Le virus "Gendarmerie nationale" a frappé

Résolu/Fermé
Lex Lagarden Messages postés 3 Date d'inscription samedi 7 janvier 2012 Statut Membre Dernière intervention 7 janvier 2012 - 7 janv. 2012 à 11:33
 Utilisateur anonyme - 8 févr. 2012 à 10:02
Bonjour,

Et oui, moi aussi j'ai été victime, il y a une quinzaine de jours, du virus se faisant passé pour la gendarmerie nationale. D'un coup, une grande fenêtre pleine page s'affiche avec les logos de la gendarmerie, je ne peux rien faire d'autre que de lire "attantion-gnagnagna-payez 200 euros dans les trois jours". Je suis parti en déplacement puis en vacances le lendemain, c'est pour cela que j'ai laissé passer deux semaines avant de venir vous demander votre aide.

En regardant les sujets résolus sur ce virus, j'ai l'impression qu'il n'y a que des solutions au cas par cas, avec à chaque fois une âme louable qui aide la victime en regardant ses rapports de scan, etc.

N'y a-t-il pas une solution "générale", une procédure "habituelle"à suivre pour virer ce virus de mon ordi (je vous écris avec une autre machine), pour pouvoir le récupérer?

J'attends vos réponses avec impatience, en vous remerciant d'avance!


A voir également:

16 réponses

Utilisateur anonyme
7 janv. 2012 à 11:35
Bonjour

Tu démarres comme pour le mode sans echec mais tu choisis:

Invite de commande en mode sans echec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).

@ pour espace

cd \
cd@windows
cd@system32
rstrui


Pour obtenir :
C : \windows \system32 > rstrui

Cela te permettra d'accéder à la restauration

Mode opératoire si tu disposes de Seven

@+
2
Ticki84 Messages postés 850 Date d'inscription mardi 17 août 2010 Statut Membre Dernière intervention 26 décembre 2017 158
7 janv. 2012 à 11:36
https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol
1
Lex Lagarden Messages postés 3 Date d'inscription samedi 7 janvier 2012 Statut Membre Dernière intervention 7 janvier 2012 2
7 janv. 2012 à 12:08
Merci de répondre aussi promptement!!!
@ Guillaume5188: je vois où tu veux en venir, j'ai suivi ta manip et là HORREUR: il me dit que mon service de restauration système a été suspendu!!!(jamais je ne l'aurais fait consciemment, ce genre de truc m'a trop tiré d'embûches par le passé) Donc j'étais un peu dégoûté.

Du coup j'ai été voir le lien de Ticki84 et vu que sur mon ordi infecté j'ai réussi à lancer le mode sans échec avec prise en charge réseau je suis en train de lancer un scan avec Malwarebyte. J'attends les résultats et je vous tiens au jus illico!

Et encore merci :)
1
Ticki84 Messages postés 850 Date d'inscription mardi 17 août 2010 Statut Membre Dernière intervention 26 décembre 2017 158
7 janv. 2012 à 12:22
De rien :) Tiens nous au courant.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
7 janv. 2012 à 12:34
Re

Ton service n'a pas été suspendu ;mais jamais activé par tes soins

@+
1
Utilisateur anonyme
7 janv. 2012 à 12:38
salut juste pour dire qu'un fichier appartenant à l'infection ne sera pas detecté (logiquement) par malwarebytes , il se trouve ici :

%AppData%\<random>.dat
1
merci pour la précision, mais je ne trouve ce fichier nulle part, ni dans les fichiers cachés...
0
Lex Lagarden Messages postés 3 Date d'inscription samedi 7 janvier 2012 Statut Membre Dernière intervention 7 janvier 2012 2
7 janv. 2012 à 13:12
Le scan est terminé: il m'a détecté deux trojan "Trojan.Zedbot.CBC.Gen". je les supprime?

@Ticki84: après avoir supprimé à l'aide de Malwarebyte, il faut que j'utilise roguekiller c'est ça?

@Guillaume5188: la vache, tu m'en apprends une bonne! je m'y attèlerai dès que mon ordi sera réparé, même si ça m'étonne grandement. si je voulais continuer la logique de ta solution de désinfection, je suis parti pour réinstaller l'image système ou carrément windows, c'est ça?

@g3n-h@ckm@n: merci pour la précision! du coup je l'éradique commetn, en le recherchant manuellement?
1
Utilisateur anonyme
7 janv. 2012 à 13:20
Re


Poste ce rapport de Malwaresbytes
et passe à RogueKiller option 2

@+
1
ça marche, je m'occupe de rogue killer de ce pas!
1
voici le rapport:

RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Axel [Droits d'admin]
Mode: Suppression -- Date : 07/01/2012 13:26:25

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 46969111fc5bbceea68e321566e0ac90
[BSP] fa4e6d85f642031404d9d9d32aba8871 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 320067 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 625952768 | Size: 319646 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
moi aussi j'ai ete victime de ce maudit virus impossible de m'en défaire par tous les moyen donné.il a fallu donc tous reformaté pour enfin pouvoir suprimer ce fichu virus.
0
Utilisateur anonyme
8 févr. 2012 à 10:02
mouhaahhahahahaa !!!!
0
Utilisateur anonyme
7 janv. 2012 à 13:37
Re

Si tu le veux bien;procédons à un diagnostic de ton PC;

Pour cela:


Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
1
je fais ça de suite. C'est pour vérifier que le virus est éradiqué c'est ça?
0
Utilisateur anonyme
7 janv. 2012 à 13:55
Oui et +
0
Re

1)
Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


2)
Tu disposes de Ccleaner;met le à jour et lance le avec ces réglages:
-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

3)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

Pour toi la partie activation de la restauration et crée un point de restauration

@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
1
nickel je fais c'est trois étapes et je te dis tout de suite. Sinon tu as vu le scan de roguekiller entre-temps, rien de particulier?
0
Utilisateur anonyme
7 janv. 2012 à 15:11
Non
0
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.07.01

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Axel :: AXEL-PERSONNEL [administrateur]

Protection: Désactivé

07/01/2012 12:04:10
mbam-log-2012-01-07 (12-04-10).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 334097
Temps écoulé: 38 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Axel\AppData\Local\Temp\0.595386707664698.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Axel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\c1f0bfb-6f7448da (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120107_r5s1115j6g8
0
et voici! =)
0
Manip' faite! du coup c'est bon maintenant, mon ordi est en pleine forme? :)
0
Utilisateur anonyme
7 janv. 2012 à 16:11
Re

Si tu as bien tout fait;et que tu n'as plus de problèmes.
Je te propose de clore ce post.

Attention de maintenir à jour ton PC sinon tu te fera vite rattraper.

@+
0
t'inquiètes, je fais assez souvent mes mises à jour ^^
0
Et bien je vous remercie tous les trois très chaleureusement de m'avoir aidé aujourd'hui. Je ne savais vraiment pas comment m'en sortir ce matin en ouvrant mon pc après deux semaines, et votre aide m'a été très précieuse!!

Félicitations et remerciements particuliers à Guillaume5188 pour sa patience et sa réactivité, ainsi qu'à Ticki84 pour sa soluce qui m'a, elle aussi, été d'une grande aide.

Je vous souhaite une excellente année 2012, en vous disant que vous pouvez dormir tranquille, votre maxi BA de la journée a été faite! =)
0