Trojan gendarmerie

emilie3184 -  
 catfr91 -
Bonjour,
J'ai le même problème que "soso772", mais ne voulant pas polluer son message j'ouvre le mien...
En voulant télécharger une série, j'ai planté mon PC: je suis bloquée sur une page d'alerte de la "gendarmerie"... J'ai lu le dossier à ce sujet sur ce site mais je n'ai pas tout compris et surtout je n'arrive pas à redemarrer l'ordi en mode sans echec pour eventuellement lancer la procédure de nettoyage. J'ai accès à la page de demarrage, je lance le mode sans échec, mais dès que je veux rentrer sur ma session le PC redemarre tout seul! J'ai tenté la manip 4fois, en passant par d'autres sessions, rien à faire il redemarre...
(je vous écris depuis un 2e ordinateur, je vas faire la navette entre les deux^^)

Si quelqu'un peut m'aider...
Merci!

Emilie

12 réponses

Résumé de la discussion

Blocage majeur après téléchargement suspect, avec une alerte affichée simulant une intervention policière et qui empêche le démarrage, y compris en mode sans échec, entraînant des tentatives répétées et infructueuses. Parmi les propositions, la meilleure réutilisée consiste à renommer le fichier mbam.n°version.exe comme indiqué dans le tutoriel pour faciliter le nettoyage et la récupération sur plusieurs ordinateurs. D'autres interventions signalent des difficultés à lancer le mode sans échec, avec un écran noir puis redémarrage automatique ou des impasses lors de l'accès à une session. En cas de persistance, certains échanges suggèrent des vérifications complémentaires et des pistes comme la présence potentielle de rootkits, tout en accumulant des tentatives et des essais d'outils de sécurité.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Quelle version de Windows ?
    0
    1. emilie3184
       
      ah j'ai oublié! c'est Windows 7
      0
  2. g3n-h@ckm@n
     
    salut il y a plusieurs sessions dans le pc ? mmmm

    regarde dans c:\documents and settings\la session infectée\application Data si il y a pas un fichier au nom bizarre du style : arf135r4w58.exe (peut -etre que le ".exe" ne se verrra pas
    0
    1. emilie3184
       
      c'est le Pc familial, avec la session de papa/maman/frerot et moi^^
      le probleme c'est que je depasse pas la page d'accueil: comment je fais pour acceder à document & settings??
      0
  3. g3n-h@ckm@n
     
    à partir d une autre session
    0
    1. Utilisateur anonyme
       
      Je crois comprendre qu'il n'est plus possible de se connecter, peu importe le compte.
      0
    2. g3n-h@ckm@n
       
      est-ce que l'alerte gendarmerie est là sur toutes les sessions ?
      0
    3. emilie3184
       
      oui, rien à faire je les ai toutes testée elles plantent toutes
      0
  4. g3n-h@ckm@n
     
    alors explorer est patché

    fais ca et reviens poster les rapports comme indiqué

    https://gen-hackman.kanak.fr/
    0
    1. emilie3184
       
      question idiote, mais je n'ai pas de CD à graver: si je le met sur clé USB ca marche?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    0
    1. emilie3184
       
      le mode sans échec ne se lance pas... j'ai réussi a y acceder tout à l'heure (écran noir avec "mode sans échec" écrit aux quatre coins) mais ca ne fonctionne plus. Je fais F8, je lance l'invite de cde en mode ss échec, ca mouline 10 secondes (avec systeme32, etc) puis ca revient sur la page d'accueil bleue de windows... Et ca redemarre tout seul dès que je cherche a rentrer dans une session. Aaaaaah!!!
      0
    2. emilie3184
       
      en attendant vos reponses je voudrais tester la solution avec clé USB, mais la première étape est de la formater au format NTFS, or ma clé ne me donne en alternative au FAT32 que le systeme exFAT: c'est pareil??
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Faut mettre en FAT.
      0
    4. emilie3184
       
      j'ai FAT32 ou exFAT c'est tout
      0
  7. g3n-h@ckm@n
     
    non

    trouve toi un cd ca sera plus simple
    0
    1. g3n-h@ckm@n
       
      en fat y aura un message d'erreur au demarrage
      0
  8. emilie3184
     
    Re,
    Alors, j'ai trouvé un Cd et copié le promgramme dessus. Evidemment ca ne fonctionne pas directement donc comme l'indique la marche à suivre il faut que j'entre dans le BIOS pour le modifier. Là où ca se corse c'est que je dois cliquer sur "boot sequence" ou "start device", mais je n'ai de cela d'affiché.
    J'ai:
    product informations / standard CMOS features / advanced BIOS features / advanced Chipset feautures / integrated peripherals / power management setup / PC health status / frequency voltage control / BIOS security features / load default settings / save & exit setup/ exit without saving

    Comme je ne voudrais pas faire de conneries... je choisi quoi?!
    0
  9. emilie3184
     
    J'ai trouvé pour le BIOS, mais ca ne fonctionne toujours pas: au demarrage "normal", quand je veux entrer dans une session je retombe sur la page bloquée du virus.
    Je commence a desesperer...
    HELP!!!
    0
  10. g3n-h@ckm@n
     
    tu as bien gravé un fichier image comme indiqué t'as pas gravé le fichier directement, au moins ?

    il y a plusieurs fichiers / dossiers sur le cd ?
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. emilie3184
       
      j'ai gravé le fichier 7pe_x86_E.iso qui m'apparait sur le CD comme "image files" pour une taille de fichier à 308398Ko
      C'est pas bon?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      non faut graver en mode "iso".
      Sinon voir : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540

      t'as d'autres explications pour mettre sur une clef USB.
      0
    3. g3n-h@ckm@n
       
      j'ai pas vu que j'avais pas pris en premier....
      0
    4. emilie3184
       
      j'accepte l'aide de tout le monde ;)
      0
    5. g3n-h@ckm@n
       
      nan mais en principe quand un prend un sujet en charge , si l'autre fait pas n'importe quoi on a une regle , c'est de se retirer si on est second à poster car ca peut chambouler ce qu'a en tete le premier...voilà :)
      0
  11. emilie3184
     
    @Malekal_morte-
    Je vais reprendre depuis le debut, je commence a tout melanger!
    J'ai testé ce que vous proposiez:

    essaye ça avant le CD : http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

    J'arrive à acceder à l'editeur de registre si je passe par "reparer l'ordinateur" au lieu du mode sans echec (qui ne fonctionne pas). dans le Shell j'ai trouvé cmd.exe/k start cmd.exe et pas explorer.exe
    Je laisse comme ca ou je remplace par explorer.exe?
    Je ne voudrais pas en rajouter...!

    Je vais essayer de parametrer une clé usb pour la suite... si j'y arrive :S

    Merci!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Dans la clef shell, faut avoir explorer.exe
      0
    2. catfr91
       
      Bonjour,
      J'ai un petit tuto pour vous si ca vous interesse toujours, en revanche, il faut déjà récupérer le logiciel gratuit Malwarebytes.
      Ensuite:
      Trojan winlock

      Pour arriver à le supprimer, il faut pouvoir lancer une détection via Malwarebytes.
      Pour ce faire, il suffit de suivre pas à pas les étapes suivantes :

      1- Brancher un support USB ou un CD contenant le logiciel Malwarebytes sur l'ordi éteint.
      2- Allumer l'ordi et appuyer sur la touche F8 et choisir la ligne « invite de commande en mode sans échec »
      3- Se positionner sur le support USB ou CD en tapant:
      d:
      xcopy malwarebytes.exe c:\windows\system32

      4- Ensuite, taper « regedit » puis entrée.
      5- Dans la base de registre, modifier la clé suivante : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
      "Shell"="explorer.exe"
      Remplacer « explorer.exe » par « malwarebytes.exe ».
      6- Faire CTR+ALT+SUPPR pour redémarrer l'ordi (icône en bas à droite de l'écran)
      7- Lorsque vous passerez le message de bienvenue Windows, cliquez sur suivant plusieurs fois pour installer Malwarebytes
      8- Une fois l'installation terminée, lancez un scan rapide (de 5 à 10 mn)
      9- Il devrait détecter un problème
      10- Lorsqu'il à fini, faites un clic droit (menu contextuel) sur l'indésirable et sélectionnez « exclusion »
      11- Idem étape 6 pour redémarrer
      12- Puis refaire les étapes 2 à 6 afin de remettre la clé de registre comme au départ :
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
      "Shell"="explorer.exe"
      Remplacer "malwarebytes.exe" par "explorer.exe"

      Il ne reste plus qu'à redémarrer l'ordinateur.

      Bon courage.
      0
    3. emilie3184
       
      ok, donc je le modifie en explorer.exe?
      J'ai changé de pc et sur celui là j'ai u formater la clé USB en NTFS. je suis en train de charger le programme pr la suite (je croise les doigts!!!)
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok, donc je le modifie en explorer.exe?

      oui et tu redémarres en mode normal, voir ce que cela donne.
      0
    5. emilie3184
       
      Alors, j'ai remis le BIOS en configuration "normale" (avec le disque dur en premier), j'ai changé le Shell en explorer.exe, et je redemarre windows normalement: toujours pareil, la page d'accueil est ok mai dès que je veux rentrer dans une session je suis bloquée sur la page du virus.
      J'ai téléchargé le programme sur la clé USB comme indiqué, en la formatant en NTFS auparavant. J'ai sur ma clé les dossiers BOOT / Boot.images / SOURCES / BOOTMGR / WIN7PE.CFG J'ai reparameté le BIOS pour qu'il prenne en premier l'USB, mais rien ne fonctionne non plus. (j'ai 5 ports USB en façade, je les ai tous testé, même resultat)

      :(
      0
  12. catfr91
     
    Bonjour,
    J'ai un petit tuto pour vous si ca vous interesse toujours, en revanche, il faut déjà récupérer le logiciel gratuit Malwarebytes.
    Ensuite:
    Trojan winlock

    Pour arriver à le supprimer, il faut pouvoir lancer une détection via Malwarebytes.
    Pour ce faire, il suffit de suivre pas à pas les étapes suivantes :

    1- Brancher un support USB ou un CD contenant le logiciel Malwarebytes sur l'ordi éteint.
    2- Allumer l'ordi et appuyer sur la touche F8 et choisir la ligne « invite de commande en mode sans échec »
    3- Se positionner sur le support USB ou CD en tapant:
    d:
    xcopy malwarebytes.exe c:\windows\system32

    4- Ensuite, taper « regedit » puis entrée.
    5- Dans la base de registre, modifier la clé suivante : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
    "Shell"="explorer.exe"
    Remplacer « explorer.exe » par « malwarebytes.exe ».
    6- Faire CTR+ALT+SUPPR pour redémarrer l'ordi (icône en bas à droite de l'écran)
    7- Lorsque vous passerez le message de bienvenue Windows, cliquez sur suivant plusieurs fois pour installer Malwarebytes
    8- Une fois l'installation terminée, lancez un scan rapide (de 5 à 10 mn)
    9- Il devrait détecter un problème
    10- Lorsqu'il à fini, faites un clic droit (menu contextuel) sur l'indésirable et sélectionnez « exclusion »
    11- Idem étape 6 pour redémarrer
    12- Puis refaire les étapes 2 à 6 afin de remettre la clé de registre comme au départ :
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
    "Shell"="explorer.exe"
    Remplacer "malwarebytes.exe" par "explorer.exe"

    Il ne reste plus qu'à redémarrer l'ordinateur.

    Bon courage.
    0
    1. g3n-h@ckm@n
       
      ton tuto n'est pas bon ca marchera pas

      le fichier ne s'apelle pas malwarebytes.exe
      mbam.exe ne fonctionne pas tout seul
      0
    2. catfr91
       
      Pour info, le fichier s'appelle mbam.n°version.exe. C'est plus facile de le renomer comme dans le tuto.
      Sinon, ça fais 3 ordis que je récupère avec cette méthode sans aucun problème...
      0
    3. g3n-h@ckm@n
       
      t'as pas eu de rootkits avec.....

      c'est où que tu dis de le renommer ?
      0
    4. catfr91
       
      En fait, il faut renommer le fichier mbam.n°version.exe en malwarebytes.exe avant de le copier sur le support USB ou CD.
      Le seul problème éventuel peuvent être dus à des droits administrateur (voir commande runas)
      0
    5. g3n-h@ckm@n
       
      trop facile ca pour un novice..lol

      bon cette discussion ne sert à rien

      malekal tu peux faire le menage si ca te chante
      0