Forum Security-X > Désinfections
Infection par un virus gendarmerie nationale - fichiers locked [Résolu]
jos30:
bonjour,
j'ai été infectée par ce virus hier. après avoir tenté Roguekiller sans succès, j'ai installé Malwarebyte anti Malware qui a détecté 47 virus et les a suppimés. depuis tout est redevenu à la normale, je peux accéder à mon pc en mode normal, mais tous mes fichiers sont locked (extension changée). je n'arrive pas à trouver de solution. j'ai essyé Dr Web mais en vain car je ne retrouve plus les originaux de mes fichiers. tous mes docs importants sont dessus. Merci de votre aide.
chantal11:
Bonjour jos30,
Poste le rapport Malwarebytes s'il te plaît (onglet Rapports/Logs, tu double-cliques sur le rapport concerné)
Quelles sont les extensions qui ont été touchées et comment ont été nommés ces fichiers cryptés ?
Pour une des variantes de ce Virus Gendarmerie, il faut impérativement avoir une copie saine non cryptée pour pouvoir appliquer le correctif Dr.Web approprié, mais ce n'est pas le cas pour d'autres variantes.
On va aussi s'assurer que le système est bien désinfecté.
OTL :
[*] Télécharge OTL de Old_Timer et enregistre le sur le Bureau
[*] Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*] Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
[*] Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
--- Citer ---netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
--- Fin de citation ---
[*] Clique ensuite sur Analyse et patiente le temps du scan
[*] A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
[*] Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.[/list]
@+
jos30:
Bonjour Chantal11,
Voici le rapport Mawarebytes:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.30.05
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]
01/05/2012 09:28:13
mbam-log-2012-05-01 (09-28-13).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213669
Temps écoulé: 6 minute(s), 20 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Voici quelques exemples de fichiers cryptés:
locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo
Je fais la procédure OTL et je reviens vers toi.
Merci
chantal11:
Bonjour,
Merci pour le rapport Malwarebytes, mais en fait, c'était le rapport avec la détection et suppression des 47 virus qui m'intéresse.
--- Citer ---locked-Composition1.pub.vrug
locked-masking tape.doc.tdxf
locked-repertoire.xls.dxft
locked-Sans titre - 2.ai.jfqo
--- Fin de citation ---
C'est bien la variante où il faut avoir au moins une copie non cryptée d'un des fichiers pour applique le correctif.
Tu n'as aucune sauvegarde de fichiers ?
N'oublie pas de poster les liens pour OTL.
@+
jos30:
désolée. voici le bon rapport.
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.30.05
Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.6002.18005
Administrateur :: PC-DE-JOSIANE [administrateur]
30/04/2012 17:47:00
mbam-log-2012-04-30 (17-47-00).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 212221
Temps écoulé: 3 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 15
HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAx.Info.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKCR\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790476B376545630AC91 (Malware.Trace) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Mozilla\Firefox\extensions|ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Données: C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 13
C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\plugins (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0} (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 17
C:\Users\Administrateur\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Administrateur\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAAbout.mht.otfx (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAEULA.mht.zbrl (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\ClickPotatoLiteSAHook.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\LaunchHelp.dll (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\ClickPotatoLite\bin\10.0.625.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome.manifest (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\install.rdf (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\chrome\resultbar.jar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Mozilla Firefox\extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}\defaults\preferences\prefs.js (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
(fin)
si j'ai une sauvegarde de fichiers mais elle est infectée aussi. tous les fichiers du PC sont comme ça.
je viens de télécharger OTL
Navigation
[#] Page suivante
Sortir du mode mobile