Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Abandon] Virus gendarmerie


 Share

Messages recommandés

Bonjour a tous,

 

J'ai une station windows xp qui a attrapé le virus gendarmerie...J'ai utilisé fsecure et malwarebytes pour nettoyer et la station démarre enfin et semble propre (scan et analyse faites apres un bon redémmarage et ni malware ni fsecure ne trouvent de virus ou autres chevaux de troie...).

 

Par contre, tous les fichiers de données (.doc, .jpg, .zip .....) ont été renommés sous la forme: LOCKED.nom de fichier.extension initiale.extension barbare

 

Comment pourrais je les nettoyer/récupérer svp ??

 

Merci de votre aide rapide.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Zephir 11, tu n'as pas les autorisations de poster dans les sujets de désinfection; seuls les membres habilités 'équipe sécu' ont ce droit.

 

-----------------------

 

L'extension "barbare", c'est 4 caractères aléatoires?

 

Si tu es certain que le pc a été désinfecté avec tes outils:

 

Télécharge Rannoh Decryptor : Utility for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection et enregistre-le sur le bureau.

 

Lance-le puis clique sur "Change parameters", coche la case "Delete crypted files after decryption".

 

rannoh-1-35639ed.jpg

 

L'outil va demander d'abord un fichier original qui doit peser au moins 4 Mo puis son équivalent crypté.

 

Suis les instructions du tool jusqu'à la fin; un rapport devrait être créé.

 

Exemple: C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

++

Modifié par Dylav
Le message incriminé a été enlevé ;o)
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Apollo,

 

Merci de ta réponse.

 

L'extension barbare comporte bien 4 caractères.

 

Je télécharge et lance l'utilitaire. Je t'envoie le rapport une fois que c'est terminé.

 

a+

Lien vers le commentaire
Partager sur d’autres sites

J'ai un petit pb, je ne peux pas récupérer un fichier origal non crypté.....

 

Tous les fichiers sources sont cryptés, comment puis je faire ?

Lien vers le commentaire
Partager sur d’autres sites

Tu n'aurais pas un fichier sain sur un support externe comme clé usb ou disque externe? Cela pourrait convenir.

 

Si oui, tu choisis d'abord le fichier sain du support usb puis son jumeau crypté sur le disque dur.

Lien vers le commentaire
Partager sur d’autres sites

aie.aie....

 

J'ai peur de comprendre....je n'ai aucun backup de ces fichiers sous aucun support...

 

Je suis donc dans l'impasse ?

Lien vers le commentaire
Partager sur d’autres sites

Grave erreur de ne pas faire de sauvegardes,on peut toujours en avoir besoin.

 

Tous tes fichiers sont cryptés? Tu n'a aucun qui est sain? Car éventuellement, tu peux choisir un autre fichier ou dossier non crypté pour tenter le coup avec rannoh decryptor.

 

Exemple de désinfection réussie: Virus gendarmerie nationale - Fichiers Locked - Forums Zebulon.fr

 

Pour XP, tu ne pourras pas utiliser Shadow Copy.

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Je suis en train de fouiller, de rechercher mais je ne pense pas que je vais trouver des fichiers sains....

 

Et si par miracle, j'en retrouve quelqu'uns, il faudrait qu'ils aient la taille requise et je n'ai pas beaucoup de fichiers de plus de 4 Mo....

Lien vers le commentaire
Partager sur d’autres sites

désolé pour ma dernière réponse, nos posts se sont croisés....

 

Tout à fait d'accord, je répands le même discours sur l'importance des backups mais ce n'est pas mon pc mais celui d'un client ...et ce dernier n'écoute jamais ce qu'on peut lui suggérer...

 

Il faut souvent et , c'est malheureux, attendre d'étre impacté avant de prendre les précautions.

 

Je vais essayer la méthode de ton lien.

 

Je te tiens au jus.

 

a+

Lien vers le commentaire
Partager sur d’autres sites

Si tu ne trouves pas de fichiers de cette taille, tu peux toujours tenter avec un moins lourd...

 

++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...