Forum Security-X > Désinfections
[resolu] PEL FICHIERS LOCKED SUITE INFECTION VIRUS GENDARMERIE
beethoven:
Bonjour,
J'ai été infecté par un virus Trojan, qui a encrypté tous mes fichiers,
J'ai fait une desinfection complète ainsi que les mises à jour.
J'ai accès à W7 versions 64 bits, mais je n'arrive toujours pas à relire mes fichiers.
J'ai utilisés web doctor qui me décrypte les fichiers, mais ils ne sont toujours pas lisibles.
je reprends donc la procédure de départ avec OTL dont j'ai posté les rapports.
Merci de m'aider afin de récupérer ces fichiers;
Amicalement,
beethoven:
Je joins également le rapport Roquekiller que j'ai utilisé.
chantal11:
Bonjour,
Merci pour les rapports.
As-tu utilisé Malwarebytes ?
Si oui, merci de poster aussi le rapport.
--- Citer ---J'ai utilisés web doctor qui me décrypte les fichiers
--- Fin de citation ---
Quel outil exactement as-tu utilisé ?
As-tu bien un fichier sain (non crypté) qui est l'homologue d'un des fichiers bloqués ?
---------------------------------------------------------------------------------------------
Désinstalle via Panneau de configuration -> Programmes et fonctionnalités :
[*]Java(TM) 6 Update 30
[*]Java(TM) 6 Update 30 (64-bit)[/list]
----------------------------------------------------------------------------------------------
OTL :
[*] Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*] Copie l'intégralité de ce script ci-dessous
[/list]
--- Code: ---:OTL
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-4033725777-2777725184-2994790715-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012/06/05 08:49:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9A2667B7-35C2-4CBE-8F34-5CEF098884DF}
[2012/06/05 08:49:11 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A4821351-EE63-4293-B5B2-874A3F633FFA}
[2012/06/05 08:48:25 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{819004CF-9227-482B-A5AE-B08D6FD9A487}
[2012/06/04 18:51:01 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{043FAC00-2A52-4313-818C-0D9DB963E517}
[2012/06/04 17:16:39 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{D227C066-F8C0-4AB1-994B-FD800E50FBAF}
[2012/06/04 17:16:29 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9800B3CC-E12A-4640-AE25-E1126662052F}
[2012/06/04 12:49:46 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3C98E131-6CD8-47F1-B7D7-5F4E1C2A4D5E}
[2012/06/04 12:49:08 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B24C6A4A-E723-4B4D-936B-6A42FDDDF9F3}
[2012/06/04 12:35:09 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{CDC16636-B9FB-4483-92C9-1B1841F6CE7C}
[2012/06/04 10:41:56 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{763AA7D8-EA14-40D7-BCC7-2AA79CEA4BBC}
[2012/06/04 10:32:50 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6AFD14DC-AF1A-4339-9116-73A1C63A0040}
[2012/06/04 10:29:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1F8BFD8D-210F-46F9-8A84-AEF42DF742B0}
[2012/06/01 18:30:50 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{D0DD89AB-180F-4232-946C-EBD9F1BACC11}
[2012/06/01 18:30:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2C74AB52-7EF0-4A6F-B47F-2E4BEC4552AB}
[2012/06/01 16:52:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E7DB847E-633D-440C-AFB6-C1E64F8455EC}
[2012/06/01 16:52:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{39D4D07A-B860-4324-8C6D-A578CA4D7344}
[2012/06/01 12:11:11 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A23EE4C8-826A-4C3E-B4B6-5CDEEC844C1F}
[2012/06/01 11:37:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\Desktop\RK_Quarantine
[2012/06/01 02:03:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{061C42F6-9AFF-4BBA-B18D-B7E79E32B930}
[2012/05/31 14:04:10 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{7C1FD27D-7264-4FF5-944D-C615C0AEA9C0}
[2012/05/30 16:56:34 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{50E84866-183C-4E54-881B-FE02571BD186}
[2012/05/30 16:56:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{51317D91-C528-4ACA-B04E-F7B83DCB9063}
[2012/05/30 15:50:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{75D9B3DD-44EB-4EB4-82D6-D60391BDFF46}
[2012/05/30 15:47:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C159EFD2-8CFC-4566-B2CE-E1663D3A41B3}
[2012/05/27 07:04:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{8B823AA3-8E89-4C7F-B181-CE0A44DBC9B0}
[2012/05/27 07:04:18 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{4170D518-9C81-4F8C-AF60-B3F37FD49E1F}
