Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Fichiers « locked »


Messages recommandés

bonjour

 

après avoir reçu le fameux message de la gendarmerie tous mes fichiers sont bloqués, je suis donc allr sur le forum pour savoir comment enlever ce virus

j'ai fait une restauration du système puis j'ai installer malwarebyte et fait un scan

puis j'ai installer adwclearner et fait de mème mais fichiers toujours bloqués.

j'ai donc voulu installer rannohdecryptor mais lorsque je lance le scan cela me demande les fichiers d'origine mais je ne les ai pas ou alors je ne sais pas ou ils se trouvent.

la plupart de mes fichiers bloqués sont des photos ou films ou séries télécharger. ils s'affichent en blanc.

merci de votre aide

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

j'ai donc voulu installer rannohdecryptor mais lorsque je lance le scan cela me demande les fichiers d'origine mais je ne les ai pas ou alors je ne sais pas ou ils se trouvent.

la plupart de mes fichiers bloqués sont des photos ou films ou séries télécharger. ils s'affichent en blanc.

 

Pour que ça fonctionne, il vous faut un fichier locked et le même correct à rechercher sur un support externe, sinon c'est fichu.

Lien vers le commentaire
Partager sur d’autres sites

Donc il n'y a aucun moyen de récupérer mes photos ?

car si je les ai en externe le fait de tout débloquer ne sert a rien !

Lien vers le commentaire
Partager sur d’autres sites

Donc il n'y a aucun moyen de récupérer mes photos ?

car si je les ai en externe le fait de tout débloquer ne sert a rien !

 

Si, mais il faut désinfecter d'abord.

 

Le Trojan-Ransom.Win32.Rector réalise des modifications non autorisées des données sur des ordinateurs-"victimes", ce qui rend le travail avec ces données impossible.

Dès que les données sont prises "en otage" (ont été bloquées), une rançon sera exigée.

Le pirate promet à la victime d'envoyer un programme débloquant les données après avoir reçu la somme annoncée.

 

trojan_encoder_trojanransomware_crypt.png

Avant toute tentative pour rétablir les fichiers, vous devez avoir éradiqué le malware du PC.

Un simple double-clic sur un raccourci malicieux réinstalle l’infection.

Tentez d'abord une restauration à une date antérieure.

Dans le cas où Windows est bloqué notamment par des ransomwares.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.

Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

 

Télécharger le programme et le lancer

Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.

Lorsque la clef USB ou le CD est prêt :

Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:

Laissez le Scan s’opérer

A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».

Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.

 

 

D'abord Eset on line puis Mbam

 

Ensuite l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

 

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector

Téléchargez RectorDecryptor sur l'ordinateur infecté

Décompressez l'archive.zip

Lancez RectorDecryptor.exe

cliquez sur le bouton Start scan.

La recherche et le déchiffrage des fichiers cryptés se réalise.

choisir l’option Delete crypted files after decryption.

Le rapport a un nom de type :

C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

 

2)Téléchargez RannohDecryptor

Lancez le et cliquez Start scan

 

L'outil recherche et décrypte les fichiers cryptés.

Il peut décrypter des fichiers en utilisant une seule paire - un fichier crypté et une copie du même non crypté.

 

Pour cela: Sous Vista /7:

Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.

Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

 

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

 

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.

Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.

Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

 

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".

Télécharger ShadowExplorer

Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".

Suivre la procédure d'installation.

 

Toujours Exécuter en tant qu'administrateur, d

onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

 

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage

Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).

Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.

Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

 

2) Dr.Web fournit un fix dont voici l’adresse:

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Mettre le fix sur le bureau et pas ailleurs.

