Security-X
Forum Security-X => Désinfections => Discussion démarrée par: mumuemma le juillet 25, 2012, 10:49:25
-
Bonjour, j'ai été infecté moi aussi par ce virus j'ai pu m'en débarrassé quoi je crois moi tous mes fichiers sont bloqués SOS :AAJ
-
Bonjour mumuemma,
Bienvenu que Security-X.
On va regarder cela en deux temps : vérifier la variante de l'infection, puis si possible la supprimer et décrypter les fichiers
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, ou parce que tu as ouvert une pièce jointe infectée, on s'en occupera en fin de procédure.
/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\
/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]
Note : Les rapports sont aussi enregistrés sur le bureau
-
Voici les deux rapports pas tres evident a faire mais j ai reussi je crois :AAC
http://pjjoint.malekal.com/files.php?id=20120726_x6t11s15u12b7
http://pjjoint.malekal.com/files.php?id=20120726_j15q9h8x512
Merci pour ton aide
-
Re,
L'infection s'est déclarée après avoir ouvert une pièce jointe de mail non ?
Et les fichier crypté son devenu du genre Hj2jUkflmg5Hbfdr ? (suite aléatoire de chiffre et lettre ?)
-
Non c'est arrivé d'un coups, et les fichiers ne sont pas cryptés mais locked et avec une suite de quatre lettres majuscules
exemple :
fichier AEXH (1)
locked-les simpsons
Le virus a donné comme nom du fichier une suite de lettre et quand je veux ouvrir mes fichiers j ai une fenêtre windows qui s ouvrir et qui me demande de soit choisir :
d'utiliser le service web pour trouver le programme approprié
ou
de sélectionner un programme dans la liste des programmes installés
Les rapports que je t ai envoyé non rien donnés?
Merci de ton aide
-
Re,
Ok, tu as de la chance alors c'est une variante où l'on peut décrypter les fichiers.
Par contre je t'avais averti, évite d'essayer d'ouvrir à présent ou modifier les fichiers crypté, sous peine de ne plus pouvoir les décrypter ;)
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
- WiseConvert Toolbar (barre d'outil sponsorisée par un adware, logiciel publicitaire)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
IE - HKLM\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\URLSearchHook: {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{7CEF3500-13E9-4DC2-9AC6-B41B71B2F1CE}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3196716
IE - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_fs
FF - prefs.js..browser.search.defaultenginename: "MyStart Rechercher"
FF - prefs.js..browser.search.selectedEngine: "MyStart Rechercher"
FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/"
FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/?loc=ff_address_bar_fs&search="
[2012/07/03 11:57:42 | 000,002,034 | ---- | M] () -- C:\Users\Muriel\AppData\Roaming\Mozilla\Firefox\Profiles\0dqdo2dt.default\searchplugins\MyStart Search.xml
O2 - BHO: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (WiseConvert Toolbar) - {ebd898f8-fcf6-4694-bc3b-eabc7271eeb1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-215310062-121877136-899971625-1000\..\Toolbar\WebBrowser: (WiseConvert Toolbar) - {EBD898F8-FCF6-4694-BC3B-EABC7271EEB1} - C:\Program Files (x86)\WiseConvert\prxtbWise.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-215310062-121877136-899971625-1000..\Run: [fsm] File not found
[2012/07/13 08:32:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
[2012/07/13 08:32:56 | 000,000,000 | ---D | C] -- C:\Users\Muriel\AppData\Local\Conduit
[2012/07/03 11:57:51 | 000,002,053 | ---- | M] () -- C:\Users\Public\Desktop\Augmentez la vitesse de votre ordinateur !.lnk
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
3) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
/!\ Désactive temporairement tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Suppression.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
Pour la suite et le décryptage de tes fichiers, il faudra trouver une copie saine et non modifiée d'un des fichiers crypté, issu d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc ... En effet le logiciel aura besoin pour comparer avant et après cryptage.
:AAN
-
Bonsoir,
J ai suivi toutes tes indications voila le rapport
http://pjjoint.malekal.com/files.php?id=20120728_s125g6j8k8
Par contre je n ai aucune sauvegarde comme puis je faire?
Merci pour ton aide.
-
Re,
Ok pour le rapport, c'est celui d'adwcleaner.
Il me faudrait aussi celui de OTL que tu as dû lancer avant, il doit être là :
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
Concernant le fichier sain, copie d'un fichier crypté : es-tu certaines de n'avoir aucune photo, vidéo, document, pdf ou autre dont tu pourrais avoir une copie ? Sur un autre pc ? sur ton téléphone, ou qu'il soit issu d'un téléchargement sur Internet qu'on peut retrouver ? (film, musique, etc ...)
On peut tester sans mais y'a un risque que cela ne fonctionne pas ...
-
Bojour,
Voici le rapport de OTL
http://pjjoint.malekal.com/files.php?id=20120729_j9x6v8f10c5
Dis moi pour le fichier crypté il faut que ce soit le même que le sain c'est bien sa je crois avoir trouvé
Merci de ton aide
-
J ai trouvé un fichier sur mon disque dur externe
-
Re,
Bien, on y va alors :
Télécharge RannohDecryptor (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) (de Kaspersky) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
- Après vérification (fonctionnement des fichiers décryptés), tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
Merci à Chantal11 pour la procédure
-
Bonsoir,
Un grand merci a vous et a votre site pour votre travail j'ai pu décrypter tous mes fichiers.
Merci
-
Bonsoir,
Attention, ce n'est pas fini, il me faut le rapport de l'outil, et surtout, on dois mettre à jour ton pc, sinon tu risques de te faire réinfecter très rapidement !!!
-
RE
OK et je le trouve ou le rapport ?
-
Re,
Tout était écrit dans la procédure :
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste simplement les dernières lignes du rapport dans ta prochaine réponse.
Les dernières ligne, cela veut dire la fin du rapport, contenant les lignes "decrypted files" et le chiffre à côté jusqu'à la fin.
:AAN
-
Voici les dernieres lignes
13:21:03.0816 9104 Processing file: D:\zouk septembre 2010\locked-Zouk Warren feat Fanny J - J'ai trouvé l'erreur (2010).mp3.wrvg
13:21:03.0906 9104 Processing file: D:\zouk septembre 2010\locked-ZOUK.Naïma - Que dois-je faire (2010).mp3.dtkp
13:21:03.0986 9104 Processing file: D:\zouk septembre 2010\locked-[ Exclusivité 2009 ] Kim - Tu mas trahie Exclu 2009(1)(1).mp3.kguf
13:21:04.0046 9104 Processing file: D:\__MACOSX\Payload\locked-._.DS_Store.aenb
13:21:04.0046 9104 Processing file: D:\__MACOSX\Payload\Orange_France.bundle\locked-._carrier.plist.ufxd
13:21:04.0046 9104 ProcessDriveEnumEx: Drive E:\ type 5:0
13:21:04.0046 9104 ProcessDriveEnumEx: Drive F:\ type 2:0
13:21:04.0206 9104 ProcessDriveEnumEx: Volume is not accessible (error 21)
13:21:04.0206 9104 ProcessDriveEnumEx: Drive W:\ type 3:0
13:21:05.0296 9104
13:21:05.0296 9104 Statistic:
13:21:05.0296 9104 Processed: 158734
13:21:05.0296 9104 Suspicious: 0
13:21:05.0296 9104 Found: 16774
13:21:05.0296 9104 Decrypted: 16774
13:21:05.0296 9104 ================================================================================
13:21:05.0296 9104 Scan finished
13:21:05.0296 9104 ================================================================================
14:45:41.0529 9024 Deinitialize success
-
Re,
Parfait ;)
On passe au nettoyage pour conclure :
Si ce n'est pas déjà fait, relance l'outil avec l'option de suppression des doubles "locked" :
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
1)Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime manuellement Rannohdecryptor.exe
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en hait à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN