Tout mes fichiers locked : soumission Dr Web
marckl
-
juju666 -
juju666 -
Bonjour,
Mes fichiers ont été cryptés et renommés en locked-nomdu fichier.extention.4lettres.
J'ai soumis un de mes fichiers cryptés le 9 avril en locked-xxx.wxyz à Dr Web. Malheureusement, j'avais supprimé le virus lui même et les analystes en ont besoin. Est-ce que quelqu'un qui a conservé le virus dans la zone de quarantaine de son antivirus peut le soumettre, accompagné de fichiers cryptés ici : https://vms.drweb.com/sendvirus/?lng=en
J'ai utilisé leur outil de décryptage avec le paramètre suivant te94decrypt.exe -k 12. Il a trouvé une petite partie des fichiers cryptés, mais je n'ai réussi à savoir lesquels.
Le virus était du style : C:\Users\Marc\AppData\Roaming\Ufxpmltopex\961AE909522864593B01.exe
Mes fichiers ont été cryptés et renommés en locked-nomdu fichier.extention.4lettres.
J'ai soumis un de mes fichiers cryptés le 9 avril en locked-xxx.wxyz à Dr Web. Malheureusement, j'avais supprimé le virus lui même et les analystes en ont besoin. Est-ce que quelqu'un qui a conservé le virus dans la zone de quarantaine de son antivirus peut le soumettre, accompagné de fichiers cryptés ici : https://vms.drweb.com/sendvirus/?lng=en
J'ai utilisé leur outil de décryptage avec le paramètre suivant te94decrypt.exe -k 12. Il a trouvé une petite partie des fichiers cryptés, mais je n'ai réussi à savoir lesquels.
Le virus était du style : C:\Users\Marc\AppData\Roaming\Ufxpmltopex\961AE909522864593B01.exe
A voir également:
- Tout mes fichiers locked : soumission Dr Web
- Fichiers epub - Guide
- Vérificateur des fichiers système - Guide
- Renommer des fichiers en masse - Guide
- Fichiers bin - Guide
- Fichiers récents - Guide
31 réponses
- 1
- 2
Suivant
Résumé de la discussion
Des fichiers ont été cryptés et renommés en locked-nomdu fichier.extention.4lettres, et la problématique centrale est d’identifier quels fichiers ont été touchés et comment récupérer les données via un décryptage. Le malware était localisé dans C:\Users\Marc\AppData\Roaming\Ufxpmltopex\961AE909522864593B01.exe sur Windows 7 avec Firefox 11.0, et le demandeur cherche si quelqu’un disposant d’un échantillon en quarantaine peut l’utiliser pour déverrouiller les fichiers. En cas de doute, il est utile d’obtenir le fichier original et d’éviter les démarches risquées, car le succès du décryptage dépend de l’intégrité des échantillons et des clés associées.
Oui je viens de repondre à Vladimir ;) il ya 30 minutes ! Je peux vous dire que ça marche. Mais bon faut au moins avoir le fichier original.
Moi j'avais des fichiers d'install genre cpuz ou des .nzb tout frais ;)
Je vais donc acheter la version payante de DrWeb, ça me parait la moindre des choses !
Sinon pour nettoyer mon pc je fais quoi ? Je lance corriger sur OTLE ?
Moi j'avais des fichiers d'install genre cpuz ou des .nzb tout frais ;)
Je vais donc acheter la version payante de DrWeb, ça me parait la moindre des choses !
Sinon pour nettoyer mon pc je fais quoi ? Je lance corriger sur OTLE ?
Merci bcp, c'est bien le même :
(lfk = lockfile)
Donc il fait son retour.
Je pense que ton sample peux être utile éventuellement ceux qui auront supprime leur malware... on pourra peut-être utilisé le tiens.
J'espère qu'il ne faut pas avoir le serveur WEB malicieux online (car je crois que c'est lui qui génère la clef) :/
http://shelpeek14.com/apd.php?id=4063B68D4B4B414D004B&cmd=lfk&data=3tgxSj2Yo%2BwEbptc7fVok8jkhW4XDyk90XBd
(lfk = lockfile)
Donc il fait son retour.
Je pense que ton sample peux être utile éventuellement ceux qui auront supprime leur malware... on pourra peut-être utilisé le tiens.