Lancer Menu Démarrer -> executer ->

Tapez successivement

cmd

cd bureau

te94decrypt.exe -k 85

ou dernières versions

te94decrypt.exe -k 91 ou 100

120428011534174514.jpg

 

ou dernière évolution

 

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)

Sinon il risque de crypter aussi le reste

une copie originale d'un des fichiers cryptés est nécessaire

 

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

 

3- lancer Matsnu1decrypt.exe

 

4- indiquer le chemin d'un fichier original (Select original file)

 

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

 

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

 

Ensuite l'outil va décrypter tous les fichiers cryptés

 

 

 

Comme c'est une méthode de décryptage TRES récente,

il y a peu; les fichiers étaient tous perdus, ditess nous ce que ça donne chez vous

Lien vers le commentaire
Partager sur d’autres sites

rannohdecryptor ne fonctionne pas ou je ne sais pas m'en servir. il me demande le fichiers d'origine mais je ne l'ai pas; tous mes fichiers sont blancs et affichés'locked'

Lien vers le commentaire
Partager sur d’autres sites

quand a shadow explorer je n'arrive pas a l'utiliser; quand je l'ouvre il ne se passe rien!!

faut avouer que je ne suis pas très doué non plus

Lien vers le commentaire
Partager sur d’autres sites

Comme je vous l'ai dit, il faut un fichier locked et un autre d'origine.

Vous n'avez pas de photos sauvegardées sur cd ou support externe ?

 

Pour désinfecter:

1)Tentez d'abord une restauration à une date antérieure.

Dans le cas où Windows est bloqué notamment par des ransomwares.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.

Il est téléchargeable depuis ce lien : Microsoft Standalone System Sweeper Tool

 

Télécharger le programme et le lancer

Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.

Lorsque la clef USB ou le CD est prêt :

Redémarrer l’ordinateur et modifier la séquence de démarrage dans le Bios:

Laissez le Scan s’opérer

A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».

Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquée.

 

2)Eset on line Scanner

Dans ce tutoriel, nous configurons le scanner pour une analyse seule (pas de suppressions).

En effet, un faux-positif est toujours possible.

Nous préférons faire une analyse approfondie des résultats avant de supprimer les détections.

 

3)

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

Si vous avez les 2 fichiers nécessaires indiqués plus haut, lancez l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

Lien vers le commentaire
Partager sur d’autres sites

je vous remercie de votre aide, j'ai bien un cd de sauvegarde mais je n'ai pas toute mes photos dessus .et bien sur ces celles qui me manquent que je souhaitais récupérer mais apparement ce n'est pas possible vu que je n'ai pas les originaux ainsi que pour mes films.

j'ai bien fait la restauration ainsi que la désinfection avec MBAM.

Lien vers le commentaire
Partager sur d’autres sites

j'ai bien un cd de sauvegarde mais je n'ai pas toute mes photos dessus

 

Il faut et il suffit que vous en trouviez une seule et la même locked..

Bien entendu, la désinfection doit précéder cela.

 

j'ai bien fait la restauration ainsi que la désinfection avec MBAM.

 

Il faut en poster les rapports.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

alwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.05.29.04

 

Windows 7 x64 NTFS

Internet Explorer 8.0.7600.16385

peg :: PEG-PC [administrateur]

 

29/05/2012 15:26:22

mbam-log-2012-05-29 (15-26-22).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 377620

Temps écoulé: 1 heure(s), 34 minute(s), 44 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 32

HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Mis en quarantaine et supprimé avec succès.

HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.ShoppingReports2) -> Mis en quarantaine et supprimé avec succès.

HKCR\ClickPotatoLiteAx.Info (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\ClickPotatoLiteAx.Info.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbAx (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButton (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Mis en quarantaine et supprimé avec succès.

HKCR\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCU\Software\clickpotatolitesa (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKCU\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 1

HKLM\SOFTWARE\Mozilla\Firefox\extensions|[email protected]om (Adware.ClickPotato) -> Données: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox\extensions -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 13

C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Users\peg\AppData\Roaming\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox\extensions (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox\extensions\plugins (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ShoppingReport2 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ShoppingReport2\Bin (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ShoppingReport2\Bin\2.7.34 (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 11

C:\Program Files (x86)\ShoppingReport2\Uninst.exe (Adware.ShoppingReports2) -> Mis en quarantaine et supprimé avec succès.

C:\Users\peg\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAAbout.mht.yrdy (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\ClickPotatoLiteSA\locked-ClickPotatoLiteSAEULA.mht.rqff (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...