Faux message de la gendarmerie ordi bloqué
fredmar
-
dufamour -
dufamour -
Bonjour,
je viens d'être infecté comme la plupart des internautes par un faux message de la gendarmerie me demandant de débourser la somme de 200 euros pour remedier à ce pb!!!
en lisant certains fiches explicatives je viens de telecharger Roguekiller et je viens d'obtenir le rapport suivant:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci de bien vouloir m'aider
je viens d'être infecté comme la plupart des internautes par un faux message de la gendarmerie me demandant de débourser la somme de 200 euros pour remedier à ce pb!!!
en lisant certains fiches explicatives je viens de telecharger Roguekiller et je viens d'obtenir le rapport suivant:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci de bien vouloir m'aider
A voir également:
- Faux message de la gendarmerie ordi bloqué
- Ordi qui rame - Guide
- Code puk bloqué - Guide
- Comment reinitialiser un ordi - Guide
- Recuperer message whatsapp supprimé - Guide
- Téléphone bloqué code verrouillage - Guide
3 réponses
Re,
No action taken. ===> Les infections ne sont pas supprimées!
Relance Malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" puis sur "Supprimer la sélection" et poste le rapport stp
@+
No action taken. ===> Les infections ne sont pas supprimées!
Relance Malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" puis sur "Supprimer la sélection" et poste le rapport stp
@+
Bonjour,
1/
Relance RogueKiller puis tapes 2 et poste le rapport stp
2/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\
* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"
* Copie/colle le rapport dans le prochain message
Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
@+
1/
Relance RogueKiller puis tapes 2 et poste le rapport stp
2/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\
* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"
* Copie/colle le rapport dans le prochain message
Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
@+
1) voici le rapport sur rogue killer
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Suppression -- Date : 17/12/2011 11:48:27
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
et pour le point 2
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8384
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
17/12/2011 12:28:47
mbam-log-2011-12-17 (12-27-35).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 341752
Temps écoulé: 30 minute(s), 49 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\dary\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\PZNSR7WW\readme[1].exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Local\Temp\wpbt0.dll (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Roaming\w25zxz84.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\Desktop\rk_quarantine\w25zxz84.exe.vir (Trojan.FakeAlert) -> No action taken.
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Suppression -- Date : 17/12/2011 11:48:27
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
et pour le point 2
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8384
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
17/12/2011 12:28:47
mbam-log-2011-12-17 (12-27-35).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 341752
Temps écoulé: 30 minute(s), 49 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\dary\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\PZNSR7WW\readme[1].exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Local\Temp\wpbt0.dll (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Roaming\w25zxz84.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\Desktop\rk_quarantine\w25zxz84.exe.vir (Trojan.FakeAlert) -> No action taken.
Bonjour,
La solution est simple pour desactiver ce trojan :
Demarer en mode sans echec avec F8 au démarrage
Aller dans executer et taper « msconfig »
Aller dans l'onglet démarrage
Dans la colone « Commande », decocher la case : « C:Users/.../AppData/Roaming/6fghxa4b.exe
Appliquer - OK et redemarrer
Et le trojan démontré plus haut ne se montre plus
La solution est simple pour desactiver ce trojan :
Demarer en mode sans echec avec F8 au démarrage
Aller dans executer et taper « msconfig »
Aller dans l'onglet démarrage
Dans la colone « Commande », decocher la case : « C:Users/.../AppData/Roaming/6fghxa4b.exe
Appliquer - OK et redemarrer
Et le trojan démontré plus haut ne se montre plus
