tout mes fichiers locked! :'( help Résolu/Fermé

Question

Bonjour, 
mon antivirus a detecté deux virus trijan: jjs/BlacoleRef.G   et   Exploit: Win32/Pdfjsc.ABG lors d'un telechargement, menace grave j'ai donc accepté la protection proposée et suspendu le telechargement. mais voilà depuis tout les fichiers de mon lecteur E (celui de destination et quelques uns sur C ont étés renomés par locked-nomdu fichier.son extention. extension fantaisie! genre fraps.exe est devenu locked-fraps.exe.rwqs et parei avec les *.dll, *.txt et tout les autres.
et bien sur je ne peux plus les ouvrir et si j'essaye de les renomer comme avant cela ne marche pas non plus.
j'avoue que je suis perdue et franchement angoissée là. quelqu'un peut-il m'aider?
merci d'avance





Configuration: Windows 7 / Firefox 5.0

Utilisateur anonyme · Accepted Answer

patiance, on cherche toujour pour décrypter les fichiers  :D

Utilisateur anonyme · Answer

bonjour,

ton antivirus, à ta demande a bloqué tes fichiers !

mimme · Answer

bonjour electricien, j'ai bien vu ce que tu me dis que le probleme est apparu apres que j'ai autorisé l'antivirus à supprimer le fichier dangeureux, mais voilà, mon soucis c'est que je na sais pas comment revenir à la situation precedente. mon antivirus c'est microsoft essential et quand je l'ouvre il n'y a nulle part un moyen de debloquer ces fichiers. j'ai telechargé unlocker mais il me dit que les fichiers ne sont pas bloqués et j'ai aussi tenté une restauration systeme mais ca ne change rein. je sais bien que je suis pas trop douée, c'est pour ça que j'aurai bien voulu que quelq'un m'aide. merci

Utilisateur anonyme · Answer

je ne te promets rien, car si l'antivirus a changé les nom, on ne peut rien faire à part la restauration système !


par contre, il n'a fait que changer les nom !


* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

mimme · Answer

j'ai fait comme tu as dit, hier j'ai essayer de renomer un fichier pour voir mais une fois renommé comme avant il n'a pas fonctionné pour autant :( *

http://cjoint.com/?3DhkJyogpVd

merci en tout cas de prendre un peu de temps pour m'aider :)

Utilisateur anonyme · Answer

pas cool !


ton pc est plein d'adwares déjà !


?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

https://toolslib.net


Lance le, 
clique sur Supprimer et poste son rapport.

mimme · Answer

tu veux que je relance ZHPDiag? pour une nouvelle analyse?

Utilisateur anonyme · Answer

relance ADWC, clique sur désinstaller,


*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

mimme · Answer

rhaaaaa, tous les fichiers de mon disque externe aussi!!


nouveau rapport zhp diag

http://cjoint.com/?BDhlqeZXPzW

mimme · Answer

j'ai eu hidden file, service akamai suspicious object, medium reisk, j'ai laissé skip. 
j'ai fait continue mais j'ai pas eu reboot now, alors j'ai fait un redemarrer manuel.
j'ai relancé 

https://www.cjoint.com/?3DhlHJYjv3x

Utilisateur anonyme · Answer

ok,

*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido)

	http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

	ou ici :

	http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/19-usbfix



/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

mimme · Answer

voilà :)

https://www.cjoint.com/?3DhmHJ6jxIa

merci encore

Utilisateur anonyme · Answer

:D

relance usbfix, brabche tes supports externes sur le pc,

clique sur Suppression, poste son rapport  :D

zoult · Answer

j'ai le même souci ! j'ai nettoyé tout l'ordi mais tousmes fichiers sont lockés !!!!
renommer ne fonctionne pas
quelqu'un a t-il la solution ??

mimme · Answer

:)

https://www.cjoint.com/?BDhogSCNxUn

merci pour ton temps

Utilisateur anonyme · Answer

redémarre ton pc si ceci n'est pas déjà fait,

regarde voir si tu peux remplacer le nomdes fichiers !

empbm · Answer

Bonjour,  

J'ai le mëme problème sur les fichiers de mon disque dur pc. 

J'ai essayé de faire toutes les étapes décrites mais TDSSKiller ne trouve rien. 

Mes fichiers sont toujours sous le format locked- ..... 

Avez vous trouvé une solution ? 

