[Abandon] Virus gendarmerie

[mo;mo]

Bonjour a tous,

 

J'ai une station windows xp qui a attrapé le virus gendarmerie...J'ai utilisé fsecure et malwarebytes pour nettoyer et la station démarre enfin et semble propre (scan et analyse faites apres un bon redémmarage et ni malware ni fsecure ne trouvent de virus ou autres chevaux de troie...).

 

Par contre, tous les fichiers de données (.doc, .jpg, .zip .....) ont été renommés sous la forme: LOCKED.nom de fichier.extension initiale.extension barbare

 

Comment pourrais je les nettoyer/récupérer svp ??

 

Merci de votre aide rapide.

[Apollo]

Bonjour,

 

Zephir 11, tu n'as pas les autorisations de poster dans les sujets de désinfection; seuls les membres habilités 'équipe sécu' ont ce droit.

 

-----------------------

 

L'extension "barbare", c'est 4 caractères aléatoires?

 

Si tu es certain que le pc a été désinfecté avec tes outils:

 

Télécharge Rannoh Decryptor : Utility for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection et enregistre-le sur le bureau.

 

Lance-le puis clique sur "Change parameters", coche la case "Delete crypted files after decryption".

 

 

L'outil va demander d'abord un fichier original qui doit peser au moins 4 Mo puis son équivalent crypté.

 

Suis les instructions du tool jusqu'à la fin; un rapport devrait être créé.

 

Exemple: C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

++

Modifié le 26 juin 2012 par Dylav
Le message incriminé a été enlevé ;o)

[mo;mo]

Bonjour Apollo,

 

Merci de ta réponse.

 

L'extension barbare comporte bien 4 caractères.

 

Je télécharge et lance l'utilitaire. Je t'envoie le rapport une fois que c'est terminé.

 

a+

[mo;mo]

J'ai un petit pb, je ne peux pas récupérer un fichier origal non crypté.....

 

Tous les fichiers sources sont cryptés, comment puis je faire ?

[Apollo]

Tu n'aurais pas un fichier sain sur un support externe comme clé usb ou disque externe? Cela pourrait convenir.

 

Si oui, tu choisis d'abord le fichier sain du support usb puis son jumeau crypté sur le disque dur.

[mo;mo]

aie.aie....

 

J'ai peur de comprendre....je n'ai aucun backup de ces fichiers sous aucun support...

 

Je suis donc dans l'impasse ?

[Apollo]

Grave erreur de ne pas faire de sauvegardes,on peut toujours en avoir besoin.

 

Tous tes fichiers sont cryptés? Tu n'a aucun qui est sain? Car éventuellement, tu peux choisir un autre fichier ou dossier non crypté pour tenter le coup avec rannoh decryptor.

 

Exemple de désinfection réussie: Virus gendarmerie nationale - Fichiers Locked - Forums Zebulon.fr

 

Pour XP, tu ne pourras pas utiliser Shadow Copy.

 

 

@++

[mo;mo]

Je suis en train de fouiller, de rechercher mais je ne pense pas que je vais trouver des fichiers sains....

 

Et si par miracle, j'en retrouve quelqu'uns, il faudrait qu'ils aient la taille requise et je n'ai pas beaucoup de fichiers de plus de 4 Mo....

[mo;mo]

désolé pour ma dernière réponse, nos posts se sont croisés....

 

Tout à fait d'accord, je répands le même discours sur l'importance des backups mais ce n'est pas mon pc mais celui d'un client ...et ce dernier n'écoute jamais ce qu'on peut lui suggérer...

 

Il faut souvent et , c'est malheureux, attendre d'étre impacté avant de prendre les précautions.

 

Je vais essayer la méthode de ton lien.

 

Je te tiens au jus.

 

a+

[Apollo]

Si tu ne trouves pas de fichiers de cette taille, tu peux toujours tenter avec un moins lourd...

 

++