Virus de la Gendarmerie
Sundedro
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comme la plupart des gens qui naviguaient sur des sites de streaming, je subis le même problèmes ceux ces personnes-là. Avec le fake icône de la Gendarmerie, le programme qui bloque le PC. Je suis actuellement sur la machine contaminé en mode sans echec avec prise en raison et je vois que le programme ne bloque pas cet accès.
-> j'ai éffectué une analyse complète de la machine en mode sans echec sans prise en réseau et avec prise en réseau, quand j'vais dans le mode normal, le programme se relance.
Que puis-je faire ? je vous remercie d'avance.
Comme la plupart des gens qui naviguaient sur des sites de streaming, je subis le même problèmes ceux ces personnes-là. Avec le fake icône de la Gendarmerie, le programme qui bloque le PC. Je suis actuellement sur la machine contaminé en mode sans echec avec prise en raison et je vois que le programme ne bloque pas cet accès.
-> j'ai éffectué une analyse complète de la machine en mode sans echec sans prise en réseau et avec prise en réseau, quand j'vais dans le mode normal, le programme se relance.
Que puis-je faire ? je vous remercie d'avance.
A voir également:
- Virus de la Gendarmerie
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Message virus iphone site adulte - Forum iPhone
14 réponses
Bonjour
j'ai éffectué une analyse complète de la machine en mode sans echec sans prise en réseau et avec prise en réseau,
Avec quel programme tu as analysé ton pc??
Démarrez l'ordinateur en mode sans échec avec prise en charge réseau
téléchargez ce programme Ransomfix (merci à Xplode)
lancez-le. Il n'y a pas d'interface graphique : c'est normal !
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
Poste le rapport.
j'ai éffectué une analyse complète de la machine en mode sans echec sans prise en réseau et avec prise en réseau,
Avec quel programme tu as analysé ton pc??
Démarrez l'ordinateur en mode sans échec avec prise en charge réseau
téléchargez ce programme Ransomfix (merci à Xplode)
lancez-le. Il n'y a pas d'interface graphique : c'est normal !
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
Poste le rapport.
J'ai fais l'analyse avec mon anti-virus de tout les jours : McAfee Security-Center.
J'ai aussi vu qu'en surfant, il y'avait plusieurs solutions pour remédier à ce problème, lequel choisir ?
J'ai aussi vu qu'en surfant, il y'avait plusieurs solutions pour remédier à ce problème, lequel choisir ?
J'ai aussi vu qu'en surfant, il y'avait plusieurs solutions pour remédier à ce problème, lequel choisir ?
Commences par faire ceci ====>https://forums.commentcamarche.net/forum/affich-23979450-virus-de-la-gendarmerie#1
Commences par faire ceci ====>https://forums.commentcamarche.net/forum/affich-23979450-virus-de-la-gendarmerie#1
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lancez-le. Il n'y a pas d'interface graphique : c'est normal !
Il faut lire le résumé ;)
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
Il est la le rapport........
a+
Il faut lire le résumé ;)
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
Il est la le rapport........
a+
Ah merci ! désolé j'suis un peu un néophyte, je pensais qu'il fallait installé le logiciel puis cliquer sur démarrer et qu'à partir de là rien ne s'afficherait.
Voici le rapport :
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
Voici le rapport :
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
No bad key found
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
Oui, quand j'vais en mode normal, 2/3 minutes après avoir allumé l'ordinateur infecté, le programme du fake Gendarmerie arrive et bloque le PC.
Par contre je n'ai pas essayé depuis le ransmofix, dois-je essayé ?
Par contre je n'ai pas essayé depuis le ransmofix, dois-je essayé ?
En mode sans échec avec prise en charge réseau.
* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
================================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
================================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Utilisateur [Droits d'admin]
Mode: Suppression -- Date : 23/12/2011 20:33:36
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 4459325f5b2fb8c1ae1621f9658e2efa
[BSP] 05e74a30aa16718d35989b1a07ba737e : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 488726 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 954546176 | Size: 11377 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Utilisateur [Droits d'admin]
Mode: Suppression -- Date : 23/12/2011 20:33:36
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 4459325f5b2fb8c1ae1621f9658e2efa
[BSP] 05e74a30aa16718d35989b1a07ba737e : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 488726 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 954546176 | Size: 11377 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Fin du scan Malwarebytes :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 911122308
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19170
23/12/2011 21:23:38
mbam-log-2011-12-23 (21-23-38).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 368330
Temps écoulé: 44 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\utilisateur\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Local\Temp\0.18179066451190617.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Local\Temp\0.8425847124173474.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
On me demande de redémarrer la machine, donc je m'éxécute.
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 911122308
Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19170
23/12/2011 21:23:38
mbam-log-2011-12-23 (21-23-38).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 368330
Temps écoulé: 44 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\utilisateur\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Local\Temp\0.18179066451190617.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\utilisateur\AppData\Local\Temp\0.8425847124173474.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
On me demande de redémarrer la machine, donc je m'éxécute.
Je re-up ce post car je n'ai pas donné de signe de vie pensant que mon PC était safe mais non, le virus est revenu 3 mois plus tard.
Donc me voici, avec mon rapport Ransom.
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
[MALWARE] xau0s44h.exe : C:\Users\Utilisateur\AppData\Roaming\xau0s44h.exe
Attempting to delete value...
Value deleted successfully !
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
Donc me voici, avec mon rapport Ransom.
# RansomFix v1.0 - Xplode
# OS : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : Utilisateur - PC-DE-UTILISATE (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
[MALWARE] xau0s44h.exe : C:\Users\Utilisateur\AppData\Roaming\xau0s44h.exe
Attempting to delete value...
Value deleted successfully !
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0xD07D4C3038F3578FFCE1C0237F2A1253]
[OK]
_____| EOF |_____
Fais un scan malawarebytes en prenant soin dde le mettre a jour .
Postes le rapport
Ensuite fait ceci
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Postes le rapport
Ensuite fait ceci
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
