Virus gendarmerie nationale
Nanou
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
L'un de mes ordinateurs a été infecté par un virus de provenance "gendarmerie nationale" me demandant de payer une somme d'argent. Je ne peux accéder qu'aux modes sans échec, et sans échec avec réseau. Je ne sais pas du tout comment je peux y remédier. J'ai lancer un scan de avast en mode sans échec, mais je doute que ce soit suffisant. Est-ce que quelqu'un pourrait m'aider s'il vous plaît?
Je vous remercie d'avance pour le temps que vous pourriez y consacrer,
Cordialement
L'un de mes ordinateurs a été infecté par un virus de provenance "gendarmerie nationale" me demandant de payer une somme d'argent. Je ne peux accéder qu'aux modes sans échec, et sans échec avec réseau. Je ne sais pas du tout comment je peux y remédier. J'ai lancer un scan de avast en mode sans échec, mais je doute que ce soit suffisant. Est-ce que quelqu'un pourrait m'aider s'il vous plaît?
Je vous remercie d'avance pour le temps que vous pourriez y consacrer,
Cordialement
A voir également:
- Virus gendarmerie nationale
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
8 réponses
Salut,
En mode sans échec avec prise en charge du réseau :
Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
En mode sans échec avec prise en charge du réseau :
Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
Merci de prendre le temps de répondre!
c'est bien le rapport?
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: guillaume [Droits d'admin]
Mode: Suppression -- Date : 25/01/2012 17:08:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 73niulvi.exe (C:\Users\guillaume\AppData\Roaming\73niulvi.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5d3ad9bfa75f98f21dc2c1d0487acb03
[BSP] 7c2559f2a629ae9b8f61353657ed0c09 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 16106 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31459328 | Size: 104 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 31664128 | Size: 491721 Mo
3 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 992057344 | Size: 492269 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
c'est bien le rapport?
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: guillaume [Droits d'admin]
Mode: Suppression -- Date : 25/01/2012 17:08:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 73niulvi.exe (C:\Users\guillaume\AppData\Roaming\73niulvi.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 5d3ad9bfa75f98f21dc2c1d0487acb03
[BSP] 7c2559f2a629ae9b8f61353657ed0c09 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 16106 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31459328 | Size: 104 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 31664128 | Size: 491721 Mo
3 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 992057344 | Size: 492269 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive1: +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
P'tain t'as installé Registry PASBooster \o
Bon tu vois les pubs pour les lessives qui lavent plus blancs que blancs que genre c'est eux qui ont inventé le blanc....
Ben les progs qui te disent que ça va booster ton PC ou nettoyer le registre pour le rendre plus rapide, c'est pareil...
C'est beau quand tu les écoutes mais en pratique ça fait rien.
Si le PC rame c'est qu'il y a trop de programmes qui tournent.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/12/22 20:47:43 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\guillaume\AppData\Roaming\mozilla\Firefox\Profiles\6okp2nr6.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
O4 - HKCU..\Run: [RegistryBooster] C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe (Uniblue Systems Limited)
[2012/01/25 16:44:46 | 000,000,000 | -H-D | C] -- C:\ProgramData\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
[2012/01/25 16:08:12 | 000,000,008 | ---- | M] () -- C:\Users\guillaume\AppData\Roaming\g4jas7pc0su98u25.dat
[2012/01/25 16:08:12 | 000,212,992 | ---- | C] ( ) -- C:\Users\guillaume\AppData\Roaming\73niulvi.exe
2012/01/25 16:08:11 | 000,212,992 | ---- | M] ( ) -- C:\Users\GUILLA~1\AppData\Local\Temp\0.06397030565126305.exe
* redemarre le pc sous windows et poste le rapport ici
~~
2012/01/25 16:08:11 | 000,212,992 | ---- | M] ( ) -- C:\Users\GUILLA~1\AppData\Local\Temp\0.06397030565126305.exe
Typique des exploits sur site WEB.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bon tu vois les pubs pour les lessives qui lavent plus blancs que blancs que genre c'est eux qui ont inventé le blanc....
Ben les progs qui te disent que ça va booster ton PC ou nettoyer le registre pour le rendre plus rapide, c'est pareil...
C'est beau quand tu les écoutes mais en pratique ça fait rien.
Si le PC rame c'est qu'il y a trop de programmes qui tournent.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2011/12/22 20:47:43 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\guillaume\AppData\Roaming\mozilla\Firefox\Profiles\6okp2nr6.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
O4 - HKCU..\Run: [RegistryBooster] C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe (Uniblue Systems Limited)
[2012/01/25 16:44:46 | 000,000,000 | -H-D | C] -- C:\ProgramData\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
[2012/01/25 16:08:12 | 000,000,008 | ---- | M] () -- C:\Users\guillaume\AppData\Roaming\g4jas7pc0su98u25.dat
[2012/01/25 16:08:12 | 000,212,992 | ---- | C] ( ) -- C:\Users\guillaume\AppData\Roaming\73niulvi.exe
2012/01/25 16:08:11 | 000,212,992 | ---- | M] ( ) -- C:\Users\GUILLA~1\AppData\Local\Temp\0.06397030565126305.exe
* redemarre le pc sous windows et poste le rapport ici
~~
2012/01/25 16:08:11 | 000,212,992 | ---- | M] ( ) -- C:\Users\GUILLA~1\AppData\Local\Temp\0.06397030565126305.exe
Typique des exploits sur site WEB.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Oui, en m'intéressant au problème c'est bien ce que j'avais cru comprendre, je vais donc toute remettre à jour.
Je te remercie beaucoup,
========== OTL ==========
Folder C:\Users\guillaume\AppData\Roaming\mozilla\Firefox\Profiles\6okp2nr6.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RegistryBooster not found.
File C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe not found.
Folder C:\ProgramData\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\ not found.
File C:\Users\guillaume\AppData\Roaming\g4jas7pc0su98u25.dat not found.
File C:\Users\guillaume\AppData\Roaming\73niulvi.exe not found.
OTL by OldTimer - Version 3.2.31.0 log created on 01252012_191411
Je te remercie beaucoup,
========== OTL ==========
Folder C:\Users\guillaume\AppData\Roaming\mozilla\Firefox\Profiles\6okp2nr6.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RegistryBooster not found.
File C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe not found.
Folder C:\ProgramData\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\ not found.
File C:\Users\guillaume\AppData\Roaming\g4jas7pc0su98u25.dat not found.
File C:\Users\guillaume\AppData\Roaming\73niulvi.exe not found.
OTL by OldTimer - Version 3.2.31.0 log created on 01252012_191411
j'ai téléchargé roguekiller et malware: réussi!!
C'est très importants