Infectée par le virus "gendarmerie nationale"
Résolu
Anna'
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
Anna' Messages postés 9 Date d'inscription Statut Membre Dernière intervention -
Anna' Messages postés 9 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai été infectée par le fameux virus "gendarmerie nationale". Je précise en premier lieu que je suis une réelle incompétente en informatique, et que je n'employerai surement pas les termes adéquates... Bref, en démarrage normal, le bureau est bloqué. J'ai donc tenté de suivre la procédure décrite ici https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/
J'ai donc essayé de démarrer en mode sans échec avec prise en charge réseau (le bureau n'est ici pas bloqué) afin de télécharger Roguekiller. Seulement, problème, il est expliqué qu'il faut choisir l'option 2 (c'est à dire taper 2 et valider), mais jamais on ne me propose cela...
Je vous remercie d'avance pour votre aide et le temps que vous accorderez à ma demande,
Bien cordialement.
J'ai été infectée par le fameux virus "gendarmerie nationale". Je précise en premier lieu que je suis une réelle incompétente en informatique, et que je n'employerai surement pas les termes adéquates... Bref, en démarrage normal, le bureau est bloqué. J'ai donc tenté de suivre la procédure décrite ici https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/
J'ai donc essayé de démarrer en mode sans échec avec prise en charge réseau (le bureau n'est ici pas bloqué) afin de télécharger Roguekiller. Seulement, problème, il est expliqué qu'il faut choisir l'option 2 (c'est à dire taper 2 et valider), mais jamais on ne me propose cela...
Je vous remercie d'avance pour votre aide et le temps que vous accorderez à ma demande,
Bien cordialement.
A voir également:
- Infectée par le virus "gendarmerie nationale"
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
9 réponses
Yo
C'est parce que l'interface à changé
Clique sur "Scan" , puis sur "Rapport", et copie colle le texte ici
Seulement, problème, il est expliqué qu'il faut choisir l'option 2 (c'est à dire taper 2 et valider), mais jamais on ne me propose cela...
C'est parce que l'interface à changé
Clique sur "Scan" , puis sur "Rapport", et copie colle le texte ici
bonsoir
perso jai eu le virus trois fois de suite en un mois et je l'ai tjrs reglé avec MalwareBytes Antimalware et en redemarant le pc
mais toujours en mode sans echec biensur
cdlt
perso jai eu le virus trois fois de suite en un mois et je l'ai tjrs reglé avec MalwareBytes Antimalware et en redemarant le pc
mais toujours en mode sans echec biensur
cdlt
Tout d'abord merci pour la rapidité de la réponse! Je pensais bien que c'était seulement un problème de changement d'interface, mais dans le doute, j'ai préféré demandé... Alors voilà mon rapport:
RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Ana [Droits d'admin]
Mode: Recherche -- Date : 01/02/2012 17:01:51
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2598983269-370810262-880127350-1001[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Merci beaucoup!
RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Ana [Droits d'admin]
Mode: Recherche -- Date : 01/02/2012 17:01:51
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2598983269-370810262-880127350-1001[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Merci beaucoup!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le rapport apres suppression:
RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Ana [Droits d'admin]
Mode: Suppression -- Date : 01/02/2012 17:11:45
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Ana [Droits d'admin]
Mode: Suppression -- Date : 01/02/2012 17:11:45
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9640320AS +++++
--- User ---
[MBR] b37393cf69097f3ec28b7cc1cf91127a
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
Alors j'ai redémarré normalement et ca a l'air bon! Mon bureau n'est plus bloqué en tout cas! Reste-t-il une procédure à effectuer?
Modification: mon antivirus me signale à l'instant un "logiciel malveillant", est ce lié?
Modification: mon antivirus me signale à l'instant un "logiciel malveillant", est ce lié?
La suite
Télécharger sur le bureau Malwarebyte's Anti-Malware
= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection
un rapport s'ouvre le copier et le coller dans la réponse
Télécharger sur le bureau Malwarebyte's Anti-Malware
= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection
un rapport s'ouvre le copier et le coller dans la réponse
Alors après un peu plus d'une heure d'examen complet, voilà le rapport:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.01.03
Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Ana :: ANA-PC [administrateur]
01/02/2012 17:39:06
mbam-log-2012-02-01 (17-39-06).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 361790
Temps écoulé: 1 heure(s), 12 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\Ana\Desktop\Privacy Protection.lnk (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.01.03
Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Ana :: ANA-PC [administrateur]
01/02/2012 17:39:06
mbam-log-2012-02-01 (17-39-06).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 361790
Temps écoulé: 1 heure(s), 12 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\Ana\Desktop\Privacy Protection.lnk (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
(fin)
Je vais y aller...
Après avoir tout supprimé avec Malwarebytes
------
La plupart des infections proviennent de programmes tierces non à jour, la plupart du temps couplé à une utilisation dangereuse d'internet.
WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.
* Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.exe
* Lance WhyIGotInfected.exe
* Dans l'onget "Plugins", clique sur "Scan". Puis sur "Report". Ferme le rapport.
* Si des lignes apparaissent en rouge, c'est que le plugin est périmé.
Dans ce cas, double clique sur la ligne en question, télécharge et installe le plugin (site officiel)
* Lorsque tous les plugins périmés sont mis à jour, recliquer sur "Scan". Puis sur "Report".
* Copie colle Les contenus des 2 rapports (situés sur le bureau, WIGIReport[x].txt) dans ta prochaine réponse
Après avoir tout supprimé avec Malwarebytes
------
La plupart des infections proviennent de programmes tierces non à jour, la plupart du temps couplé à une utilisation dangereuse d'internet.
WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.
* Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.exe
* Lance WhyIGotInfected.exe
* Dans l'onget "Plugins", clique sur "Scan". Puis sur "Report". Ferme le rapport.
* Si des lignes apparaissent en rouge, c'est que le plugin est périmé.
Dans ce cas, double clique sur la ligne en question, télécharge et installe le plugin (site officiel)
* Lorsque tous les plugins périmés sont mis à jour, recliquer sur "Scan". Puis sur "Report".
* Copie colle Les contenus des 2 rapports (situés sur le bureau, WIGIReport[x].txt) dans ta prochaine réponse
Et voilà:
WhyIGotInfected v1.4(by Tigzy)
********************************
Run : 01/02/2012 19:56:37 [Normal Mode]
Machine : ANA-PC (4 CPUs) [Ana : NOT ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1
~~ Plugins check: ~~
UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash ActiveX] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55
Finished
<C:\Users\Ana\Desktop\WIGIReport[0].txt>
WIGIReport[0].txt
Merci beaucoup en tout cas pour votre aide! Ca m'a sauvé la vie (ou du moins celle de mon ordinateur...). C'est vraiment très agréable de trouver des gens attentifs et serviables de la sorte!
WhyIGotInfected v1.4(by Tigzy)
********************************
Run : 01/02/2012 19:56:37 [Normal Mode]
Machine : ANA-PC (4 CPUs) [Ana : NOT ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1
~~ Plugins check: ~~
UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash ActiveX] Current : 11.1.102.55 -- Latest : 11.1.102.55
UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55
Finished
<C:\Users\Ana\Desktop\WIGIReport[0].txt>
WIGIReport[0].txt
Merci beaucoup en tout cas pour votre aide! Ca m'a sauvé la vie (ou du moins celle de mon ordinateur...). C'est vraiment très agréable de trouver des gens attentifs et serviables de la sorte!
re
Je vois pas Java dans la liste...
Tu peux le mettre à jour aussi? https://www.java.com/fr/download/
Je vois pas Java dans la liste...
Tu peux le mettre à jour aussi? https://www.java.com/fr/download/
