FIchiers bloqués suite à virus gendarmerie Fermé

Question

Bonjour, 

comme indiqué dans le sujet j'ai été victime du virus "de la gendarmerie". En consultant des forums j'ai réussi à débloquer l'ordinateur, mais je me suis aperçu après coup que tous les fichiers de mon ordinateur avaient été bloqués par un changement d'extension. 

J'ai consulté les pages traitant de ce sujet, mais apparemment il faut que poster des rapports de logiciels tels que ZHP et autres.

J'aurais donc bien besoin d'un petit coup de main.

D'avance merci. 

Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut qu'as-tu utilisé pour le virer ?

La_Cale · Answer

Merci de ta réponse.

J'ai utilisé OTL et Rogue killer.

g3n-h@ckm@n · Answer

t'as des rapports ?

La_Cale · Answer

Oui en revanche je ne sais pas comment les poster. Je suis novice désolé.

g3n-h@ckm@n · Answer

heberge-les sur http://cjiont.com et donne les liens obtenus

La_Cale · Answer

Voici les liens :

https://www.cjoint.com/?BExxoW3L2o8

https://www.cjoint.com/?BExxpITdgWF

Merci encore

g3n-h@ckm@n · Answer

tu utilises virtualbox ?

La_Cale · Answer

Ba non enfin je t'avoue je sais même pas ce que c'est :-).

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

La_Cale · Answer

Désolé pour le retard dans la réponse.

Voici le lien : https://pjjoint.malekal.com/files.php?id=20120527_h10w6u7v15h5

Merci pour ton aide.

g3n-h@ckm@n · Answer

desinstalle vshare toolbar
desinstalle conduit
desinstalle adobe reader 9
desinstalle vuz remote toolbar
desinstalle wincore Mediabar
desinstalle complitly
desinstalle datamngr / datamngr Toolbar
desinstalle imesh

============

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}]
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] 
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{28387537-e3f9-4ed7-860c-11e69af4a8a0}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{38910E9B-3B35-4833-8162-5F75966F8E43}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EED2603E-8522-495A-B43A-3C5A2151EE6D}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"UpdateLBPShortCut"=-
"UpdateP2GoShortCut"=-
"PlayMovie"=-
"Setwallpaper"=-
"DATAMNGR"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-     
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-   
"{28387537-e3f9-4ed7-860c-11e69af4a8a0}"=-    
"10"=-
[HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28387537-e3f9-4ed7-860c-11e69af4a8a0}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BE7A24F5-69CB-4708-B77B-B1EDA6043B95}]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLS"=""
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Complitly] 
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\Conduit]     
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\DataMngr]     
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\DataMngr_Toolbar] 
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\iMesh]     
[-HKU\S-1-5-21-4001817431-3715713058-879578487-1001\Software\vShare]     
[-HKLM\Software\Babylon]     
[-HKLM\Software\DataMngr]     
[-HKLM\Software\iMeshMediabarTb]     

txt::
C:\Users\Marc-Antoine\AppData\Roaming\Offre.ini 

Folder::
C:\Program Files (x86)\vShare
C:\PROGRA~2\IMESHA~1
C:\Users\Marc-Antoine\AppData\Local\Conduit
C:\Users\Marc-Antoine\AppData\Roaming\Complitly
C:\Users\Marc-Antoine\AppData\Roaming\Babylon     
C:\Users\Marc-Antoine\AppData\Roaming\Complitly 
C:\Users\Marc-Antoine\AppData\Roaming\Npskkhhllrw 
C:\Users\Marc-Antoine\AppData\Roaming\Vvaxxufpjg 
C:\ProgramData\8AE 
C:\ProgramData\Babylon     
C:\ProgramData\Menu Start 
C:\Users\Marc-Antoine\AppData\Local\Babylon     
C:\Users\Marc-Antoine\AppData\Local\Conduit     
 C:\Program Files (x86)\Complitly 
 C:\Program Files (x86)\Conduit 
 C:\Program Files (x86)\iMesh Applications     

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

===========================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

La_Cale · Answer

Les  programmes conduit, datamngr / datamngr Toolbar n'apparaissent pas dans la liste.

J'ai fait tout ce que tu m as dis mais ni PreScan ni ADW cleaner ne me fourniissent de rapports je ne comprends pas.

g3n-h@ckm@n · Answer

pre_script sur ton bureau dans tes icones
et ADWCleaner[Sx].txt dans c:\

La_Cale · Answer

J'ai réussi à avoir le rapport ADW : https://www.cjoint.com/?BEBxpQ4x5p7

Celui de Prescan n'apparrait pas.

g3n-h@ckm@n · Answer

tu as bien tes icones sur le bureau ?

La_Cale · Answer

Oui mais le rapport n'apparrait pas je comprends pas.

La_Cale · Answer

L'ordinateur redémarre après que le  programme ai travaillé, mais pas de rapport.
Je réessaye.

La_Cale · Answer

TOujours pas de rapport.

La_Cale · Answer

J'ai réinstallé Prescan et j ai enfin récupéré le rapport :

https://pjjoint.malekal.com/files.php?id=20120528_o13v12w12c8q9

Désolé c'est un peu laborieux.

g3n-h@ckm@n · Answer

relance pre_scan , selectionne tools puis tdsskiller

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

La_Cale · Answer

Bonjour,

désolé pour le retard je n'étais pas disponible.

J'ai essayé ce que tu m'as dis mais il m'affiche le message d'eruer suivant :

"C:\Pre_Scan	dskiller.exe

Ce fichier es utilisé par une autre application."

La_Cale · Answer

Bonjour,

J'ai pu faire fonctionner TDSSKILLER (mon antivirus bloquait le programme).

Voici le rapport si quelqu'un est encore en ligne :-) :

 https://pjjoint.malekal.com/files.php?id=20120612_o6s7n159d13

Merci.

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

La_Cale · Answer

Salut,

merci d'être revenu à mon secours :-).

VOici le rapport : https://pjjoint.malekal.com/files.php?id=20120614_c11e5j8o11o8

g3n-h@ckm@n · Answer

re , ok !

tu as encore un original des fichiers qui sont locked ?

La_Cale · Answer

et non malheuresement!

g3n-h@ckm@n · Answer

re

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Command::
For  /f "tokens=*" %%a in ('dir /a /b /s "%Homedrive%\*.*" ^|findstr /I "\Locked*"') do ( echo %%~a >> %Homedrive%\Pre_Scan.txt ) 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

La_Cale · Answer

salut,

voici le rapport : https://www.cjoint.com/?BFyojTEGY87

Merci.

g3n-h@ckm@n · Answer

lol désolé faute de frappe ^^ 

___________________________________________________ 
Command:: 
For /f "tokens=*" %%a in ('dir /a /b /s "%Homedrive%\*.*" ^|findstr /I "\Locked*"') do ( echo %%~a >> %Homedrive%\Pre_Script.txt ) 
___________________________________________________ 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

La_Cale · Answer

Pas de souci :-) 

https://www.cjoint.com/?BFyo5jcpXzP

g3n-h@ckm@n · Answer

ok copie ce dossier sur ton bureau puis reinstalle VLC

C:\Users\Marc-Antoine\AppData\Roaming\vlc

La_Cale · Answer

C'est fait

g3n-h@ckm@n · Answer

Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
    et enregistre-le sur ton Bureau
    Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
    Indique le chemin du fichier non crypté

C:\Users\Marc-Antoine\AppData\Roaming\vlc\ml.xspf

    Ensuite, indique le chemin du même fichier crypté celui qui est dans le dossier que tu as mis sur le bureau

    L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.

FIchiers bloqués suite à virus gendarmerie

33 réponses

Discussions similaires