Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] Fichiers et favoris « locked »


Messages recommandés

Bonjour a tous,

 

Suite a un virus que j'ai réussi a supprimer avec avast d'ailleurs mais fichiers sur le bureau et mes favoris sur explorer sont locked.

Bien évidemment je n'ai pas fais de sauvegarde vers dd externe de mes photos etc....donc pourriez vous m'aider a remettre tout ça en ordre?Je précise que les dossier "locked" sur le bureau et mes favoris sont de couleur blanc. Et voici le rapport que j'ai avec roguekiller

RogueKiller V7.5.0 [24/05/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/53)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: kevin [Droits d'admin]

Mode: Recherche -- Date: 28/05/2012 11:11:13

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS725032A9A364 ATA Device +++++

--- User ---

[MBR] 4344457a4db60e1fb19115b72be8f553

[bSP] 9a68287bbb2e0872c0ca52ed17de0b1f : Windows Vista/7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 290906 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596185088 | Size: 14035 Mo

3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 624928768 | Size: 103 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

je viens de relire,ouuuuu grosses fautes d'orthographes sorry,lol

 

------------ EDIT --------------

 

Message désimbriqué du sujet d'origine : .

Tonton.

Modifié par kevin62200
Désimbrication message
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Es-tu certain que la désinfection est totale? Perso, je passerais MalwareBytes antimalware (à jour) en analyse totale avant d'essayer de décrypter les fichiers/dossiers.

 

Seulement après, tu pourras utiliser le Fix de Kaspersky comme expliqué ici: Votre ordinateur est bloqué en raison du délit de la loi France | malekal's site

 

Va à l'édition du 4 mai.

 

EDIT – 4 Mai 2012

Kaspersky a sorti son tool RannohDecryptor : Utility for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection

 

Le principe est le même il faut fournir un fichier original et son équivalent crypté.

Le fichier original doit faire 4Mo au minimum.

 

>>>> NOTE: dans les paramètres, il est possible de faire supprimer les fichiers locked après décryptage :

 

Lis attentivement les instructions données pour l'utilisation de ce Fix.

 

Si tu ne connais pas MBAM, ce qui serait étonnant:

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.61.0.1400 Download

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Apres le scan de MBAM voici le résultat :

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.05.28.04

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

kevin :: KEVIN-PC [administrateur]

 

28/05/2012 16:45:16

mbam-log-2012-05-28 (16-45-16).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 454024

Temps écoulé: 56 minute(s), 55 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04D2B915-19FF-41E9-994D-95DC898BEA43} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D79F641-C168-40DF-A32F-BACEA7509E75} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FoxTab PDF Converter (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FoxTab PDF Reader (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 6

C:\Program Files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\FoxTabPDFReader\Uninstall\Uninstall.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\TelevisionFanaticEI\Installr\1.bin\64EIPlug.dll (PUP.FunWebProducts) -> Mis en quarantaine et supprimé avec succès.

C:\Users\kevin\AppData\Local\Temp\is1438683437\IWantThis_ROW.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.

C:\Users\kevin\AppData\LocalLow\TelevisionFanaticEI\Installr\Cache\00B1DE9E.exe (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

C:\Users\kevin\Downloads\Betclic Poker.fr.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Fais encore ceci:

 

Télécharge AdwCleaner par Xplode: ©©chargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

Je pense que tu pourras ensuite tenter le décryptage avec l'outil de Kaspersky comme décrit plus haut.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

et voila le rapport:

 

# AdwCleaner v1.606 - Rapport créé le 28/05/2012 à 02:17:00

# Mis à jour le 10/05/2012 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : kevin - KEVIN-PC

# Exécuté depuis : C:\Users\kevin\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

 

***** [Registre - GUID] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v [impossible d'obtenir la version]

 

*************************

 

AdwCleaner[R1].txt - [19890 octets] - [27/05/2012 20:26:21]

AdwCleaner[s1].txt - [14213 octets] - [27/05/2012 20:26:50]

AdwCleaner[s2].txt - [300 octets] - [28/05/2012 02:10:47]

AdwCleaner[s3].txt - [829 octets] - [28/05/2012 02:17:00]

 

########## EOF - C:\AdwCleaner[s3].txt - [956 octets] ##########

Lien vers le commentaire
Partager sur d’autres sites

Re appollo,merci à toi ça a marché,je te remercie pour ton aide c'est vraiment sympa!dessus j'avais les photos du bâpteme a ma fille et tout donc 1000merci pour ta rapidité et ton savoir faire, bye

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Content pour toi ;)

 

Pense désormais à faire régulièrement des sauvegardes de tes fichiers perso, surtout ces souvenirs de famille, très importants!

 

Pour éviter ce genre de désagrément:

 

Fais ces vérifications de sécurité stp: f_olive.gif

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

-------------------

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Kevin, salut Apollo,

 

Si tu considères que la question est réglée, et sous couvert d'Apollo, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet.

 

zzresolu.jpg

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...