Fichier locked virus gendarmerie !!!

ckadi Messages postés 4 Date d'inscription   Statut Membre Dernière intervention   -  
minouche86 Messages postés 1 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour, j' ai été infecté par le virus j' ai pu le suprimer mais mes fichiers son locked quelqu un peut il m' aidé spv

3 réponses

  1. Utilisateur anonyme
     
    Salut

    1) * Télécharge OTL (de OldTimer) sur ton Bureau.

    >> OTL (de OldTimer)

    * => clic droit " Executer en tant que en tant qu'administrateur "surOTL.exe pour le lancer .

    * Coche " Rapport standard". Fais de même à côté avec " Tous les utilisateurs"
    * Coches également les cases à côté de " Recherche LOP" et "Recherche Purity".

    * Copies et colles le texte en Gras çi- dessous >> dans la partie inférieure d'OTL sous >> Personalisation :


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT



    * Tu ne modifies pas la partie :

    * Fichiers créés et fichiers Modifiés .

    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

    * Héberge le rapport >> OTL.Txt sur ce site,
    >> Cjoint.com
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cjoint.com
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cjoint.com/cjlink.php=cj201004/cijecaEGX. te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    fais après de même avec le rapport >> Extras.Txt

    * Donc tu as deux rapports à poster

    ensuite

    C'est bien la variante où il faut avoir au moins une copie non cryptée d'un des fichiers pour applique le correctif.

    Les fichiers sont sous la forme locked-nomdufichier.extension.4lettresAléatoires
    même en essayant de modifier les 4 dernières lettres par les deux extensions ci-dessus citées.

    2) * Télécharge RannohDecryptor.exe Kaspersky sur ton Bureau et pas Ailleurs

    * ICI >> RannohDecryptor.exe

    * Exécute RannohDecryptor.exe

    * => clic droit " Executer en tant que en tant qu'administrateur "sur RannohDecryptor.exe .

    * Tu sélectionnes tous les lecteurs à analyser dans Change parameters et valide par OK
    * Clique sur Start scan

    Image >https://support.kaspersky.com/images/support_new/8547-1-en.png

    * L'utilitaire va chercher les fichiers cryptés, il faudra que tu lui indiques le chemin d'un fichier non crypté quand il te le demandera
    * L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    * Le rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    * Poste le rapport

    * Tu feras une vérification, tu pourras supprimer les copies de fichiers cryptés avec le nom " locked" si le décryptage a réussi,
    * En Utilisant l'option Delete crypted files after decryption dans Change parameters -> Additional options
    1
  2. Utilisateur anonyme
     
    Salut

    1) Lance >> RannohDecryptor.exe
    • L'utilitaire va chercher les fichiers cryptés, il faudra que tu lui indiques le chemin d'un fichier non crypté quand il te le demandera
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et ainsi appliquer le décryptage correspondant à tous tes fichiers locked
    • Le rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
    • Poste le rapport


    2) * Télécharge AdwCleaner (de Xplode) sur ton bureau
    • ICI >> AdwCleaner
    • Utilisateurs Windows XP => double clique >>sur AdwCleaner.exe pour le lancer
    • Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur AdwCleaner.exe pour le lancer.
    • Accepte l'avertissement qui suit
    • Clique sur >> Suppression
    • Patiente le temps de la suppression
    • Poste le rapport qui apparait à la fin .
    • Clique sur Quitter .
    1
    1. ckadi Messages postés 4 Date d'inscription   Statut Membre Dernière intervention  
       
      merci c bon j ai recuperé mes fichiers
      0
  3. Utilisateur anonyme
     
    Salut

    * Relance OTL ,
    * => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

    * Copie et colle du texte en gras çi-dessous

    * Tu commençes bien à : OTL , les : inclus devant OTL jusqu'à >>[emptytemp] inclus dans la partie inférieure d'OTL sous "Personalisation"
    * Cliques sur >> CORRECTION:

    * Image>> OTL Script



    :OTL
    O4 - HKLM\..\Run: [DATAMNGR] C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe (iMesh, Inc)
    O4 - HKLM\..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
    O4 - HKCU\..\Run: [Bubble Dock] "C:\Users\chorfa\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
    O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\datamngr.dll (iMesh, Inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\IEBHO.dll (iMesh, Inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngr.dll (iMesh, Inc)
    O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\IEBHO.dll (iMesh, Inc)
    [14 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    :Files
    C:\Windows\Mstray.exe
    :Commands
    [emptytemp]



    * Cliques sur >> CORRECTION:

    * Le rapport texte apparait au Redémarrage de ton PC.

    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * Trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    ensuite

    pour tes >> C:\Users\chorfa\Documents\locked* et + Utilse > RannohDecryptor.exe
    Tu dois fournir un fichier original(start scan) et son équivalent crypté.

    Image >> http://imagesup.org/image

    en dernier

    * Télécharge AdwCleaner (de Xplode) sur ton bureau

    * ICI >> AdwCleaner

    * => clic droit "executer en tant que en tant qu'administrateur "sur AdwCleaner.exe pour le lancer.

    * Accepte l'avertissement qui suit
    * Clique sur >> Suppression
    * Patiente le temps de la suppression
    * Poste le rapport qui apparait à la fin .
    * Clique sur Quitter .
    0
    1. ckadi Messages postés 4 Date d'inscription   Statut Membre Dernière intervention  
       
      salut
      voici le rapport de correction
      https://www.cjoint.com/?3FjkRdECVZw
      pour la suite j' ai pas bien saisie ce que je dois faire
      0