J'espère qu'il ne faut pas avoir le serveur WEB malicieux online (car je crois que c'est lui qui génère la clef) :/
J'espere aussi que ça pourra servir !!! Pour info je dois pouvoir retrouver le site qui m'a fait cette misere... Deja je le sentais pas trop ce site et mon gros Ventirad s'est mis à pulsé ! Je me suis dit ouille ! Mais bon je pensais qu'avec Seven on etait tranquil... Mais j'etais sur IE, pour une fois... Donc Terminé IE sauf en interne !
essaye ça :
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-4176459343-1557760720-2181383403-500..\Run: [A8474B22] C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe ()
[2012/04/29 21:20:38 | 000,056,320 | -H-- | M] () -- C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe
[2012/04/29 21:20:57 | 001,440,054 | ---- | C] () -- C:\Windows\SysWow64\winsh325
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh324
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh323
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh322
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh321
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh320
:files
C:\Users\Administrateur\AppData\Roaming\Gigt\
* redemarre le pc sous windows et poste le rapport ici
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-4176459343-1557760720-2181383403-500..\Run: [A8474B22] C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe ()
[2012/04/29 21:20:38 | 000,056,320 | -H-- | M] () -- C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe
[2012/04/29 21:20:57 | 001,440,054 | ---- | C] () -- C:\Windows\SysWow64\winsh325
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh324
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh323
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh322
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh321
[2012/04/29 21:20:57 | 000,960,056 | ---- | C] () -- C:\Windows\SysWow64\winsh320
:files
C:\Users\Administrateur\AppData\Roaming\Gigt\
* redemarre le pc sous windows et poste le rapport ici
Je viens de lancer la "correction" Il a bien nettoyé ce qu'avait detecté MalwareBytes
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4176459343-1557760720-2181383403-500\Software\Microsoft\Windows\CurrentVersion\Run\\A8474B22 deleted successfully.
C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe moved successfully.
File C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe not found.
C:\Windows\SysWOW64\winsh325 moved successfully.
C:\Windows\SysWOW64\winsh324 moved successfully.
C:\Windows\SysWOW64\winsh323 moved successfully.
C:\Windows\SysWOW64\winsh322 moved successfully.
C:\Windows\SysWOW64\winsh321 moved successfully.
C:\Windows\SysWOW64\winsh320 moved successfully.
========== FILES ==========
C:\Users\Administrateur\AppData\Roaming\Gigt folder moved successfully.
OTL by OldTimer - Version 3.2.42.2 log created on 04302012_143256
Je vais redemarrer ...
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4176459343-1557760720-2181383403-500\Software\Microsoft\Windows\CurrentVersion\Run\\A8474B22 deleted successfully.
C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe moved successfully.
File C:\Users\Administrateur\AppData\Roaming\Gigt\E9887020A8474B22D5CC.exe not found.
C:\Windows\SysWOW64\winsh325 moved successfully.
C:\Windows\SysWOW64\winsh324 moved successfully.
C:\Windows\SysWOW64\winsh323 moved successfully.
C:\Windows\SysWOW64\winsh322 moved successfully.
C:\Windows\SysWOW64\winsh321 moved successfully.
C:\Windows\SysWOW64\winsh320 moved successfully.
========== FILES ==========
C:\Users\Administrateur\AppData\Roaming\Gigt folder moved successfully.
OTL by OldTimer - Version 3.2.42.2 log created on 04302012_143256
Je vais redemarrer ...
SInon le programme c'est System Safety Monitor, mais il n'est plus édité.
Il doit marcher que sur XP et encore moins sur 64 bits.
C'est un IDS, y a des équivalent, Online Armor Firewall par exemple.
Comodo fait un peu pareil.
Mais là ton prb est que tu as des programmes non à jour. qui permettent l'infection de ton PC.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Il doit marcher que sur XP et encore moins sur 64 bits.
C'est un IDS, y a des équivalent, Online Armor Firewall par exemple.
Comodo fait un peu pareil.
Mais là ton prb est que tu as des programmes non à jour. qui permettent l'infection de ton PC.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Salut,
C'est pas bien d'avoir supprimé le malware.
Ca donne quoi le programme de Kaspersky ? => https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est pas bien d'avoir supprimé le malware.
Ca donne quoi le programme de Kaspersky ? => https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Je sais c'est pas bien. J'ai essayé de retrouver le malware avec la restauration de versions précédentes de Windows, avec undelete ntfs et avec des programmes de récupération des fichiers mais sans succès.
Le programme de Kaspersky ne reconnait pas mes fichiers comme étant cryptés. (Can't init decryptor on file)
Le programme de Kaspersky ne reconnait pas mes fichiers comme étant cryptés. (Can't init decryptor on file)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Et c'est bien parce que j'ai effacé mon fichier que je demande que si quelqu'un qui a également été touché par ce virus qui crypte et renomme les fichiers en locked- et qui a gardé le fichier du virus pouvait le soumettre à DrWeb. Il me semble que mimme est dans ce cas, mais il y a peut être d'autres personnes concernées.
