Tout mes fichiers locked : soumission Dr Web

1 million de fois merci!!!!!

T peux envoyer le malware sur http://upload.malekal.com stp

C'est fait

Comment je nettoie ? A la main ou avec un soft ?

Merci bcp, c'est bien le même :

http://shelpeek14.com/apd.php?id=4063B68D4B4B414D004B&cmd=lfk&data=3tgxSj2Yo%2BwEbptc7fVok8jkhW4XDyk90XBd

(lfk = lockfile)

Donc il fait son retour.

Je pense que ton sample peux être utile éventuellement ceux qui auront supprime leur malware... on pourra peut-être utilisé le tiens.
J'espère qu'il ne faut pas avoir le serveur WEB malicieux online (car je crois que c'est lui qui génère la clef) :/

J'espere aussi que ça pourra servir !!! Pour info je dois pouvoir retrouver le site qui m'a fait cette misere... Deja je le sentais pas trop ce site et mon gros Ventirad s'est mis à pulsé ! Je me suis dit ouille ! Mais bon je pensais qu'avec Seven on etait tranquil... Mais j'etais sur IE, pour une fois... Donc Terminé IE sauf en interne !

Je viens de lancer la "correction" Il a bien nettoyé ce qu'avait detecté MalwareBytes

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4176459343-1557760720-2181383403-500\Software\Microsoft\Windows\CurrentVersion\Run\\A8474B22 deleted successfully.
C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe moved successfully.
File C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe not found.
C:\Windows\SysWOW64\winsh325 moved successfully.
C:\Windows\SysWOW64\winsh324 moved successfully.
C:\Windows\SysWOW64\winsh323 moved successfully.
C:\Windows\SysWOW64\winsh322 moved successfully.
C:\Windows\SysWOW64\winsh321 moved successfully.
C:\Windows\SysWOW64\winsh320 moved successfully.
========== FILES ==========
C:\Users\Administrateur\AppData\Roaming\Gigt folder moved successfully.

OTL by OldTimer - Version 3.2.42.2 log created on 04302012_143256

Je vais redemarrer ...

Tu peux me donner le nom de ton soft qui permet de blocker en temps réel les modifs en BDR ?

tu parles avec les popups vertes sur les captures de mon site ?
comme là https://www.malekal.com/wp-content/uploads/clicksor_malvertising5.png ?

C'est tout est ok !! Oui celui la, il me plait bien ;)

SInon le programme c'est System Safety Monitor, mais il n'est plus édité.
Il doit marcher que sur XP et encore moins sur 64 bits.

C'est un IDS, y a des équivalent, Online Armor Firewall par exemple.
Comodo fait un peu pareil.

Mais là ton prb est que tu as des programmes non à jour. qui permettent l'infection de ton PC.

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

Je sais c'est pas bien. J'ai essayé de retrouver le malware avec la restauration de versions précédentes de Windows, avec undelete ntfs et avec des programmes de récupération des fichiers mais sans succès.
Le programme de Kaspersky ne reconnait pas mes fichiers comme étant cryptés. (Can't init decryptor on file)

Oui.
locked-nomdufichier.extension4lettres
ex :
locked-canta.jpg.cflu

Je suis désolé mais je ne peux rien pour toi.
D'autant plus si tu as pas le malware.

Tu viens de le chopper ou ça fait plusieurs semaines.

C'était le 9 avril

Et c'est bien parce que j'ai effacé mon fichier que je demande que si quelqu'un qui a également été touché par ce virus qui crypte et renomme les fichiers en locked- et qui a gardé le fichier du virus pouvait le soumettre à DrWeb. Il me semble que mimme est dans ce cas, mais il y a peut être d'autres personnes concernées.

Bonjour tout le monde, je viens d'etre touché par le virus de la gendarmerie mais la derniere version donc qui rajoute l'encodage des fichiers des lecteurs du pc. Ces fichiers ont pour nom "locked-le nom du fichier.xxx.4 lettres". Etand donné que tout un lecteur avec mes photos de vacances ont été encodé, je suis tres tres chaud pour faire avancer le probleme ! J'ai juste redemarré le pc en mode sans echec avec reseau. MalwaresBytes à trouvé un truc sympa plus une clef. En ce moment DrWebCurit scan le pc... Bref c'est pas cool ! La seule chose super cool c'est que j'ai deux fichiers identiques dont un encodé justement ;) Je vais donc soumettre à DrWeb une petite archive, de l'exe qu'a trouvé malwarebytes ou je l'espere de Drweb ainsi que ces deux fichiers. Mais si vous avez trouvé d'autre site d'antivirus qui peuvent trouver le decrypteur je suis preneur !! Et j'acheterais la version payante du site qui le trouve ;)

Bonjour,

Voici le lien en question suite au rapport http://pjjoint.malekal.com/files.php?id=20120510_u13l13l10p7r6

Je suis une vraie "quiche" sur la question, quelqu'un peut-il m'aider concernant la procédure à suivre?

Merci

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

]:OTL
F3:[b]64bit:[/b] - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()

* redemarre le pc sous windows et poste le rapport ici

~~

t'as installé pas mal de m*rdes.
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.


Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/


Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle :
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Bonsoir !

Voici le rapport:

Error: Unable to interpret <]:OTL > in the current context!
Error: Unable to interpret <F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()> in the current context!
Error: Unable to interpret < > in the current context!

OTL by OldTimer - Version 3.2.42.3 log created on 05102012_234237

J'ai récupéré tous mes fichiers originaux mais le virus est toujours présent sur mon PC (la fenère "gendarmerie nationale" s'affiche parfois au démarrage.
Comment puis-je le détruire?

Merci

ha y a un ] qui s'est glissé

mets ce script :

:OTL
F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()

En fait il te faut simplement au moins un fichier original et son double crypté par le virus.
si tu as cela tu peux recupere le fichier matsnu1decrypt.exe http://forum.malekal.com/virus-locked-t37459.html#p292893

et il va te rechercher tous les fichiers crypté de ton pc les copiers et les decrypter.... tu auras donc tout en double.

j'ai édité : https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ pour expliquer;

il te faut un deux fichier identique... genre par exemple tu avais l'install de VLC le virus te la crypté il suffit de retrouver exactement la meme version de l'install et c'est bon ;)

aaa oke il me sembler bien merci parcontre j'arrive pas telecharger le fix le serveur marche pas ya comment je fais?

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

Ce lien est correct : ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

Si tu n'arrives pas à aller dessus, tu auras peut-être une autre infection qui bloque l'accès aux sites des antivirus comme conficker.
=> http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Pour ceux qui ne comprennent pas c'est pourtant simple: Le decrypter de DrWeb "compare" les deux fichiers que vous devez fournir. L'un est non crypté/locked et l'autre doit etre le meme mais sans avoir subit le Virus. Et il est quand meme assez facile de trouver un setup ou autre fichier que l'on peut retrouver sur le net, qui trainait sur votre pc et qui s'est fait "locked", non ? Une fois ces deux fichiers identifié lancer le decrypter qui est en anglais, au pire aidez vous de google pour la traduction. Le decrypter va donc scanner tous les lecteurs non reseau du pc pour decrypter tous les fichier crypté mais en faisant un double ! Pour info j'en avais en local 10300 et j'ai pas fini avec les lecteurs reseau...

salutations ; on ne peut pas vérifier les fichiers à partir d'une url ftp ? :

https://www.virustotal.com/latest-scan/b44b43b28796d7f2148377f703eb3845648faee4f0e13475fd2a7c6445568215 <NOK

Normalized URL: ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.

https://www.virustotal.com/latest-scan/f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e <OK

SHA256: f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e
SHA1: 519a3a08bec489b675addec442e1b4f198d60255
MD5: b3cd282e0933f7d74da4334a42afadb9
File size: 198.8 KB ( 203576 bytes )

merci d'expliquer et ou de corriger (ou de demander à virustotal de corriger) ; merci.

Leur API doit surement être configuré sur le port 80 (http) et le port 443 (https).
Donc peut-être qu'il n'écoute pas le port 21 (ftp).
Après je sais pas ?

bonjour,
comment fait-on pour scanner un lecteur avec matsnu1 decryptor? merci