[2012/05/27 01:39:54 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E9CA04B9-333B-4F0E-A2B0-F5E3F17809B9}
[2012/05/26 13:38:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{5176AB99-58E3-4EE0-A26C-108E2A45BB2C}
[2012/05/26 07:53:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2BFB832B-0C21-49FE-96B4-29CA0F6988F7}
[2012/05/26 07:53:29 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A3304B73-150B-47D4-B66B-7AFEE8156935}
[2012/05/26 00:06:23 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A9DBAABD-062C-418E-9B69-C3A4135A8BD0}
[2012/05/25 22:25:15 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E5DD5ADA-0257-4432-B05B-E248B7C6152B}
[2012/05/25 22:12:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B5B734ED-C15F-4CAE-84C6-DE1AB1069792}
[2012/05/25 20:12:24 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F3C6BAAF-21C8-4414-AD0A-A0751164E176}
[2012/05/25 20:08:33 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{200275C1-88B2-4DAD-9A1B-B21729228AAA}
[2012/05/25 20:05:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1C00F4EC-352A-4AAA-B57D-81016AC26F44}
[2012/05/25 20:05:06 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{BC88FEE7-1067-48D4-8906-952DD58C7C39}
[2012/05/25 10:06:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{43CE5E8A-DBEE-42C1-A3F5-ABA33729D398}
[2012/05/25 10:06:18 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2F682484-400B-4597-BA57-468C81F39FE5}
[2012/05/25 09:15:28 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{160CD5DB-D2B3-4798-A080-5ABD10AE2266}
[2012/05/22 06:53:55 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3844A96E-7D9F-4B73-AAD8-42BBF85BA123}
[2012/05/22 06:53:40 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3F6AE4F3-0E67-414E-B2A2-87E6ACE3626B}
[2012/05/21 22:33:59 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{774E647F-1A63-4F8F-ACAB-1B37CF305C1A}
[2012/05/21 22:33:07 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{9986C095-BB28-41BA-9547-7B410BD85E04}
[2012/05/21 09:51:41 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{2498D373-4192-43DE-A064-04068EDFAF65}
[2012/05/21 09:51:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{97876CEA-6FD6-428C-952A-20D969D760C7}
[2012/05/20 16:32:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3562BC8B-D005-4DD2-9F78-D704FB24FE65}
[2012/05/20 16:32:07 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{E88E2F5A-7F61-4B0D-9A46-390C481BA72E}
[2012/05/20 16:31:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DE8E7E24-DCB0-431C-9F71-B41BECC277ED}
[2012/05/20 16:31:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3A23A179-12FA-4CBC-BE7D-E973178C9990}
[2012/05/20 11:13:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C013D715-B4C5-4F41-B274-457047DEDD71}
[2012/05/20 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F8320DB9-FF5F-4C17-81A0-BDCA6E4F25B5}
[2012/05/19 23:13:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{F111A19F-6053-4675-B647-E44F279F9684}
[2012/05/19 23:12:45 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{FE89C885-9487-4171-8BE3-AF0A20D16B1B}
[2012/05/19 11:13:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{47CC1A4F-A166-41B4-B6F9-BDD344E94061}
[2012/05/19 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{489A7546-C6DA-47D9-968F-8D21AD558299}
[2012/05/18 23:13:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0593EE8B-88E5-4B19-9D26-1AB238FC44A0}
[2012/05/18 23:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A859FE7F-50FA-494F-B0E7-1108582045D8}
[2012/05/18 11:13:27 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B620A2F9-1710-4C81-AD73-1FDC6CC8B5D4}
[2012/05/18 11:12:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{38AD6D95-2E2C-475C-8888-2B9367B9443F}
[2012/05/18 09:34:43 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{8F633B69-06A7-4CD1-A26A-C2E5C2E15A81}
[2012/05/18 09:33:52 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A334C92F-6631-40DF-8841-23AA3D2D82BB}
[2012/05/17 21:34:43 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{666C6301-B359-4B5B-A9CF-94C30F44A299}
[2012/05/17 21:33:52 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{027D5A92-4986-4060-96E9-FC3E6061A30F}
[2012/05/17 09:33:57 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B4145141-0BCD-4349-BB24-F650D7EBB2C8}
[2012/05/16 09:41:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1B09BA43-FEFE-4793-945C-550642F9FB95}
[2012/05/16 09:40:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C6AA0A60-F765-499F-AF1C-32BC573EA10E}