Bonjour tout le monde, je viens d'etre touché par le virus de la gendarmerie mais la derniere version donc qui rajoute l'encodage des fichiers des lecteurs du pc. Ces fichiers ont pour nom "locked-le nom du fichier.xxx.4 lettres". Etand donné que tout un lecteur avec mes photos de vacances ont été encodé, je suis tres tres chaud pour faire avancer le probleme ! J'ai juste redemarré le pc en mode sans echec avec reseau. MalwaresBytes à trouvé un truc sympa plus une clef. En ce moment DrWebCurit scan le pc... Bref c'est pas cool ! La seule chose super cool c'est que j'ai deux fichiers identiques dont un encodé justement ;) Je vais donc soumettre à DrWeb une petite archive, de l'exe qu'a trouvé malwarebytes ou je l'espere de Drweb ainsi que ces deux fichiers. Mais si vous avez trouvé d'autre site d'antivirus qui peuvent trouver le decrypteur je suis preneur !! Et j'acheterais la version payante du site qui le trouve ;)
@zener57 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
]:OTL
F3:[b]64bit:[/b] - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()
* redemarre le pc sous windows et poste le rapport ici
~~
t'as installé pas mal de m*rdes.
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle :
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
]:OTL
F3:[b]64bit:[/b] - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()
* redemarre le pc sous windows et poste le rapport ici
~~
t'as installé pas mal de m*rdes.
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle :
AskToolbar
Babylon
Conduit
Funmoods Toolbar
SearchQu
uTorrentBar_FR Toolbar
Vuzer_Remote Toolbar.
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Bonsoir !
Voici le rapport:
Error: Unable to interpret <]:OTL > in the current context!
Error: Unable to interpret <F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()> in the current context!
Error: Unable to interpret < > in the current context!
OTL by OldTimer - Version 3.2.42.3 log created on 05102012_234237
Voici le rapport:
Error: Unable to interpret <]:OTL > in the current context!
Error: Unable to interpret <F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()> in the current context!
Error: Unable to interpret < O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()> in the current context!
Error: Unable to interpret < > in the current context!
OTL by OldTimer - Version 3.2.42.3 log created on 05102012_234237
ha y a un ] qui s'est glissé
mets ce script :
:OTL
F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()
mets ce script :
:OTL
F3:[b]64bit:/b - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
F3 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000 WinNT: Load - (C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr) - C:\Users\Marine\LOCALS~1\Temp\mszlemux.scr ()
O4 - HKU\S-1-5-21-1082665731-1419986913-51890181-1000..\Run: [7C4E86D4] C:\Users\Marine\AppData\Roaming\Slpwq\A64508AF7C4E86D4BC11.exe ()
Salut les gas moi aussi j'ai etais infecter par ce virus la majoriter de mais fichier son infecter.hier j'ai formater mon disque C apres avoir bien supp trojan avec Malwarebyte version d'essai (au passage qui et le seul avoir detecter les virus apres avoir tester tous les anti-virus a par kasper donc je conseil vivement malwarebyte pour les prochaines victimes).apres reinitialisation du systeme je cherche a comment decrypter les fichier infecter @Zener57 est @malekal aparament vous avez trouver la solution pouvez vous expliquez comment faire clairement j'ai pas tout compris votre manip.mais fichier ressemble par exemple a si meprendre a / locked-installVLC-2.0.1.exe.luco / au lieu bien sur a ca / installVLC-2.0.1.exe .
voila je vous remercie de vos reponse et a ceux qui cree c'est virus honte a eux qui leur arrive le pire des virus.
voila je vous remercie de vos reponse et a ceux qui cree c'est virus honte a eux qui leur arrive le pire des virus.
En fait il te faut simplement au moins un fichier original et son double crypté par le virus.
si tu as cela tu peux recupere le fichier matsnu1decrypt.exe http://forum.malekal.com/virus-locked-t37459.html#p292893
et il va te rechercher tous les fichiers crypté de ton pc les copiers et les decrypter.... tu auras donc tout en double.
si tu as cela tu peux recupere le fichier matsnu1decrypt.exe http://forum.malekal.com/virus-locked-t37459.html#p292893
et il va te rechercher tous les fichiers crypté de ton pc les copiers et les decrypter.... tu auras donc tout en double.
j'ai édité : https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ pour expliquer;
oooOOOHHH merci zener pour ta reponse aussi rapide!!!
Donc pour faire simple il me faut un fichier contaminer et un fichier non contaminer sur mon pc peux importe le fichier video ou audio?
c'est ca le truc.
Donc pour faire simple il me faut un fichier contaminer et un fichier non contaminer sur mon pc peux importe le fichier video ou audio?
c'est ca le truc.
rien ne se passe toujour pareil ta reussi toi moi page blanche j'ai essayer sur 2 ordinateur different.
salut, je viens de lire tous les post, je ne suis pas habitué mais j'ai effectivement utiliser malewarebytes pour effacer ce p...de virus gendarmerie.
tous mes fichiers sont "locked" et pas moyen de fair quoi que ce soit.
j'ai pas tous compris le truc avec le fichier original et la copie "lockedé.
pour ma part il s'agit essentiellemnt de phots et petits films souvenirs.
merci a celle ou celui qui me peut me depanner
tous mes fichiers sont "locked" et pas moyen de fair quoi que ce soit.
j'ai pas tous compris le truc avec le fichier original et la copie "lockedé.
pour ma part il s'agit essentiellemnt de phots et petits films souvenirs.
merci a celle ou celui qui me peut me depanner
Ce lien est correct : ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
Si tu n'arrives pas à aller dessus, tu auras peut-être une autre infection qui bloque l'accès aux sites des antivirus comme conficker.
=> http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Si tu n'arrives pas à aller dessus, tu auras peut-être une autre infection qui bloque l'accès aux sites des antivirus comme conficker.
=> http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Pour ceux qui ne comprennent pas c'est pourtant simple: Le decrypter de DrWeb "compare" les deux fichiers que vous devez fournir. L'un est non crypté/locked et l'autre doit etre le meme mais sans avoir subit le Virus. Et il est quand meme assez facile de trouver un setup ou autre fichier que l'on peut retrouver sur le net, qui trainait sur votre pc et qui s'est fait "locked", non ? Une fois ces deux fichiers identifié lancer le decrypter qui est en anglais, au pire aidez vous de google pour la traduction. Le decrypter va donc scanner tous les lecteurs non reseau du pc pour decrypter tous les fichier crypté mais en faisant un double ! Pour info j'en avais en local 10300 et j'ai pas fini avec les lecteurs reseau...
salutations ; on ne peut pas vérifier les fichiers à partir d'une url ftp ? :
https://www.virustotal.com/latest-scan/b44b43b28796d7f2148377f703eb3845648faee4f0e13475fd2a7c6445568215 <NOK
Normalized URL: ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
https://www.virustotal.com/latest-scan/f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e <OK
SHA256: f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e
SHA1: 519a3a08bec489b675addec442e1b4f198d60255
MD5: b3cd282e0933f7d74da4334a42afadb9
File size: 198.8 KB ( 203576 bytes )
merci d'expliquer et ou de corriger (ou de demander à virustotal de corriger) ; merci.
https://www.virustotal.com/latest-scan/b44b43b28796d7f2148377f703eb3845648faee4f0e13475fd2a7c6445568215 <NOK
Normalized URL: ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
https://www.virustotal.com/latest-scan/f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e <OK
SHA256: f2e1b35c492d75d934d84484329db2e1607f5f770d02b2b1709c9bb5bab8486e
SHA1: 519a3a08bec489b675addec442e1b4f198d60255
MD5: b3cd282e0933f7d74da4334a42afadb9
File size: 198.8 KB ( 203576 bytes )
merci d'expliquer et ou de corriger (ou de demander à virustotal de corriger) ; merci.
aa enfaite il falait renomer http pas ftp.par contre j'ai fais la manip mettre le fichier original et contaminer heuuuuuu decrypter 0 les gas...
0 pour moi apres avoir redemarre apres avoir desactiver tous les anti virus le par feu connection internet " decrypted files total 0 " pour lui.que ca soit claire j'ai mis un fichier original et un fichier crypter.
le fichier dois encore apparaitre comme virus en faisant une analyse dessus avec l'anti virus ou nan?
le fichier dois encore apparaitre comme virus en faisant une analyse dessus avec l'anti virus ou nan?
fonctionne toujour pas pour moi je compte me refaire infecter car je pense vue que j'ai formater est que j'ai bien sup le virus le decrypter ne trouve pas de probleme a mais fichier infecter.j'ai recommencer une 50eme fois pour decrypter avec drweb avec plusieur fichier originaux et plusieur fichier contaminer @zener et @ malekal vous pensez que c'es une bonne idee ou pas?
merci
merci
- 1
- 2
Suivant