Configuration: Windows 7 / Internet Explorer 9.0

mimme · Answer

ben c'est comme tout à l'heure, si je fais un clique droit, renomer, je renome en enlevant le prefixe et l'extension mais le fichiers est illisible :(

Utilisateur anonyme · Answer

on va tenter une autre solution, à voir si ça fonctionne et les fichiers seront restaurés depuis la sauvegarde du système !


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 



	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

mimme · Answer

hello :)
bon alors voilà le rapport, sinon maintnant quand je veux ouvrir un executable j'ai:

tetative d'operation non autorisés sur une clé de Registre marquée pour suppression

je cloque sur  ok (pas le choix) et je dois l'ouvrir en tant qu'admin 

sinon j'ai à nouveau tenté le renomage, fichiers toujours inutilisable...je commence à flipper grave  (enfin je flippe dejà depuis ce matin mais là j'angoisse carrement :( )

https://www.cjoint.com/?3DhoWw6AG3W

Utilisateur anonyme · Answer

redémarre ton pc pour voir s'il  y aura des changements  !

mimme · Answer

:(  non c'est pareil 
je renomme et les fichiers sont toujours illisibles

Utilisateur anonyme · Answer

tu peux me donner le nom et l'endroit ou tu as télécharggé le fichier pour récuperer l'infection et faire des testes pour trouver une solution?

autrement le sera à réinstaller entièrement  !

mimme · Answer

je t'ai mp

reinstaller ça veut dire que je vais perdre tous mes fichiers :(  ?

Utilisateur anonyme · Answer

pour le moment, pas de solutions disponible, il faut que je regarde ton lien pour voir ce que fait l'infection et qu'on trouve une solution  :D


Merci pour le lien  :D

mimme · Answer

ah ben non, franchement merci à toi..tout ce temps que tu donne pour aider c'est vraiment sympa..
je vais faire comme t'as dis et je respire à fond...;)

Utilisateur anonyme · Answer

plus on sait là dessus, mieux on peut vous aider  :D

casse le lien et colel le lici comme Ceci :

Hxxp:	rucmuche.com

Memed69 · Answer

Bonjour, depuis hier soir j'ai le même souci que vous. En allant sur un site de p2p, j'ai chopé cette m**** qui a modifié énormément de noms de fichiers qui même une fois renommés, ne sont plus lisibles !

Quelqu'un a t il une solution ?? 

Cela m'éviterait de devoir formater :)

Merci

maturin 39 · Answer

http://rapidgator.net/file/2496200/L.l.2011.FRENCH.BRRiP.XviD-AUTOPSiE.avi.htmln 

je pense que c'est ça ! ça nous est tous arrivé hier!!!! plusieurs personnes sur d'autres forum ont le meme pb !

Utilisateur anonyme · Answer

merci pour les liens  :D

on est dessus pour trouver une solution !

mais rien dans l'immediat :(

mimme · Answer

salut mathurin, tu peux me dire dans quelle section t'as recup ce lien sur DP s'il te plait?

merci

Utilisateur anonyme · Answer

@ yanos :

tu l'as eu sur quel lien ou site ?



pour le lien du film, rien !


pour le lien de Sony, juste un crack !


pour le moment, rien a droppé l'infection !




si on trouve l'infection, on trouve une solution, donc n'hésitez pas de casser le lien du téléchargement ou le fichier pour le mettre ici pour le teste  :D




Merci pour ceux qui ont ce problème  :D

en attendant, bon courage à tous :D

Memed69 · Answer

Moi c'était ici : 

hxxp:\www.fs-exclue.com/intouchables-french-dvdrip-fileserve-ddl/

Désolé j'avais pas pigé qu'il fallait mettre un lien non valide pour éviter que d'autres n'aillent s'infecter dessus :)

Utilisateur anonyme · Answer

du nouveau  :D 

vu qu'on n'arrive pas à chopper l'infection via les liens que vous avez getillement laissés, je vais vous demander de passer ceci sur vos pc et me faire parvenir le rapport via Cjoint pour qu'on puisse voir de quel lien viendrait exactement l'infection : 


http://ww38.toofiles.com/fr/oip/documents/exe/dispdns.html 



* Enregistre le rapport sur ton Bureau  

Héberge le rapport sur Cjoint, puis copie/colle le lien fourni dans vos prochaines réponse sur le forum : 


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers 


Merci 



<gras>O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

yanos · Answer

je l'ai choppé sur un site de streaming (je ne me rappelle plus du site précis car j'ai cherché un film +streaming et au premier clic j'ai eu le message fake de gendarmerie, j'ai aussitot mis Roguekiller et un scan antimalware, ça a fait partir le verre mais mes fichiers sont tous LOCKED et une extension bizarre, j'ai tout essayé comme les autres menbres du forum mais rien a faire les fichiers toujours illissibles..je vais essayer de booster sous ubuntu... je vous tiens au courant

mimme · Answer

voilà 
 https://www.cjoint.com/?3Dhr2Rvh5YU

Ricocotam · Answer

Meme problème, j'ai choper sa hier surement sur cacaoweb pour regarder une série en streaming...

Memed69 · Answer

Voici le rapport que ça m'a créé.

Il me semble avoir vu quelques similitudes avec le rapport précédemment posté du genre avec une adresse "journal des femmes"...


Enfin bon, voici le mien :

https://www.cjoint.com/?BDht5SKOMcK

Cordialement

mimme · Answer

ben meme si ça prends du temps vu dans l'etat ou je suis à l'idée de perdre 4ans de photos de mon travail , perso ça me derrange pas, dejà je te suis reconnaissante d'essayer de m'aider tu peux pas savoir...

Max weight · Answer

http://cjoint.com/?BDhuRvf6RGT

Et hop, voilà çui du Max, qui commence à se dire qu'il va peut-être sauver ses fichiers... Merci les gars, la résurrection est proche, pas oublier que c'est Pâques, quand même....

A+

Max

Devolanges · Answer

Bonsoir,
Même problème. J'ai téléchargé un film et depuis, j'ai le même soucis. Si je comprends bien, il serai utile de chercher le lien qui a ramené ça dans mon PC?

Devolanges · Answer

mon PC a commencé a beuguer avec le message fake de la gendarmerie aussi puis en l'ayant supprimé, mes fichiers etaient "locked" aussi.

maturin 39 · Answer

http://cjoint.com/?BDhwFcOoIFP 

pour electricien 69 : voici mon rapport

Utilisateur anonyme · Answer

merci, c'est remonté au staff, on cherche toujours pour voir la source, mais pas d'infection sur les sites visités pour le moment  !!!


on continuedans ce sens et on verra ce qu'on trouve  :D

AMOK! · Answer

sur les 4 rapports postés 

3/4 ont : lejournaldesfemmes et 4/4 : l'internaute  

un rapport ?

juju666 · Answer

certainement oui.

comme je disais ailleurs, surement une régie pub attaquée et qui distribue le malware en question.

zoph · Answer

même problème ici, tous nos fichiers sont renommés et inutilisables.

Suite au malware gendarmerie, qui a été éffacé par malwarebytes.

Need help !

juju666 · Answer

Y'a pas de solution encore pour le moment !
Par contre on veut bien ta 40aine de malwarebytes et le rapport, si on pouvait étudier le malware ça serait cool !

Devolanges · Answer

hâte qu'on trouve une solution =/

Utilisateur anonyme · Answer

bonjour,

après les tests sur les sites visités, toujours pas de traces d'infections  :(

si on ne trouve pas l'infection, on ne pourra pas trouver de solutions !

on continue la recherche :D

mais au cas ou, n'oubliez pas de laisser le lien, cassé, sur le site pour qu'on le trouve facilement !

il y en a des sites à visiter  :P

Memed69 · Answer

Voici le lien direct que j'avais utilisé pour télécharger le film intouchable :

hxxp:\bzlink.us/920bib2f0938

Je suis sur et certain que c'est par ce biais que j'ai téléchargé le film et à mon avis l'infection vient de là pour ma part car mis à part ce site visité, je ne suis allé que sur le site de lequipe.fr !

En attendant, encore merci pour votre patience et pour toute votre aide !!

Utilisateur anonyme · Answer

on va regarder ça, merci,   

fais affichier les fichiers cachés sur le pc,   

regarde voir si tu trouves un fichier comem ceci :   

C:\Users	on nom de session\AppData\Roaming\Kcmywypf\F69ABBC950B5E57E14B8.exe   

je pense que c'est le dropper, il me le faut pour les testes  :D   





O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø    

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

mimme · Answer

salut/re

je suis là si jamais je peux te fournir autre chose mais je suis à 99% sur que ça vient du fichier de vegas c'est le seul truc que je faisais à ce moment là genre 3h du mat!

merci encore pour tout le taff *croise les doigts*

Utilisateur anonyme · Answer

là, j'ai u  n cas tous frais qui l'a choppé sur le sire d'Allociné !

c'est un truc tournant, donc, comme une régie de pub !



mais le problème reste à trouver une copie de l'infection  !!!!

mimme · Answer

j'ai un fichier C:\Users	on nom de session\AppData\Roaming\Cvqmscg\3B5E5FCE58D3540D17F3.exe

mais je sais pas comment te le faire passer cijoint n'en veux pas

Utilisateur anonyme · Answer

envoie le directement sur ce site :

http://upload.malekal.com/

mimme · Answer

voilà c'est fait

Utilisateur anonyme · Answer

ok,

merci, je vais voir avec malekale  :D

juju666 · Answer

merci à vous, on a la vilaine bèbète, on regarde à ça ;)

Utilisateur anonyme · Answer

bonne nouvelle, grace à vous, on le tiens  :D

il faut juste le temps de l'étudier pour voir comment remettre les fichiers à leur état initiale  :D

patiance, on est là dessus :D

Merci à toutes et à tous  :D

mimme · Answer

omg!!  :D    *reprends espoir*

merci :)))))

Utilisateur anonyme · Answer

ta variante a fait fumer mon pc de teste !

il est HS, je le réinstalle  :D

mais on est dessus, si progression voir même correction à apporter, on vous tiens au just  :D

juju666 · Answer

le malware a pété toute ma virtual machine ^^
tous mes fichiers perso sont bien passés en lockednom_du_fichier.aléatoire
j'ai renommé des .txt sous cd live et je constate de retour sous ma virtual machine que les .txt sont utilisable, mais l'encodage des caractères a changé.
les .bmp , .jpeg etc sont inutilisables pour le moment :/

j'ai lancé MBAM pour voir ... sans espoir ... 
on continue les recherches !

juju666 · Answer

Re,

Pour les .ZIP et les .EXE qui ont été renommés en locked- 

Pouvez-vous essayer de les renommer normalement (au moins l'extension) pour voir si ça refonctionne ?

Chez moi oui !

Merci ! ;)

mimme · Answer

nan, reponse: "la version de ce fichier est incompatible avec la version de Windows que vousutilisez. consultez les informations système de l'ordinateur pour savoir si vous avec besoin d'ue version x86(32bits) oux64(64bits) puis contactez l'editeur du logiciel." alors qu'il est recent et fonctionnait très bien...:(

Memed69 · Answer

Pour moi les fichiers .EXE que j'ai renommé marchent de nouveau mais par contre mes archives .ZIP sont corrompues ! Bon en même temps j'en ai très peu et généralement ce sont des ZIP d'installation de logiciels que je peux réinstaller mais ce qui me fait peur c'est quand je vois l'étendu des fichiers .MP3 .MP4 .AVI et toutes les PHOTOS qui sont tjr irrécupérables :'(

En tout cas ça avance et ce, grâce à vous ! Donc Merci !!!

juju666 · Answer

bon même avec un dr web live cd ça cure pas les fichiers locked ...
apparemment selon les versions de windaube ça drop aussi le rootkit zero access .... méfiance.

g3n-h@ckm@n · Answer

salut qui c'est qui peut m'envoyer un fichier Locked , le virus n'agit pas dans ma VM.....j'ai cliqué 20 fois dessus j'en ai pas eu un de crypté !! :(

mimme · Answer

salut, voilà un fichier locked,

 https://www.cjoint.com/?BDjeFQ5VlkI

je ne sais pas si c'est ce que tu veux exactement.

mimme · Answer

en meme temps que j'ebergeait le fichier mon antivirus vient de me sortir un message d'alerte:
disant qu'il avait detecté 1 menace potentielle....

element detecté: Trojan:Win32/Matsnu

g3n-h@ckm@n · Answer

t'en aurais pas un au format pdf qui a été crypté ??

mimme · Answer

nan desolée,
apparement les pdf sont intacts !
 j'ai des odt des jpg, des txt, des exe , des htm, des dll, des wmv, des avi, des bmp, des png, des flv, des mp4, des mp3, des jpg..

:)

mimme · Answer

castanica, je sais ce que c'est , c'est un screen d'un perso sur un jeu..mais la ligne d'en dessous ça corespond au trojan/win32/matsun que mon antivirus a detecté, qu'est-ce que je fais je l'autorise à supprimer ou je met en quarantaine ou j'autorise?

après je desinstalle microsoft essential et je prends kaspersky?

merci encore de tout ce temps pour m'aider/nous aider :)

g3n-h@ckm@n · Answer

supprime rien pour l instant tant qu'on a rien trouvé....si besoin.......

g3n-h@ckm@n · Answer

pour voir des fois que...

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape castanica

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

mimme · Answer

voilà :  

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 07:07:09 le 09/04/2012
4. 
5. Valeur(s) recherchée(s):
6. castanica
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. 
15. "C:\Program Files (x86)\TERA\Client\S1Game\CookedPC\Art_Data\Maps\AEN\AEN_B_Castanica.gmp" [ ARCHIVE | 19555 Ko ]
16. TC: 13/02/2012,22:46:22 | TM: 13/02/2012,09:52:00 | DA: 13/02/2012,09:52:00
17. 
18. 
19. =========================
20. 
21. 
22. "C:\Program Files (x86)\Tera NorthAmerica\Client\S1Game\CookedPC\Art_Data\Maps\AEN\AEN_B_Castanica.gmp" [ ARCHIVE | 19555 Ko ]
23. TC: 08/04/2012,05:51:01 | TM: 05/02/2012,19:38:00 | DA: 05/02/2012,19:38:00
24. 
25. 
26. =========================
27. 
28. 
29. "C:\Users\PC\AppData\Roaming\Microsoft\Windows\Recent\locked-TERA_entrée sud de Castanica.png.efqr.lnk" [ ARCHIVE | 726 o ]
30. TC: 09/04/2012,04:31:23 | TM: 09/04/2012,04:31:23 | DA: 09/04/2012,04:31:23
31. 
32. 
33. =========================
34. 
35. 
36. "E:\fraps\films convertis\locked-TERA Castanica.wmv.dnju" [ ARCHIVE | 85364 Ko ]
37. TC: 15/03/2012,20:40:39 | TM: 07/04/2012,01:44:24 | DA: 15/03/2012,20:40:39
38. 
39. 
40. =========================
41. 
42. 
43. "E:	era\cartes\locked-TERA_castanica.png.hxpu" [ ARCHIVE | 274 Ko ]
44. TC: 16/03/2012,14:32:45 | TM: 07/04/2012,01:44:38 | DA: 16/03/2012,14:32:47
45. 
46. 
47. =========================
48. 
49. 
50. "E:	era\screens\locked-TERA_entrée sud de Castanica.png.efqr" [ ARCHIVE | 1330 Ko ]
51. TC: 15/03/2012,20:06:27 | TM: 07/04/2012,01:44:43 | DA: 15/03/2012,20:06:29
52. 
53. 
54. =========================
55. 
56. 
57. "E:\TeraNAmerica\Tera\Client\S1Game\CookedPC\Art_Data\Maps\AEN\AEN_B_Castanica.gmp" [ ARCHIVE | 19555 Ko ]
58. TC: 13/02/2012,09:52:00 | TM: 13/02/2012,09:52:00 | DA: 13/02/2012,09:52:00
59. 
60. 
61. =========================
62. 
63. 
64. 
65. ====== Entrée(s) du registre ======
66. 
67. 
68. [HKU\S-1-5-21-2305453028-3654945696-2991555616-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
69. "104"="locked-TERA_entrée sud de Castanica.png.efqr" (REG_BINARY)
70. 
71. [HKU\S-1-5-21-2305453028-3654945696-2991555616-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.efqr]
72. "0"="locked-TERA_entrée sud de Castanica.png.efqr" (REG_BINARY)
73. 
74. =========================
75. 
76. Fin à: 07:11:13 le 09/04/2012
77. 697190 Éléments analysés
78. 
79. =========================
80. E.O.F

mimme · Answer

castanica c'est aussi le nom da le ville dans le jeu tera

mimme · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 07:35:54 le 09/04/2012
4. 
5. Valeur(s) recherchée(s):
6. .efqr
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. 
11. ====== Fichier(s) ======
12. 
13. 
14. "C:\Users\PC\AppData\Roaming\Microsoft\Windows\Recent\locked-TERA_entrée sud de Castanica.png.efqr.lnk" [ ARCHIVE | 726 o ]
15. TC: 09/04/2012,04:31:23 | TM: 09/04/2012,04:31:23 | DA: 09/04/2012,04:31:23
16. 
17. 
18. =========================
19. 
20. 
21. "E:	era\screens\locked-TERA_entrée sud de Castanica.png.efqr" [ ARCHIVE | 1330 Ko ]
22. TC: 15/03/2012,20:06:27 | TM: 07/04/2012,01:44:43 | DA: 15/03/2012,20:06:29
23. 
24. 
25. =========================
26. 
27. 
28. =========================
29. 
30. Fin à: 07:36:37 le 09/04/2012
31. 326357 Éléments analysés
32. 
33. =========================
34. E.O.F

Utilisateur anonyme · Answer

bonjour, 

comme promis, je vous donne des nouvelles : 

selon le système d'exploitation utilisé, l'infection ne réagit pas pareil, il se peut que sur certaines versions de windows, on puissse rénommer facilement les fichiers .exe et .zip en changeant tout simplement leur nom ! 



pour les autres fichiers, pour le moment, rien, ils sont cryptés ! 


ne les supprimez surtout pas pour le moment, on est toujours là dessus pour trouver une solution, mais certains sont en week end plongé et il est difficile d'avoir tout le monde sous le coude pour remonter un outil  :D 


donc patience  :D 



O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

juju666 · Answer

Ce qui est bizarre c'est que désormais plus personne ne le chope.
Comme si c'était juste une grosse vague de diffusion 1 soir puis plus rien.

Un pote qui analyse du malware a ouvert sa boite de PM, on va avoir des nouvelles bientôt j'espère ;)

S'il trouve une solution ...

A+

Phab846 · Answer

Bonjour à tous,

Tout d'abord merci a tous ceux qui se penchent sur le problème.
J'ai chopé la même M... depuis vendredi.

De mon coté les mp3 re-fonctionnent après suppression de l'extension (aléatoire)
Les PDF, XLS, DOC, JPG, MOV, AVI sont touchés.

Pour les fichiers XLS j'ai pu récupérer que les donnés en utilisant : Ouvrir et réparer.
Mais ca ne suffit pas les donnés toutes seules (Que les chiffres) ne me servent à rien si je ne sais pas de quoi il s'agit.

Je suis sous Windows XP Pro.

juju666 · Answer

on a trouvé l'endroit où il crypte, on regarde pour faire quelque chose ! :)

maturin 39 · Answer

bon moi j'y connais rien. J'ai eu le meme probleme fichier locked, impossible de faire une restauration systeme !
Mais j'ai pu récuperer tout mes fichiers à partir de c: > propriété > version précédente > Boot (du 6.04.12 : juste avant virus) > ouvrir : la j'ai retrouvé tout mes fichiers non "locked" que j'ai pu récuperer sur un disque externe.
Je viens de les remettre sur mon PC et ça fonctionne. 
Je sais pas si j'ai bien fait ou si c'était une connerie mais si ça peut aider certains qui veulent absolument retrouver certains fichiers!!!
En revanche je suis toujours coincé pour réinstaller l'ordi : quand je lance recovery ça dit : image usine introuvable !!!! et j'ai pas (la je crains) de sauvegarde ! que faire ?

g3n-h@ckm@n · Answer

tu te rapelles le crypteur-decrypteur ? que j'avais fait juju ? decryptor ? ben j'ai meme testé avec ca pour en tirer quelque chose :)  

j'au aissi tsté en virant tous les caractères inappropriés mais rien ....^^  

après tentative de decryptage le fichier conserve le meme poids avec un algorythme de :  

RC4  
3DES  
AES128  
AES192  

pour ca le poids tombe à 13 Ko puis 0  

AES256  
DES  
RC2  
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

oui je me rappelle :)

bah qui ne tente rien n'a rien !

Memed69 · Answer

Moi je n'ai plus accès à certains dossiers qui contenaient des fichiers multimédia du genre vidéos, mp3, photos, etc... L'ordi me dit : Accès refusé  !!

J'ai essayé de partager les dossiers en question mais ça ne change rien !

Memed69 · Answer

A l'instant Microsoft Security Essential a détecté un logiciel à risque et je viens de le supprimer. Voici ce que c'était :

file:C:\Users\Lolotte\Desktop\RK_Quarantine\59280A303C304D5841E0.exe.vir


Il me dit que c'était un virus de type : Win32/Matsnu

Est ce que cela a un lien avec l'infection dont on parle ?

zoph · Answer

Je ne pense pas que les fichiers soient cryptés, mais simplement modifiés, soit une partie de l'entête des fichiers, car crypté l'ensemble des documents d'un poste, même les films & co, représenterai une charge CPU immense, et prendrai beaucoup trop de temps. 

L'idéal serait d'ouvrir un fichier "locked" et sont équivalent avant modification (une photo par exemple) et de comparer les différences. 

Si vous avez par exemple déjà uploadé cette photo sur un site internet, il sera facile de comparer les deux versions. 

Victor

juju666 · Answer

Dixit Malekal-Morte :

Vous n'arriverez pas à rétablir les fichiers.
Les 1000 octets sont chiffrés/cryptés, il faut récupérer la clef qui, paraît-il est différent pour chaque fichier, pour rétablir les 1000 premiers octets.

Dans le cas d'un MP3/AVI, ça doit péter les premières secondes mais la suite peux être lisible.
Dans le cas d'un autre format et notamment les executables, le fichier devient inutilisable.

Un gars de Kaspersky va regarder demain.

zoph · Answer

Pour information : http://zataz.com/alerte-virus/21976/Virus-ranconneur-augmentation-des-attaques-en-France.html

g3n-h@ckm@n · Answer

lol ^^ 

Le virus bloque toutes activités du PC (Redémarrage en mode sans échec, explorer.exe, Gestionnaires des Taches...). 

et plus loin : 

En cas de "clic" inapproprié, une restauration du système s'impose. Pour cela, passez par le biais de l'invite de commande en mode sans échec. Il faut ensuite scanner son Disque Dur. 

mouhahhahaha ils ont pas joué avec les droppers eux ^^ 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

sont loins de la réalité 

zataz ça sux :)))

Utilisateur anonyme · Answer

moué !!!

JPP · Answer

Bonjour,

Une amie a eu droit aussi au virus vendredi dernier, sur un site de streaming, pas de pb pour les *.exe par contre tous les documents sont cryptés. En fouinant un peu, j'ai vu que ce type d'attaque n'était pas nouveau et qu'un virus avait été identifié (Virus.Win32.Gpcode.ai). J'ai trouvé ça : 
http://www.viruslist.com/fr/viruses/encyclopedia?virusid=164339 si cela peut aider
En attendant merci pour le travail que vous faites et bon courage

mimme · Answer

ha ben moi mes .exe sont plombés, par contre le download était sur mon disque E et le disque C à été épargné (sauf quelques fichiers) donc dans l"ensemble mon pc fonctionne encore, avec des applications un peu foireuses quand meme et mon disque externe qui était branché à été plombé aussi :( mais là l'ordi m'a proposé une reparation que j'ai accepté et une partie est revenue mais une grosse partie toujours abimée.
merci encore *à les doigts tout tordus à force de les croiser*

JPP · Answer

Re-bonjour,
En continuant à fouiller, j'ai trouvé ça qui correspond bien à l'attaque de vendredi:

http://www.viruslist.com/fr/viruses/encyclopedia?virusid=313444

Le virus agirait donc en copiant les fichiers tout en les cryptant, puis détruirait les originaux. 
Dans ce cas, il serait donc peut être possible de récupérer les fichiers effacés (Le PC infecté n'est pas à la maison donc je ne peux pas tester).
Si non, on est mal!
Bon courage

mimme · Answer

c'est fouttu alors :'( ?

j'ai essayé de lancer ravuva pour voir mais il indique tout les fichiers renomés comme irrecupérable!

qu'est-ce qu'on fait?

marckl · Answer

Quelqu'un a-t-il trouvé des références à ce malware sur d'autres forums US ou autre ?

juju666 · Answer

toujours en cours de recherche et pourtant ça chôme pas dans les labos malwarebytes ...

mimme · Answer

en tout cas merci pour le taff accompli

mimme · Answer

question (peut-etre un peu idiote) est-ce que ça peut avoir une insidence sur les mots de passe divers y compris les services bancaire? les achats ou autre?
merci

juju666 · Answer

je ne pense pas :)

JPP · Answer

Bonsoir, 

Suite au message que j'ai posté hier,  nous avons lancé une récupération des fichiers originaux effacés grâce à "Odboso FileRetrieval". Pour l'instant 12000 fichiers récupérés sous leur forme initiale (lisibles par les différents programmes, windows média etc...) et c'est encore en train de tourner (25000 fichiers cryptés).
Au moins sur le PC sur lequel nous avons travaillé, ça semble marcher.
Bon courage

g3n-h@ckm@n · Answer

à tester..^^

JPP · Answer

Bon, après vérification, tout n'est pas exploitable, seulement environ 1/4 à 1/3 des fichiers sont récupérés....

Utilisateur anonyme · Answer

on revient au point de départ !


 donc pour le moment, on continue la recherche et ça avance, mais à tout petit pas  :(

marckl · Answer

Ça peut peut-être aider certains.
Mon PC est sous Windows 7 64bits. J'ai utilisé la fonction Restaurer les versions précédentes pour récupérer mes fichiers perdus.

Cliquer avec le bouton droit sur un répertoire à récupérer.
Choisir la fonction "Restaurer les versions précédentes".
Sélectionner une date avant l'attaque du malware.
On accède à un répertoire du style \localhost\C$\dossier (?vendredi ?6 ?avril ?2012, ??23:00) 
Copier les fichiers sauvegardés à l'emplacement initial ou un autre dossier de votre choix.

Vive celui qui à installé cette fonction dans Windows 7 !
Je commence aussi à comprendre pourquoi mon disque est presque plein !

Il me reste à vérifier que cette fonction est accessible sur mes disques externes également vérolés, mais j'y crois pas trop.

Utilisateur anonyme · Answer

bonjour à toutes et à tous,

ça avant à tout petit pas, pour les personnes consernées par cette infection, je vous demande de lire ceci :

https://news.drweb.fr/show/?i=616&lng=fr&c=5

Dr WEB propose un service gratuit pour éventuellement récuperer et réparer les fichiers infectés, après analyse (l'inscription est gratuite, reste à voir si la réparation des fichiers y est aussi !)

au cas ou vous engagez la démarche, tenez nous au courant pour savoir si ça fonctionne, de notre côté, on continue à chercher une solution  :D

patience et bon courage  :D

@ ++

dionisys · Answer

J'ai trouvé une solution pour récupérer les fichiers .PDF.
Des logiciels du type "Recovery Toolbox for PDF" (shareware... clé disponible en fouinant sur le net) fonctionnent très bien pour corriger les erreurs insérées par le virus.
Par contre ça peu être très long quand on a beaucoup de fichiers comme moi :(... les fichiers se restaurent un à un manuellement.
(ps:On renomme les fichiers et extensions puis on restaure)

si ça peut aider quelqu'un

florinator · Answer

Bonjour,

Dans ces cas d'infection, les fichiers sont cryptés
Donc on ne renomme ni le fichier ni l'extension ou vous risquez de simplement rendre inutilisable votre fichier

juju666 · Answer

ça n'a rien à voir, c'directement dans les octets que tout est modifié, le nom on s'en fiche.

mimme · Answer

j'ai trouvé ça:

https://www.majorgeeks.com/files/details/dr_web_trojan_encoder_94_decryptor.html

je ne sais pas trop si ça peut etre utile ^^

merci

juju666 · Answer

yes ça y ressemble mais c'pas pour la même infection.

c'plutôt pour celle là : https://forums.commentcamarche.net/forum/affich-24915086-probleme-extention-de-fichier-enciphered

mimme · Answer

merci :)

Utilisateur anonyme · Answer

Bonsoir!
je voulais juste vous souhaiter bonne chance!
je sais que ça peut paraître inutile, mais si vous trouvez ça résoudrais bien des problèmes! 
bref, bon courage!

Big_Whale · Answer

Bonjour ne t'inquiète pas, tout probleme a sa solution 
qu'a tu comme antivirus ?

juju666 · Answer

lol justement pour l'instant on n'a pas de solution .... ^^

g3n-h@ckm@n · Answer

salut à Tous !!

Bonne nouvelle !!

on a trouvé ( Malekal et sa horde) un moyen de remettre les fichiers d'origine

lisez plutot ca :

https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/

g3n-h@ckm@n · Answer

tu ne lis pas.....

juju666 · Answer

et moi je vous demande de vous calmer .... merci !

N'oublions pas que nous sommes bénévoles et qu'on s'est cassé le c... pour vous trouver une solution parce que vous n'entretenez pas votre PC.
C'est comme une voiture, si tu fais pas la vidange d'huile, t'endommage des composants.

T'as pas vérifié s'il y avait une mise à jour Java et en plus t'as été sur des sites douteux (ou de streaming) et voilà tu t'es fait infecter.

Du coup faut pas pleurer après et gueuler sur les bénévoles qui utilisent de leur temps libre pour vous aider !

Utilisateur anonyme · Answer

Bien dit Juju.
Calmez vous et a la place d'emmerder les bénévoles qui bosse la dessus, laissez-les travailler.

Memed69 · Answer

Bonsoir à tous, je viens de lire les posts précédemment rédigés et pour moi la solution apportée à cette adresse ne marche pas :

https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/

Pourtant j'ai essayé avec xorcist, mais aucun fichier n'est détecté. J'ai aussi essayé avec le fix de DrWeb mais pareil. Aucun fichier décrypté...

Je commence à croire qu'il y a trop de variantes de ce virus et qu'il va me falloir tout réinstaller après avoir formaté :(

Tout mes fichiers locked! :'( help

122 réponses

Discussions similaires