[Résolu] Windows 7 infecté, les fichiers sont en ".locked"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

jonathan_9
Messages : 3
Inscription : 09 févr. 2016 19:22

[Résolu] Windows 7 infecté, les fichiers sont en ".locked"

Message par jonathan_9 » 09 févr. 2016 19:29

Bonjour à tous,

D'abord merci pour l'aide que vous pourrez m'apporter.
J'ai été infecté par un virus qui me verrouille l'accès à tous mes fichiers.

J'ai parcouru différents sujets avant de poster.

J'ai donc téléchargé FRST et j'ai fait un scan

http://pjjoint.malekal.com/files.php?id ... 8g12o6e5z6
http://pjjoint.malekal.com/files.php?id ... d86j7c8z13

Pourriez vous m'indiquer quelle est la suite de la procédure?

Par avance merci :)

Jonathan CACHAN




Malekal_morte
Site Admin
Site Admin
Messages : 98116
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par Malekal_morte » 09 févr. 2016 21:34

Salut,

Windows a été infecté par Job Crypter, un rançongiciel chiffreur de fichiers ( Crypto-Ransomware )

Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )

Deux choses à faire :

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 2016-01-26 21:05 - 2016-02-06 10:08 - 00000000 ___HD C:\Users\Jean-Pierre CACHAN\AppData\Roaming\ProgramFiles(32.2) 
ProxyServer: [S-1-5-21-773696072-414841696-2452238185-1001] => localhost:21320 
AutoConfigURL: [S-1-5-21-773696072-414841696-2452238185-1001] => localhost:21320 
 C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe [
 HKU\S-1-5-21-773696072-414841696-2452238185-1001\...\Run: [application] => C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe [476672 2016-02-06] ()  
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2016-02-06] ()
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk.locked [2016-02-06]
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup32.2.exe.locked [2016-02-06] ()
2016-02-06 08:42 - 2016-02-06 08:42 - 0847424 _____ () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\FileLocker.exe.locked
2016-02-06 00:15 - 2016-02-06 00:14 - 0476672 ____H () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe
2016-02-06 08:42 - 2016-02-06 10:05 - 0847424 _____ () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe.locked

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

jonathan_9
Messages : 3
Inscription : 09 févr. 2016 19:22

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par jonathan_9 » 10 févr. 2016 08:49

Bonjour,

D'abord merci beaucoup pour ton aide.
Je crois avoir comme prévu l'intégralité du contenu de mon poste, comme prévu :)
Mais j'ai bien reprise le contrôle de la bête !

Je t'en remercie encore.

Ci-dessous le contenu du fichier fixlog.txt:

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:07-02-2016
Exécuté par Jean-Pierre CACHAN (2016-02-10 08:37:53) Run:1
Exécuté depuis C:\Users\Jean-Pierre CACHAN\Desktop
Profils chargés: Jean-Pierre CACHAN (Profils disponibles: Jean-Pierre CACHAN)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
 2016-01-26 21:05 - 2016-02-06 10:08 - 00000000 ___HD C:\Users\Jean-Pierre CACHAN\AppData\Roaming\ProgramFiles(32.2) 
ProxyServer: [S-1-5-21-773696072-414841696-2452238185-1001] => localhost:21320 
AutoConfigURL: [S-1-5-21-773696072-414841696-2452238185-1001] => localhost:21320 
 C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe [
 HKU\S-1-5-21-773696072-414841696-2452238185-1001\...\Run: [application] => C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe [476672 2016-02-06] ()  
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2016-02-06] ()
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk.locked [2016-02-06]
Startup: C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup32.2.exe.locked [2016-02-06] ()
2016-02-06 08:42 - 2016-02-06 08:42 - 0847424 _____ () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\FileLocker.exe.locked
2016-02-06 00:15 - 2016-02-06 00:14 - 0476672 ____H () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe
2016-02-06 08:42 - 2016-02-06 10:05 - 0847424 _____ () C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe.locked

*****************

C:\Users\Jean-Pierre CACHAN\AppData\Roaming\ProgramFiles(32.2) => déplacé(es) avec succès
HKU\S-1-5-21-773696072-414841696-2452238185-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
HKU\S-1-5-21-773696072-414841696-2452238185-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur non trouvé(e).
"C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe [" => non trouvé(e).
HKU\S-1-5-21-773696072-414841696-2452238185-1001\Software\Microsoft\Windows\CurrentVersion\Run\\application => valeur supprimé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt => déplacé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SABnzbd.lnk.locked => déplacé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup32.2.exe.locked => déplacé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\FileLocker.exe.locked => déplacé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe => déplacé(es) avec succès
C:\Users\Jean-Pierre CACHAN\AppData\Roaming\Locker.exe.locked => déplacé(es) avec succès

==== Fin de Fixlog 08:37:55 ====
Enfin, j'upload le fichier quarantaine où tu me l'as indiqué.
Merci et bonne journée,

Jonathan

Malekal_morte
Site Admin
Site Admin
Messages : 98116
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par Malekal_morte » 10 févr. 2016 11:57

Merci beaucoup pour l'upload ! Fichiers reçus et envoyés aux antivirus.

histoire de :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 98116
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par Malekal_morte » 11 févr. 2016 16:31

Si tout n'a pas été chiffré, Registre Windows va dans "HKCU\Software\code"
Si tu l'as tu dois être en mesure de récupérer tes documents/fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


JobCrypter
Messages : 1
Inscription : 11 févr. 2016 23:14

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par JobCrypter » 11 févr. 2016 23:22

Bonsoir,
la clé n'est pas sur le registry Windows, le virus la crée a son lancement du cryptage des fichiers, et il la supprime après avoir fini de crypté tous les fichiers sur le PC, je le sais parce que je suis le créateur de ce virus, il est facile a supprimer, il suffit de fermer son processus et de le supprimer dans %AppData%, je n'est mème pas ajouté de persistance, le plus important c'est qu'il arrive à crypter tous les fichiers des partitions du PC, de toute façon si la victime Paye elle est obligé de le réinstaller, vue que c'est lui qui décrypte les fichiers, et après d'avoir fini aussi de décrypter les fichier il s'auto supprime,
laisser moi savoir si je peux vous aider,
Bien cordialement.

jonathan_9
Messages : 3
Inscription : 09 févr. 2016 19:22

Re: Windows 7 infecté, tous les fichiers sont en ".locked"

Message par jonathan_9 » 12 févr. 2016 18:53

Et voilà: Uniquement le quarantaine.7z que je t'ai envoyé pour archivage :)
Merci,

Jonathan

Code : Tout sélectionner

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'analyse: 12/02/2016
Heure de l'analyse: 18:41
Fichier journal: 
Administrateur: Oui

Version: 2.2.0.1024
Base de données de programmes malveillants: v2016.02.12.04
Base de données de rootkits: v2016.02.08.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Jean-Pierre CACHAN

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 318068
Temps écoulé: 7 min, 39 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 1
Ransom.JobCrypter, C:\Users\Jean-Pierre CACHAN\Desktop\Quarantine.7z, , [23b1fa6500995ed86712c82424dd2ed2], 

Secteurs physiques: 0
(Aucun élément malveillant détecté)

(end)
Résolu, j'ai migré vers Windows 10.

Malekal_morte
Site Admin
Site Admin
Messages : 98116
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Windows 7 infecté, les fichiers sont en ".locke

Message par Malekal_morte » 13 févr. 2016 18:05

Ouaip c'est donc bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Verrouillé

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »