout faire ne une fois, il faudra alors renouveler la procédure après avoir vérifier les fichiers décrypté et lancer la suppression des fichiers crypté en double (voir procédure suivante) /!\

L'outil pourra avoir besoin (pas obligatoirement) d'une copie saine et non modifiée d'un des fichiers crypté, il faudra alors lui fournir, qu'il soit issu d'un autre pc, d'une sauvegarde, d'une clé usb ou d'un téléchargement.


Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  
• Clique sur Start scan
  
  
  
• L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
  
  
• L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
  
  
• Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  
• Poste simplement les dernières ligne du rapport dans ta prochaine réponse.
• Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
  
  Merci à Chantal11 pour la procédure

[elfyblue]

21:11:44.0371 2472   Statistic:
21:11:44.0371 2472   Processed:   130213
21:11:44.0371 2472   Suspicious:   0
21:11:44.0371 2472   Found:      6024
21:11:44.0371 2472   Decrypted:   6024
21:11:44.0371 2472   ================================================================================
21:11:44.0371 2472   Scan finished
21:11:44.0371 2472   ================================================================================


Voilà ci-dessus les dernières lignes du rapport de RannohDecryptor.
Après vérification j'ai bien récupérer tous mes fichiers. Je te remercie beaucoup pour l'aide que tu m'as apporté c'est très gentil!!
Concernant le virus "gendarmerie" il est donc bien éradiqué?

[hyunkel30]

Re,

Tu as bien vérifier que les fichiers étaient exploitable ?
Si oui, et si ce n'est pas fait, relance l'outil avec l'option de suppression des doubles crypté (voir procédure précédente)

Pour l'infection, oui c'était la première étape que j'avais effectué. Mais il reste à mettre à jour le pc pour éviter une nouvelle infection :

1) Relance  OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

• Clique sur "Purge d'outils"
  
• Valide l'avertissement par "ok" et laisse le pc redémarrer.
  
  
  2) Désinstalle AdwCleaner :
  
  
• Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
  (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  
• Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
  
  
• Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
  
  Tu peux supprimer manuellement le fichier RannohDecryptor.exe
  
  
  Télécharge SX Check&Update (de Igor51 ) sur ton bureau.
  
  
• Lance SXCU.exe en double-cliquant dessus.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
  Supprime ensuite dans ta liste des programme, si encore présente : Java(TM) 6 Update 31
  
  
• Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
  Vérifie que l'ancienne version Adobe Reader 8.1.0 ai été supprimée dans ta liste des programmes, sinon fait-le.
  
  
• Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
  
  
  Ferme le programme via "Quit"
  Tu peux supprimer SXCU.exe.
  
  
  Rappel :
  /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
  
  
  Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
  
  
• Attention lors de l'installation de logiciel :
  Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
  A lire !
  
  
• Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )
  
  
• Maintenir ses logiciels et son système à jour :
  De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
  Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
  
  Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
  A lire !
  
  
  Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
  -> Ajoute ensuite "résolu" à coté de ton titre et valide.
  
  A bientôt sur Security-X

[elfyblue]

Mes fichiers sont bien exploitables oui. Je procède aux kk dernières manip que tu viens de m'envoyer et ce sera nickel.
Je te remercie pour ton aide et le temps que tu m'as accordé!