Le virus "Gendarmerie nationale" a frappé
Résolu/Fermé
Lex Lagarden
Messages postés
3
Date d'inscription
samedi 7 janvier 2012
Statut
Membre
Dernière intervention
7 janvier 2012
-
7 janv. 2012 à 11:33
Utilisateur anonyme - 8 févr. 2012 à 10:02
Utilisateur anonyme - 8 févr. 2012 à 10:02
A voir également:
- Le virus "Gendarmerie nationale" a frappé
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Operagxsetup virus ✓ - Forum Virus
- Convocation gendarmerie boite aux lettres - Forum Vos droits sur internet
- Faux message virus ordinateur - Accueil - Arnaque
16 réponses
Utilisateur anonyme
7 janv. 2012 à 11:35
7 janv. 2012 à 11:35
Bonjour
Tu démarres comme pour le mode sans echec mais tu choisis:
Invite de commande en mode sans echec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
rstrui
Pour obtenir :
C : \windows \system32 > rstrui
Cela te permettra d'accéder à la restauration
Mode opératoire si tu disposes de Seven
@+
Tu démarres comme pour le mode sans echec mais tu choisis:
Invite de commande en mode sans echec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
rstrui
Pour obtenir :
C : \windows \system32 > rstrui
Cela te permettra d'accéder à la restauration
Mode opératoire si tu disposes de Seven
@+
Ticki84
Messages postés
850
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
158
7 janv. 2012 à 11:36
7 janv. 2012 à 11:36
https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol
Lex Lagarden
Messages postés
3
Date d'inscription
samedi 7 janvier 2012
Statut
Membre
Dernière intervention
7 janvier 2012
2
7 janv. 2012 à 12:08
7 janv. 2012 à 12:08
Merci de répondre aussi promptement!!!
@ Guillaume5188: je vois où tu veux en venir, j'ai suivi ta manip et là HORREUR: il me dit que mon service de restauration système a été suspendu!!!(jamais je ne l'aurais fait consciemment, ce genre de truc m'a trop tiré d'embûches par le passé) Donc j'étais un peu dégoûté.
Du coup j'ai été voir le lien de Ticki84 et vu que sur mon ordi infecté j'ai réussi à lancer le mode sans échec avec prise en charge réseau je suis en train de lancer un scan avec Malwarebyte. J'attends les résultats et je vous tiens au jus illico!
Et encore merci :)
@ Guillaume5188: je vois où tu veux en venir, j'ai suivi ta manip et là HORREUR: il me dit que mon service de restauration système a été suspendu!!!(jamais je ne l'aurais fait consciemment, ce genre de truc m'a trop tiré d'embûches par le passé) Donc j'étais un peu dégoûté.
Du coup j'ai été voir le lien de Ticki84 et vu que sur mon ordi infecté j'ai réussi à lancer le mode sans échec avec prise en charge réseau je suis en train de lancer un scan avec Malwarebyte. J'attends les résultats et je vous tiens au jus illico!
Et encore merci :)
Ticki84
Messages postés
850
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
26 décembre 2017
158
7 janv. 2012 à 12:22
7 janv. 2012 à 12:22
De rien :) Tiens nous au courant.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
7 janv. 2012 à 12:34
7 janv. 2012 à 12:34
Re
Ton service n'a pas été suspendu ;mais jamais activé par tes soins
@+
Ton service n'a pas été suspendu ;mais jamais activé par tes soins
@+
Utilisateur anonyme
7 janv. 2012 à 12:38
7 janv. 2012 à 12:38
salut juste pour dire qu'un fichier appartenant à l'infection ne sera pas detecté (logiquement) par malwarebytes , il se trouve ici :
%AppData%\<random>.dat
%AppData%\<random>.dat
Lex Lagarden
Messages postés
3
Date d'inscription
samedi 7 janvier 2012
Statut
Membre
Dernière intervention
7 janvier 2012
2
7 janv. 2012 à 13:12
7 janv. 2012 à 13:12
Le scan est terminé: il m'a détecté deux trojan "Trojan.Zedbot.CBC.Gen". je les supprime?
@Ticki84: après avoir supprimé à l'aide de Malwarebyte, il faut que j'utilise roguekiller c'est ça?
@Guillaume5188: la vache, tu m'en apprends une bonne! je m'y attèlerai dès que mon ordi sera réparé, même si ça m'étonne grandement. si je voulais continuer la logique de ta solution de désinfection, je suis parti pour réinstaller l'image système ou carrément windows, c'est ça?
@g3n-h@ckm@n: merci pour la précision! du coup je l'éradique commetn, en le recherchant manuellement?
@Ticki84: après avoir supprimé à l'aide de Malwarebyte, il faut que j'utilise roguekiller c'est ça?
@Guillaume5188: la vache, tu m'en apprends une bonne! je m'y attèlerai dès que mon ordi sera réparé, même si ça m'étonne grandement. si je voulais continuer la logique de ta solution de désinfection, je suis parti pour réinstaller l'image système ou carrément windows, c'est ça?
@g3n-h@ckm@n: merci pour la précision! du coup je l'éradique commetn, en le recherchant manuellement?
Utilisateur anonyme
7 janv. 2012 à 13:20
7 janv. 2012 à 13:20
Re
Poste ce rapport de Malwaresbytes
et passe à RogueKiller option 2
@+
Poste ce rapport de Malwaresbytes
et passe à RogueKiller option 2
@+
ça marche, je m'occupe de rogue killer de ce pas!
voici le rapport:
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Axel [Droits d'admin]
Mode: Suppression -- Date : 07/01/2012 13:26:25
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 46969111fc5bbceea68e321566e0ac90
[BSP] fa4e6d85f642031404d9d9d32aba8871 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 320067 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 625952768 | Size: 319646 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Axel [Droits d'admin]
Mode: Suppression -- Date : 07/01/2012 13:26:25
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 46969111fc5bbceea68e321566e0ac90
[BSP] fa4e6d85f642031404d9d9d32aba8871 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 320067 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 625952768 | Size: 319646 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Utilisateur anonyme
7 janv. 2012 à 13:37
7 janv. 2012 à 13:37
Re
Si tu le veux bien;procédons à un diagnostic de ton PC;
Pour cela:
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Si tu le veux bien;procédons à un diagnostic de ton PC;
Pour cela:
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Utilisateur anonyme
Modifié par Guillaume5188 le 7/01/2012 à 14:48
Modifié par Guillaume5188 le 7/01/2012 à 14:48
Re
1)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.
2)Tu disposes de Ccleaner;met le à jour et lance le avec ces réglages:
-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.
3)Purge la restauration sur Seven
Comment faire :
http://www.forum-seven.com/forum/
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
Pour toi la partie activation de la restauration et crée un point de restauration
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
1)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.
2)Tu disposes de Ccleaner;met le à jour et lance le avec ces réglages:
-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.
3)Purge la restauration sur Seven
Comment faire :
http://www.forum-seven.com/forum/
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
Pour toi la partie activation de la restauration et crée un point de restauration
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.07.01
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Axel :: AXEL-PERSONNEL [administrateur]
Protection: Désactivé
07/01/2012 12:04:10
mbam-log-2012-01-07 (12-04-10).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 334097
Temps écoulé: 38 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Axel\AppData\Local\Temp\0.595386707664698.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Axel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\c1f0bfb-6f7448da (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2012.01.07.01
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Axel :: AXEL-PERSONNEL [administrateur]
Protection: Désactivé
07/01/2012 12:04:10
mbam-log-2012-01-07 (12-04-10).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 334097
Temps écoulé: 38 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Axel\AppData\Local\Temp\0.595386707664698.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Axel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\c1f0bfb-6f7448da (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
(fin)
Utilisateur anonyme
7 janv. 2012 à 16:11
7 janv. 2012 à 16:11
Re
Si tu as bien tout fait;et que tu n'as plus de problèmes.
Je te propose de clore ce post.
Attention de maintenir à jour ton PC sinon tu te fera vite rattraper.
@+
Si tu as bien tout fait;et que tu n'as plus de problèmes.
Je te propose de clore ce post.
Attention de maintenir à jour ton PC sinon tu te fera vite rattraper.
@+
Et bien je vous remercie tous les trois très chaleureusement de m'avoir aidé aujourd'hui. Je ne savais vraiment pas comment m'en sortir ce matin en ouvrant mon pc après deux semaines, et votre aide m'a été très précieuse!!
Félicitations et remerciements particuliers à Guillaume5188 pour sa patience et sa réactivité, ainsi qu'à Ticki84 pour sa soluce qui m'a, elle aussi, été d'une grande aide.
Je vous souhaite une excellente année 2012, en vous disant que vous pouvez dormir tranquille, votre maxi BA de la journée a été faite! =)
Félicitations et remerciements particuliers à Guillaume5188 pour sa patience et sa réactivité, ainsi qu'à Ticki84 pour sa soluce qui m'a, elle aussi, été d'une grande aide.
Je vous souhaite une excellente année 2012, en vous disant que vous pouvez dormir tranquille, votre maxi BA de la journée a été faite! =)