[2012/05/15 20:12:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6FA76C71-A7DD-45F2-8C2D-AA8A7C559384}
[2012/05/15 20:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{FE184B78-AD5C-4246-A7E8-62717F9FCA44}
[2012/05/15 08:12:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{99C6CF3F-DE83-4EBC-BCBD-62BB0FEDD0C1}
[2012/05/15 08:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DF2CE7FC-8FDD-41CE-BAFD-0E05568F7902}
[2012/05/14 20:12:19 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1EA5962F-4D84-476B-AB09-3433E286A727}
[2012/05/14 20:11:22 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6FFD014B-D366-42C3-9E64-0FE2F47F3803}
[2012/05/14 08:11:32 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A419C3BD-7C7F-44F0-8188-209BCFEC124E}
[2012/05/14 08:11:21 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{69097631-E3CA-447E-9C24-5DBF11160409}
[2012/05/14 08:05:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{1A9B6A52-0850-4947-B1BB-9FD1C4E9447B}
[2012/05/14 08:05:38 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{3ACE69E9-A574-49C2-A1E0-467598429C30}
[2012/05/13 14:20:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A8190B3C-8D1D-4438-B83F-EC00283C4CDE}
[2012/05/13 14:20:25 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{C57D632B-E86D-4A62-AB62-05D1A1610A22}
[2012/05/13 14:20:16 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{CF050681-5AA7-4FA1-8928-8D3293B20F1D}
[2012/05/13 14:20:02 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{71351F7D-9F7C-4EAD-B058-D58261188138}
[2012/05/13 10:29:30 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{AD4057C1-3E0B-41A2-AEA1-8E44CB01D5F7}
[2012/05/13 10:28:44 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{002559D8-4FD5-4BDF-9918-E6260F134B60}
[2012/05/12 16:18:35 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A8CFA08C-D9C9-4FC8-A443-79274B4A5E56}
[2012/05/12 16:18:13 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{972E6472-3703-465C-9294-7B1D5AB16D76}
[2012/05/12 15:39:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A696D558-2401-4B6C-9FB5-6D583169CF5C}
[2012/05/12 15:39:34 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{DF60E1DC-F2D8-4EB0-A4A0-CE5631EC69FC}
[2012/05/12 08:25:17 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6844EB38-61CD-40E5-87F5-C081C1BA3703}
[2012/05/12 08:24:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{90C32CDE-0D4B-48F4-BF13-7B7AED600644}
[2012/05/11 14:34:33 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0D820A40-5C5C-484D-BF71-A29AF8A90FBD}
[2012/05/11 14:33:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{6AFDCD88-07C8-4415-9F88-CCF35228BAF2}
[2012/05/10 09:33:53 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B8FDD39C-D7E0-4CBE-AB88-403EA2450B80}
[2012/05/10 09:33:02 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{BCBBDF60-C55E-4CB2-A82F-003C862EA2E4}
[2012/05/09 15:29:51 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{0015320D-97E0-422D-A049-D37D7EEA8627}
[2012/05/09 15:29:36 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{B742AFFA-83FC-47D1-BC03-ADAA52FF8FC4}
[2012/05/09 12:53:10 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{EDF39E13-1442-4316-B219-1C91857672F6}
[2012/05/09 12:52:56 | 000,000,000 | ---D | C] -- C:\Users\SYLVIE\AppData\Local\{A9688FDD-EF54-4064-8B5B-3B3E0A006792}
[1 C:\Users\SYLVIE\Documents\*.tmp files -> C:\Users\SYLVIE\Documents\*.tmp -> ]
[2012/05/27 02:46:44 | 000,052,224 | ---- | M] () -- C:\Users\SYLVIE\3cel21f1px.exe
[2012/06/01 12:50:06 | 000,052,224 | ---- | C] () -- C:\Users\SYLVIE\3cel21f1px.decrypted01.exe
:files
ipconfig /flushdns /c
C:\Users\SYLVIE\3cel21f1px.exe
C:\Users\SYLVIE\3cel21f1px.decrypted01.exe
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
--- Fin du code ---
[*] Colle l'intégralité du code dans le cadre Personnalisation
[*] Clique ensuite sur le bouton Correction
[*] L'outil lance la suppression, ne pas l'interrompre
[*] Si l'outil te demande de redémarrer le PC, tu acceptes
[*] Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure[/list]
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
@+
beethoven:
J'ai utilisé security Essentials de Microsoft et ADW Cleaner
Je peux utiliser Malware bytes si vousle désirez.
Enfin, j'ai fait les changements demandés et voici les log :
Oui, j'ai des fichiers sains et intacts pour la restauration.
beethoven:
Voici le log, et j'ai utilisé matsnudecrypt pour le déchiffrage, mais sans succés.
Merci de votre aide.
Navigation
[#] Page suivante
Sortir du mode mobile