Auteur Sujet: [Resolu] Virus gendarmerie nationale  (Lu 7989 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
[Resolu] Virus gendarmerie nationale
« le: juillet 25, 2012, 10:49:25 »
Bonjour, j'ai été infecté moi aussi par ce virus j'ai pu m'en débarrassé quoi je crois moi tous mes fichiers sont bloqués SOS :AAJ
« Modifié: septembre 13, 2012, 21:40:59 par hyunkel30 »

Security-X

[Resolu] Virus gendarmerie nationale
« le: juillet 25, 2012, 10:49:25 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #1 le: juillet 25, 2012, 11:06:39 »
Bonjour mumuemma,

Bienvenu que Security-X.

On va regarder cela en deux temps : vérifier la variante de l'infection, puis si possible la supprimer et décrypter les fichiers

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, ou parce que tu as ouvert une pièce jointe infectée, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\



Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici[/i]

Note : Les rapports sont aussi enregistrés sur le bureau

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #2 le: juillet 26, 2012, 21:54:15 »

Voici les deux rapports pas tres evident a faire mais j ai reussi je crois :AAC

http://pjjoint.malekal.com/files.php?id=20120726_x6t11s15u12b7

http://pjjoint.malekal.com/files.php?id=20120726_j15q9h8x512

Merci pour ton aide

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #3 le: juillet 26, 2012, 22:10:15 »
Re,

L'infection s'est déclarée après avoir ouvert une pièce jointe de mail non ?

Et les fichier crypté son devenu du genre Hj2jUkflmg5Hbfdr ? (suite aléatoire de chiffre et lettre ?)

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #4 le: juillet 27, 2012, 09:55:30 »

Non c'est arrivé d'un coups, et les fichiers ne sont pas cryptés mais locked et avec une suite de quatre lettres majuscules
exemple :

 fichier AEXH (1)
 locked-les simpsons

Le virus a donné comme nom du fichier une suite de lettre et quand je veux ouvrir mes fichiers j ai une fenêtre windows qui s ouvrir et qui me demande de soit choisir :
                            d'utiliser le service web pour trouver le programme approprié
                            ou
                            de sélectionner un programme dans la liste des programmes installés

Les rapports que je t ai envoyé non rien donnés?

Merci de ton aide

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #5 le: juillet 27, 2012, 11:00:16 »
Re,

Ok, tu as de la chance alors c'est une variante où l'on peut décrypter les fichiers.

Par contre je t'avais averti, évite d'essayer d'ouvrir à présent ou modifier les fichiers crypté, sous peine de ne plus pouvoir les décrypter ;)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

- WiseConvert Toolbar (barre d'outil sponsorisée par un adware, logiciel publicitaire)


2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


:OTL
IE - HKLM\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{7CEF3500-13E9-4DC2-9AC6-B41B71B2F1CE}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs
FF - prefs.js..browser.search.defaultenginename: "MyStart Rechercher"
FF - prefs.js..browser.search.selectedEngine: "MyStart Rechercher"
FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
[2012/07/03 11:57:42 | 000,002,034 | ---- | M] () -- C:\Users\Muriel\AppData\Roaming\Mozilla\Firefox\Profiles\0dqdo2dt.default\searchplugins\MyStart Search.xml
O2 - BHO: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\Toolbar\WebBrowser: (WiseConvert Toolbar) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-215310062-121877136-899971625-1000..\Run: [fsm]  File not found
[2012/07/13 08:32:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
[2012/07/13 08:32:56 | 000,000,000 | ---D | C] -- C:\Users\Muriel\AppData\Local\Conduit
[2012/07/03 11:57:51 | 000,002,053 | ---- | M] () -- C:\Users\Public\Desktop\Augmentez la vitesse de votre ordinateur !.lnk

:Commands
[emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive temporairement tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.



    Pour la suite et le décryptage de tes fichiers, il faudra trouver une copie saine et non modifiée d'un des fichiers crypté, issu d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc ...  En effet le logiciel aura besoin pour comparer avant et après cryptage.

     :AAN

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #6 le: juillet 28, 2012, 20:47:46 »

Bonsoir,

J ai suivi toutes tes indications voila le rapport
 
http://pjjoint.malekal.com/files.php?id=20120728_s125g6j8k8

Par contre je n ai aucune sauvegarde comme puis je faire?

Merci pour ton aide.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #7 le: juillet 28, 2012, 22:12:58 »
Re,

Ok pour le rapport, c'est celui d'adwcleaner.

Il me faudrait aussi celui de OTL que tu as dû lancer avant, il doit être là :
Citer
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure


Concernant le fichier sain, copie d'un fichier crypté : es-tu certaines de n'avoir aucune photo, vidéo, document, pdf ou autre dont tu pourrais avoir une copie ? Sur un autre pc ? sur ton téléphone, ou qu'il soit issu d'un téléchargement sur Internet qu'on peut retrouver ? (film, musique, etc ...)

On peut tester sans mais y'a un risque que cela ne fonctionne pas ...

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #8 le: juillet 29, 2012, 10:03:01 »

Bojour,

Voici le rapport de OTL

http://pjjoint.malekal.com/files.php?id=20120729_j9x6v8f10c5

Dis moi pour le fichier crypté il faut que ce soit le même que le sain c'est bien sa je crois avoir trouvé


Merci de ton aide

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #9 le: juillet 29, 2012, 10:32:25 »


J ai trouvé un fichier sur mon disque dur externe

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #10 le: juillet 29, 2012, 11:11:14 »
Re,

Bien, on y va alors :

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.


  • Après vérification (fonctionnement des fichiers décryptés), tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #11 le: août 06, 2012, 19:34:44 »
Bonsoir,

Un grand merci a vous et a votre site pour votre travail j'ai pu décrypter tous mes fichiers.

Merci

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #12 le: août 06, 2012, 21:44:51 »
Bonsoir,

Attention, ce n'est pas fini, il me faut le rapport de l'outil, et surtout, on dois mettre à jour ton pc, sinon tu risques de te faire réinfecter très rapidement !!!


Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #13 le: août 06, 2012, 23:03:00 »
RE

OK et je le trouve ou le rapport ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #14 le: août 07, 2012, 10:15:42 »
Re,

Tout était écrit dans la procédure :

Citer
  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
Les dernières ligne, cela veut dire la fin du rapport, contenant les lignes "decrypted files" et le chiffre à côté jusqu'à la fin.

 :AAN

Hors ligne mumuemma

  • Membres
  • Members
  • *
  • Messages: 9
Re : Virus gendarmerie nationale
« Réponse #15 le: août 07, 2012, 20:46:23 »
Voici les dernieres lignes

13:21:03.0816 9104   Processing file: D:\zouk septembre 2010\locked-Zouk Warren feat Fanny J - J'ai trouvé l'erreur (2010).mp3.wrvg
13:21:03.0906 9104   Processing file: D:\zouk septembre 2010\locked-ZOUK.Naïma - Que dois-je faire (2010).mp3.dtkp
13:21:03.0986 9104   Processing file: D:\zouk septembre 2010\locked-[ Exclusivité 2009 ] Kim - Tu mas trahie Exclu 2009(1)(1).mp3.kguf
13:21:04.0046 9104   Processing file: D:\__MACOSX\Payload\locked-._.DS_Store.aenb
13:21:04.0046 9104   Processing file: D:\__MACOSX\Payload\Orange_France.bundle\locked-._carrier.plist.ufxd
13:21:04.0046 9104   ProcessDriveEnumEx: Drive E:\ type 5:0
13:21:04.0046 9104   ProcessDriveEnumEx: Drive F:\ type 2:0
13:21:04.0206 9104   ProcessDriveEnumEx: Volume is not accessible (error 21)
13:21:04.0206 9104   ProcessDriveEnumEx: Drive W:\ type 3:0
13:21:05.0296 9104   
13:21:05.0296 9104   Statistic:
13:21:05.0296 9104   Processed:   158734
13:21:05.0296 9104   Suspicious:   0
13:21:05.0296 9104   Found:      16774
13:21:05.0296 9104   Decrypted:   16774
13:21:05.0296 9104   ================================================================================
13:21:05.0296 9104   Scan finished
13:21:05.0296 9104   ================================================================================
14:45:41.0529 9024   Deinitialize success

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus gendarmerie nationale
« Réponse #16 le: août 07, 2012, 20:56:50 »
Re,

Parfait ;)

On passe au nettoyage pour conclure :

Si ce n'est pas déjà fait, relance l'outil avec l'option de suppression des doubles "locked" :
Citer
  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
1)Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance  OTL.exe[/color]
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement Rannohdecryptor.exe



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en hait à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X

     :AAN

Tags: