Security-X

Forum Security-X => Désinfections => Discussion démarrée par: mumuemma le juillet 25, 2012, 10:49:25

Titre: [Resolu] Virus gendarmerie nationale
Posté par: mumuemma le juillet 25, 2012, 10:49:25
Bonjour, j'ai été infecté moi aussi par ce virus j'ai pu m'en débarrassé quoi je crois moi tous mes fichiers sont bloqués SOS :AAJ
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le juillet 25, 2012, 11:06:39
Bonjour mumuemma,

Bienvenu que Security-X.

On va regarder cela en deux temps : vérifier la variante de l'infection, puis si possible la supprimer et décrypter les fichiers

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, ou parce que tu as ouvert une pièce jointe infectée, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\



Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.


netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT


Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]

Note : Les rapports sont aussi enregistrés sur le bureau
Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le juillet 26, 2012, 21:54:15

Voici les deux rapports pas tres evident a faire mais j ai reussi je crois :AAC

http://pjjoint.malekal.com/files.php?id=20120726_x6t11s15u12b7

http://pjjoint.malekal.com/files.php?id=20120726_j15q9h8x512

Merci pour ton aide
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le juillet 26, 2012, 22:10:15
Re,

L'infection s'est déclarée après avoir ouvert une pièce jointe de mail non ?

Et les fichier crypté son devenu du genre Hj2jUkflmg5Hbfdr ? (suite aléatoire de chiffre et lettre ?)
Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le juillet 27, 2012, 09:55:30

Non c'est arrivé d'un coups, et les fichiers ne sont pas cryptés mais locked et avec une suite de quatre lettres majuscules
exemple :

 fichier AEXH (1)
 locked-les simpsons

Le virus a donné comme nom du fichier une suite de lettre et quand je veux ouvrir mes fichiers j ai une fenêtre windows qui s ouvrir et qui me demande de soit choisir :
                            d'utiliser le service web pour trouver le programme approprié
                            ou
                            de sélectionner un programme dans la liste des programmes installés

Les rapports que je t ai envoyé non rien donnés?

Merci de ton aide
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le juillet 27, 2012, 11:00:16
Re,

Ok, tu as de la chance alors c'est une variante où l'on peut décrypter les fichiers.

Par contre je t'avais averti, évite d'essayer d'ouvrir à présent ou modifier les fichiers crypté, sous peine de ne plus pouvoir les décrypter ;)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

- WiseConvert Toolbar (barre d'outil sponsorisée par un adware, logiciel publicitaire)


2) Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\



:OTL
IE - HKLM\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{7CEF3500-13E9-4DC2-9AC6-B41B71B2F1CE}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs
FF - prefs.js..browser.search.defaultenginename: "MyStart Rechercher"
FF - prefs.js..browser.search.selectedEngine: "MyStart Rechercher"
FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
[2012/07/03 11:57:42 | 000,002,034 | ---- | M] () -- C:\Users\Muriel\AppData\Roaming\Mozilla\Firefox\Profiles\0dqdo2dt.default\searchplugins\MyStart Search.xml
O2 - BHO: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\Toolbar\WebBrowser: (WiseConvert Toolbar) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-215310062-121877136-899971625-1000..\Run: [fsm]  File not found
[2012/07/13 08:32:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
[2012/07/13 08:32:56 | 000,000,000 | ---D | C] -- C:\Users\Muriel\AppData\Local\Conduit
[2012/07/03 11:57:51 | 000,002,053 | ---- | M] () -- C:\Users\Public\Desktop\Augmentez la vitesse de votre ordinateur !.lnk

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\



3) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.

/!\ Désactive temporairement tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le juillet 28, 2012, 20:47:46

Bonsoir,

J ai suivi toutes tes indications voila le rapport
 
http://pjjoint.malekal.com/files.php?id=20120728_s125g6j8k8

Par contre je n ai aucune sauvegarde comme puis je faire?

Merci pour ton aide.
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le juillet 28, 2012, 22:12:58
Re,

Ok pour le rapport, c'est celui d'adwcleaner.

Il me faudrait aussi celui de OTL que tu as dû lancer avant, il doit être là :
Citer
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure


Concernant le fichier sain, copie d'un fichier crypté : es-tu certaines de n'avoir aucune photo, vidéo, document, pdf ou autre dont tu pourrais avoir une copie ? Sur un autre pc ? sur ton téléphone, ou qu'il soit issu d'un téléchargement sur Internet qu'on peut retrouver ? (film, musique, etc ...)

On peut tester sans mais y'a un risque que cela ne fonctionne pas ...
Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le juillet 29, 2012, 10:03:01

Bojour,

Voici le rapport de OTL

http://pjjoint.malekal.com/files.php?id=20120729_j9x6v8f10c5

Dis moi pour le fichier crypté il faut que ce soit le même que le sain c'est bien sa je crois avoir trouvé


Merci de ton aide
Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le juillet 29, 2012, 10:32:25


J ai trouvé un fichier sur mon disque dur externe
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le juillet 29, 2012, 11:11:14
Re,

Bien, on y va alors :

Télécharge RannohDecryptor (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) (de Kaspersky) sur ton bureau.

Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le août 06, 2012, 19:34:44
Bonsoir,

Un grand merci a vous et a votre site pour votre travail j'ai pu décrypter tous mes fichiers.

Merci
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le août 06, 2012, 21:44:51
Bonsoir,

Attention, ce n'est pas fini, il me faut le rapport de l'outil, et surtout, on dois mettre à jour ton pc, sinon tu risques de te faire réinfecter très rapidement !!!

Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le août 06, 2012, 23:03:00
RE

OK et je le trouve ou le rapport ?
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le août 07, 2012, 10:15:42
Re,

Tout était écrit dans la procédure :

Citer
  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
Les dernières ligne, cela veut dire la fin du rapport, contenant les lignes "decrypted files" et le chiffre à côté jusqu'à la fin.

 :AAN
Titre: Re : Virus gendarmerie nationale
Posté par: mumuemma le août 07, 2012, 20:46:23
Voici les dernieres lignes

13:21:03.0816 9104   Processing file: D:\zouk septembre 2010\locked-Zouk Warren feat Fanny J - J'ai trouvé l'erreur (2010).mp3.wrvg
13:21:03.0906 9104   Processing file: D:\zouk septembre 2010\locked-ZOUK.Naïma - Que dois-je faire (2010).mp3.dtkp
13:21:03.0986 9104   Processing file: D:\zouk septembre 2010\locked-[ Exclusivité 2009 ] Kim - Tu mas trahie Exclu 2009(1)(1).mp3.kguf
13:21:04.0046 9104   Processing file: D:\__MACOSX\Payload\locked-._.DS_Store.aenb
13:21:04.0046 9104   Processing file: D:\__MACOSX\Payload\Orange_France.bundle\locked-._carrier.plist.ufxd
13:21:04.0046 9104   ProcessDriveEnumEx: Drive E:\ type 5:0
13:21:04.0046 9104   ProcessDriveEnumEx: Drive F:\ type 2:0
13:21:04.0206 9104   ProcessDriveEnumEx: Volume is not accessible (error 21)
13:21:04.0206 9104   ProcessDriveEnumEx: Drive W:\ type 3:0
13:21:05.0296 9104   
13:21:05.0296 9104   Statistic:
13:21:05.0296 9104   Processed:   158734
13:21:05.0296 9104   Suspicious:   0
13:21:05.0296 9104   Found:      16774
13:21:05.0296 9104   Decrypted:   16774
13:21:05.0296 9104   ================================================================================
13:21:05.0296 9104   Scan finished
13:21:05.0296 9104   ================================================================================
14:45:41.0529 9024   Deinitialize success
Titre: Re : Virus gendarmerie nationale
Posté par: hyunkel30 le août 07, 2012, 20:56:50
Re,

Parfait ;)

On passe au nettoyage pour conclure :

Si ce n'est pas déjà fait, relance l'outil avec l'option de suppression des doubles "locked" :
Citer
  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
1)Désinstalle AdwCleaner :