Virus gendarmerie + fichiers "locked-...."

Garbage -  
 virusman -
Bonjour,



Idem Infecté hier soir avec ce satané virus !!!!! Ca fait plus de 3 heures que je suis dessus !

Donc j'ai tenté une restauration du système en 1er lieu. Seulement au redémarrage de mon PC, cette fenêtre "Gendarmerie etc..." était revenue ! Donc après avoir lu plusieurs posts : je relancé en mode sans échec avec prise en charge du réseau et téléchargé malwarebytes anti-malware. Une fois installé, j'ai d'abord fais un scan rapide où il m'a détecté 7 "saletés" puis je l'ai relancé (le logiciel) pour faire cette fois-ci un scan complet. Cela fait maintenant 3 heures qu'il me scan mon PC (il est encore entrain) je voulais savoir car j'ai constaté (très certainement comme la plupart d'entre vous) que je possédais énormément de fichiers renommés sous "locked-..." (photos de famille, vidéos, etc) donc plusieurs questions :

Que faire une fois mon scan terminé ??? => Cliquer sur "supprimer" les fichiers infectés (est-ce que je risque à ce moment précis de perdre mes fichiers perso. ?)

J'ai lu sur des posts que pour récupérer ses fichiers il fallait connaitre le nom non-crypté du fichier en question alors sans doute n'ai-je pas dû tout comprendre, car si j'ai 200 000 fichiers renommé "locked-..." je ne vais pas me souvenir de tous ça c'est évident mdrrrrr et de 2 : je ne vais pas m'amuser à faire fichier par fichier !!!!

Je ne peux pas perdre ces photos et vidéos familiales ! vous comprendrez qu'elles sont uniques d'autant que des personnes chères et disparues y figurent !!! pfffff suis désepéré là !!!!!

J'ai réellement peur de faire une manip. qu'il ne faut pas et qui soit irréversible !!!!

Donc qu'en est-il ???? svp venez en aide à un néophyte !!!! Merci

23 réponses

  • 1
  • 2
  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    Essai de faire le scan en mode sans échec...

    Sinon, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Faire la même chose avec l'autre rapport C:\rsit\info.txt

    @++ :)
    1
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    Que faire une fois mon scan terminé ??? => Cliquer sur "supprimer" les fichiers infectés (est-ce que je risque à ce moment précis de perdre mes fichiers perso. ?)
    Oui tu supprimes tous ce que MBAM va trouver et pas de risque pour tes fichiers perso.

    Note : ne pas ouvrir un fichier en locked sinon l'infection reviens.

    Voir sur cette page et utilise le fix de Dr.Web pour les fichiers locked :
    https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

    @++ :)
    0
  3. Garbage
     
    Ouf quelqu'un vien à mon aide !

    C'est cool à toi dédétraqué, d'autant que je m'aperçois que tu es sur tous les fronts concernant ce Virus afin d'aider ! Donc un grand Merci.

    Bon OK je supprime et j'utilise le fix de Dr.Web pour mes fichiers locked ... Je repasse ensuite dire ce qu'il en est !
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    OK pas de souci, tiens moi au courant ;)

    @++ :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Garbage
     
    Bien alors j'ai donc supprimé, j'ai pu redémarrer en mode "normal" (pas de sans échec) ... la fenêtre "Gendarmerie a bloqué votre ordinateur" n'apparaît plus donc déjà une bonne chose !!!! reste à récupérer les fichiers locked

    Donc il faut le fix Dr Web seulement je tombe sur différents Dr Web : Dr Web Cure It, Dr Web Live CD et j'ai voulu prendre le Dr Web Cure It sans oser l'insatller car il me dit au moment de l'enregistrer : "Ce fichier risque d'endommager votre ordinateur" grrrrr ....

    Du coup avec ce satané virus déjà j'ose pas le télécharger ... est-ce le bon ? Puis -je tout de même le télécharger ? Merci
    0
  7. Garbage
     
    Bon bien téléchargé, j'ai apparement compris ce qu'il me demande mais je ne puis lui donné les fichiers en question, je m'explique :

    Il demande en 1er lieu un fichier non-crypté (alors déjà j'en ai très peu car quasi- 99% des fichiers quelqu'ils soient musique, photos est déjà "locked-...."!!!!)

    Pui il me demande ce même fichier en version cryptée et là c'est le problème invers !!!! => J'ai 98 % de mes fichiers cryptés "locked-...." mais je n'ai pas son équivalent non-crypté !!!!!!!!

    :s
    0
  8. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    Tu dois bien avoir télécharger quelque chose dernièrement avant ce virus et qui locked maintenant?

    Alors il suffit de le télécharger de nouveau...

    @++ :)
    0
  9. Garbage
     
    J'ai choisi un fichier (une photo) "locked-nom du fichier.jpg.dssf" et à partir de celle-ci j'ai retéléchargé la même image "saine" à l'endroit où se trouve la 1ère photo.

    Donc il me demande 1 : la photo non-encryptée et dans un second temps la même photo cryptée.

    Et là le même souci, j'ai une fenêtre qui s'ouvre me disant : "No match between files found. Second file should be like first, just encrypted". Donc Dr. Web ne trouve pas de lien entre les 2 fichiers apparement !!!! :s
    0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    Alors le fichier ne doit pas être pareil...

