Virus gendarmerie nationale
Lili
-
dr.pc1 Messages postés 5077 Statut Contributeur -
dr.pc1 Messages postés 5077 Statut Contributeur -
Bonjour,
comme beaucoup j'ai chopé ce satané virus ... J'ai suivie toute la procédure indiquée sur http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/#comment-2056
mais je suis bloquée au moment d'aller sur internet via le gestionnaire de tâches... Je suis sous Seven.
« en lançant avec CTRL+Entrée, ça lance l'UAC et la confirmation d'élévation de privilèges, donc Internet Explorer sera lancé en administrateur et donc tu pourras télécharger et enregistrer le fichier dans le dossier Windows car tu pourras écrire dedans. »
J'ai suivie la procédure, mais aucun message s'affiche me disant que j'ai les droits d'administrateur et si j'essaie quand même de remplacer explore.exe, on me dit qu'explorer.exe n'a pas pu être téléchargé.
Comment puis je faire?
Merci!
comme beaucoup j'ai chopé ce satané virus ... J'ai suivie toute la procédure indiquée sur http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/#comment-2056
mais je suis bloquée au moment d'aller sur internet via le gestionnaire de tâches... Je suis sous Seven.
« en lançant avec CTRL+Entrée, ça lance l'UAC et la confirmation d'élévation de privilèges, donc Internet Explorer sera lancé en administrateur et donc tu pourras télécharger et enregistrer le fichier dans le dossier Windows car tu pourras écrire dedans. »
J'ai suivie la procédure, mais aucun message s'affiche me disant que j'ai les droits d'administrateur et si j'essaie quand même de remplacer explore.exe, on me dit qu'explorer.exe n'a pas pu être téléchargé.
Comment puis je faire?
Merci!
A voir également:
- Virus gendarmerie nationale
- Virus mcafee - Accueil - Piratage
- Comment détruire un virus informatique - Guide
- Powershell.exe virus - Guide
- Filezilla virus ✓ - Forum Virus
- Format factory virus - Forum Logiciels
4 réponses
Résumé de la discussion
Une infection par un ransomware affichant une fausse alerte policière empêche l’accès normal et complique les tentatives de suppression sous Windows 7, nécessitant parfois des manipulations hors ligne ou en mode sans échec. Des conseils évoquent de démarrer en mode sans échec avec prise en charge réseau, puis d’utiliser des outils comme RansomFix ou RogueKiller pour générer un rapport et tenter l’éradication. Certaines instructions suggèrent d’utiliser le gestionnaire des tâches pour lancer explorer.exe et d’évaluer les droits d’administrateur, alors que d’autres recommandent de redémarrer en mode sans échec et de vérifier les mises à jour logicielles.
Salut,
**Démarre l'ordinateur en mode sans échec avec prise en charge réseau
*Télécharge Ransomfix (merci à Xplode) : ici
*Lance-le. Il n'y a pas d'interface graphique : c'est normal :-)
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
*Donne-moi ce rapport ;-)
**Démarre l'ordinateur en mode sans échec avec prise en charge réseau
*Télécharge Ransomfix (merci à Xplode) : ici
*Lance-le. Il n'y a pas d'interface graphique : c'est normal :-)
Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
*Donne-moi ce rapport ;-)
* Télécharge RogueKiller : ici
*Lance grâce au gestionnaire des taches
* Lorsque demandé, tape 2 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donne-moi son contenu
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas, le renommer en winlogon.exe
* Relance-le et tape 6
* Il me faudrait le"s deux rapports :-)
*Lance grâce au gestionnaire des taches
* Lorsque demandé, tape 2 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donne-moi son contenu
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas, le renommer en winlogon.exe
* Relance-le et tape 6
* Il me faudrait le"s deux rapports :-)
1er rapport :
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Anne Lise MASSON [Droits d'admin]
Mode: Suppression -- Date : 30/12/2011 17:52:58
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 1540039c0392d077dd43697ecbdbe7b2
[BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista/7 MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 106 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 212992 | Size: 22963 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 45064192 | Size: 226985 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Anne Lise MASSON [Droits d'admin]
Mode: Suppression -- Date : 30/12/2011 17:52:58
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 1540039c0392d077dd43697ecbdbe7b2
[BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista/7 MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 106 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 212992 | Size: 22963 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 45064192 | Size: 226985 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
voilà le 2ème (j'ai pris ce qui s'affichait dans le bloc note, je sais pas si c'est de ça que tu as besoin... ^^)
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Anne Lise MASSON [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 30/12/2011 17:55:22
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 7 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 1017 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 130 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 48 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Anne Lise MASSON [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 30/12/2011 17:55:22
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 7 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 1017 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 130 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 48 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
comme beaucoup j'ai chopé ce satané virus !
------------------------------------------------------------------------------------------------------
comment faites vous pour choper ses tas de virus ?
cela fait des années que je fait du pc,je surf sur internet tous les jours,et jamais j'ais été vérolé !
mais ou diable allez vous mettre vos clics de souris !
------------------------------------------------------------------------------------------------------
comment faites vous pour choper ses tas de virus ?
cela fait des années que je fait du pc,je surf sur internet tous les jours,et jamais j'ais été vérolé !
mais ou diable allez vous mettre vos clics de souris !
*Télécharge et installe Malwarebyte's Anti-Malware : ici
-Lance-le grâce au gestionnaire des tâche
-Met la base de définition à jour
-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )
A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.
Et poste-moi le rapport dans ta prochaine réponse :-)
PS : je dois m'absenter :-)
-Lance-le grâce au gestionnaire des tâche
-Met la base de définition à jour
-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )
A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.
Et poste-moi le rapport dans ta prochaine réponse :-)
PS : je dois m'absenter :-)
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2011.12.30.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Anne Lise MASSON :: ANNELISEMASSON [administrateur]
30/12/2011 18:20:15
mbam-log-2011-12-30 (18-20-15).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288466
Temps écoulé: 34 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Users\Anne Lise MASSON\AppData\Local\Temp\0.13126557820551155.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Anne Lise MASSON\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\425dddf7-79c8487c (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Anne Lise MASSON\AppData\Roaming\ln8lt3tk.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2011.12.30.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Anne Lise MASSON :: ANNELISEMASSON [administrateur]
30/12/2011 18:20:15
mbam-log-2011-12-30 (18-20-15).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288466
Temps écoulé: 34 minute(s), 35 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Users\Anne Lise MASSON\AppData\Local\Temp\0.13126557820551155.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Anne Lise MASSON\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\425dddf7-79c8487c (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Anne Lise MASSON\AppData\Roaming\ln8lt3tk.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
"Redémarrez en invites de commandes en mode sans échec : Au démarrage de l'ordinateur, après le premier écran et avant le logo Windows, juste au changement d'écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec
Sur la fenêtre cmd.exe, tapez regedit et validez
Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, chercher Shell, vous devez avoir explorer.exe - remplacer par iexplore.exe"
Du coup, quand j'allume mon ordi en mode sans échec avec prise en charge du réseau; je n'ai qu'une page noire, et je ne peux pas aller sur internet.
Redémarrez l'ordinateur en mode normal.
Vous devriez avoir Internet Explorer qui se lance tout seul.
Si ce n'est pas le cas, si vous avez votre fond d'écran :
Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.
Sur les gestionnaire de tâches :
Cliquez sur le Menu Fichier puis Nouvelle tâche
Saisir iexplore.exe - Si vous êtes sur Windows Vista ou Seven, faites SHFIT+CTRL (à gauche de la barre d'espace - Shift est la touche majuscule) et Entrée pour valider, cela va déclencher l'UAC (demande d'autorisation pour modifier le système), pour Windows XP validez simplement - Internet Explorer se lance
Téléchargez le explorer.exe correspondant à votre système :
Windows XP SP3 : https://www.malekal.com/download/explorer_XP_SP3.exe
Windows XP SP2 : https://www.malekal.com/download/explorer_XP_SP2.exe
Windows Vista : https://www.malekal.com/download/explorer_Vista_SP2.exe
Windows Seven SP1 : https://www.malekal.com/download/explorer_Seven_SP1.exe
Enregistrer le fichier dans le dossier C:Windows sous le nom explorer.exe en remplaçant celui existant.
Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en remettant explorer.exe dans la clef.
Fermer toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à partir du gestionnaîre de tâches.
Redémarrez l'ordinateur, vous devriez avoir accès à votre système.