    Essai avec un autre fichier

    @++ :)
    0
  11. Garbage
     
    Voilà chose faite !

    Très long mais je préfère de loin avoir de la patience et récupérer mes fichiers uniques !!!

    Cependant certains fichiers ont été "partiellement" décryptés c'est-à-dire :
    si je prends l'exemple d'une photo, certaines apparaissent comme si on les avaient passés "sous l'eau" (oui je sais bizarre !) on voit partiellement les silhouettes mais de grandes traces de couleurs différentes figurent sur celles-ci ... qui sait peut-être quand refaisant un Dr.Web si cela fonctionnera, mais j'ai un gros doute, je pense que c'est perdu, n'est-ce pas !!!! :s

    Par contre il faut maintenant que j'enlève les fichiers "locked-..." qui figurent encore dans les dossiers. Mais une question : ceux-ci n'ont-ils pu être déchiffrés ou est le "double" crypté du fichier sain ????

    Sachant que dans la méthode de Malekal's site, il utilise Kapersky alors que perso. j'ai Avast !!!!

    Que me conseillez-vous svp ? Merci de votre patience !!!
    0
  12. Garbage
     
    une personne pour m'aider concernant mon dernier post ci-dessus svp ? ;)
    0
  13. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    je pense que c'est perdu, n'est-ce pas !!!! :s
    Première fois que j'entends parler pour les photos, quel autre genre de fichier a été mal décrypté?
    Peut-être le manque de place sur le DD!!

    ceux-ci n'ont-ils pu être déchiffrés ou est le "double" crypté du fichier sain ????
    Il faudra supprimer manuellement le fichier en locked, tu fais une recherche avec le mot locked et tu supprimes tous.

    On va vérifier le PC :

    Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    - Quitte les applications en cours afin de ne pas interrompre le scan.
    - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
    Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
    - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
    - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

    Ne modifie pas les autres paramètres !

    Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    consrv.dll
    volsnap.sys
    hidserv.dll
    appmgmts.dll
    eventlog.dll
    winlogon.exe
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    wininet.dll
    wininit.exe
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    winlogon.exe
    wininit.ini
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    SAVEMBR:0
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    - Clique sur le bouton Analyse.
    - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Après fais de même avec l'autre rapport Extras.txt

    @++ :)
    0
    1. abdouenit Messages postés 4 Statut Membre
       
      http://www.cjoint.com/c/FBqrh7MsR6f
      0
  14. Garbage
     
    Super dédétraqué de retour !

    Oui oui je t'assure sans doute oui mal décrypté ou peu de place comme tu dis ... Dommage que je ne puisses pas téléchargé une pic pour la coller ici afin de voir le résultat.

    Bon ok je vais faire une recherche des fichiers "locked-..." et les supprimer de la manière que tu m'indiques.

    Je fais également le "taf" avec OTL et je re dès que tout sera fait ... bon sans doute pas ce soir si ça prend trop trop de temps, ni demain, serai pas présent je re .... dès dimanche soir et je ferais remonter le post .... avec un peu de chance tu seras encore sur le forum ! Encore Merci !!!
    0
  15. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Garbage

    OK tiens moi au courant pour le rapport de OTL...

    @++ :)
    0
  16. Garbage
     
    De retour !

    Bien donc j'ai su télécharger OTL j'encoche ce qui m'a été demandé et j'ai copier la liste citée en la plaçant dans "Personnalisation" et j'ai cliqué sur "Analyse" : Résultat : OTL se lance de le scan des fichiers et 30 secondes plus tard il est noté en haut de la fenêtre : "OTL (ne répond pas)" et je suis obligé de fermer le programme j'ai retenté 5 fois mais en vain : toujours le même constat !!!
    0
  17. guigs
     
    t'es l'patron dédétraqué !

    MERCI
    0
    1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
       
      Oui chu l'patron chez moi :D
      0
  18. Cidjy
     
    Bonjour !

    Désolé mais j'ai le même problème avec mes fichiers. J'ai fait tout ce que vous aviez dit mais ça ne marche pas au moment de mettre un fichier sain et un fichier infecté.
    Un message me dit 'Cannot find decrption key. Maybe unknow trojan program modification' . Pourtant j'ai bien re téléchargé exactement le même fichier et ils ont le même noms. J'ai essayé avec plusieurs fichiers mais ça ne marche pas .
    C'est possible que ça ne marche pas ? Et que je ne récupère pas mes fichiers ..
    0
  19. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Cidjy

    Tu devrais ouvrir ton propre sujet pour de l'aide...

    @++ :)
    0
    1. Cidjy
       
      D'accord merci !
      0
  20. Garbage
     
    Je pense ne plus avoir de souci avec ce Malware ou Virus ! Mais pour exemple voici un lien dans lequel se trouve le résultat de 50 % de mes fichiers photos ! :s :s

    http://www.hostingpics.net/viewer.php?id=292102Coiffure.png

    Je suppose qu'il sont définitivement perdu et que là aucun logiciel n'exite pour réparer ces fichiers jpg !!!???
    0
    1. tof
       
      si il y a des logiciel mais 40 euros christophe
      0
    2. Ness
       
      http://cjoint.com/?CDobD7HQyIS extras
      http://cjoint.com/data3/3DobyckWGe9 OTL
      0
  • 1
  • 2