Virus gendarmerie
ciao
-
franswa -
franswa -
Bonjour,
Mon ordi est bloqué par ce virus, j'ai vu la vidéo et ai exécuté les mêmes manips. Résultat : la page de menace (gendarmerie) a disparu mais impossible de récupérer mon bureau avec mes icones, mon menu démarrer en bas ... Je n'ai que mon fond d'écran, j'accède à internet en faisant ctr alt supr, gestionnaire des tâches, fichier, nouvelle tâche, parcourir et de là je peux accéder à une partie de mon bureau et lancer mon navigateur (mozilla)
Si qq'un pouvait me sortir de ce pétrin, par avance merci
Ciao
Mon ordi est bloqué par ce virus, j'ai vu la vidéo et ai exécuté les mêmes manips. Résultat : la page de menace (gendarmerie) a disparu mais impossible de récupérer mon bureau avec mes icones, mon menu démarrer en bas ... Je n'ai que mon fond d'écran, j'accède à internet en faisant ctr alt supr, gestionnaire des tâches, fichier, nouvelle tâche, parcourir et de là je peux accéder à une partie de mon bureau et lancer mon navigateur (mozilla)
Si qq'un pouvait me sortir de ce pétrin, par avance merci
Ciao
A voir également:
- Virus gendarmerie
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
10 réponses
bonjour
visite cette page :
visite cette page :
'>http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei#presentation-de-l-infection</code>
vous pouvez voir cette vidéo :
' target='_blank' rel='nofollow'>http://www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded</code></pre>
désolé
www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei#presentation-de-l-infection
www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded
www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei#presentation-de-l-infection
www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded
Bonjour
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir :
C : \windows \system32 \restore> rstrui
Cela te permettra d'accéder à la restauration
@+
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir :
C : \windows \system32 \restore> rstrui
Cela te permettra d'accéder à la restauration
@+
Bonjour !
Si la restauration ne fonctionne plus (même pour tous les dates choisis) fais ceci.
C'est un logiciel de rançon (ransonware) qui bloque le PC en affichant un message et qui a pour but de faire croire aux utilisateurs en payant cette arnaque pour débloquer le PC !!!
Pour éviter ce problème, regarde les instructions ci-dessous pour tuer le virus qui a propagé beaucoup d'utilisateurs :
- Lors du démarrage du PC, tapote plusieurs fois F8 (ou F5) puis le menu des options de démarrage apparaît et va sur "invites de commandes en mode sans échec" (3ème option).
- Si tu as un autre ordinateur (avec une clé USB) regarde sur ce lien et télécharger le vrai "explorer.exe" (SP2 ou SP3) pour remplacer celui infecté "explorer.exe"(malware).
- Voici le lien pour suivre les instructions pour débarrasser du malware et aussi pour télécharger le processus explorer.exe (vrai).
http://www.hadopi.fr/sites/default/files/page/pdf/Conseils_desinfection_Gendarmerie.pdf
J'en ai déjà eu moi aussi et grâce à ce site et en plus de RogueKiller et MalwareBytes, j'ai retrouvé le système comme avant et c'est redevenu normal !
Si la restauration ne fonctionne plus (même pour tous les dates choisis) fais ceci.
C'est un logiciel de rançon (ransonware) qui bloque le PC en affichant un message et qui a pour but de faire croire aux utilisateurs en payant cette arnaque pour débloquer le PC !!!
Pour éviter ce problème, regarde les instructions ci-dessous pour tuer le virus qui a propagé beaucoup d'utilisateurs :
- Lors du démarrage du PC, tapote plusieurs fois F8 (ou F5) puis le menu des options de démarrage apparaît et va sur "invites de commandes en mode sans échec" (3ème option).
- Si tu as un autre ordinateur (avec une clé USB) regarde sur ce lien et télécharger le vrai "explorer.exe" (SP2 ou SP3) pour remplacer celui infecté "explorer.exe"(malware).
- Voici le lien pour suivre les instructions pour débarrasser du malware et aussi pour télécharger le processus explorer.exe (vrai).
http://www.hadopi.fr/sites/default/files/page/pdf/Conseils_desinfection_Gendarmerie.pdf
J'en ai déjà eu moi aussi et grâce à ce site et en plus de RogueKiller et MalwareBytes, j'ai retrouvé le système comme avant et c'est redevenu normal !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Le mode sans echec avec prise en charge réseau est fonctionnel?
Fait ceci:
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
Le mode sans echec avec prise en charge réseau est fonctionnel?
Fait ceci:
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
J'ai supprimé le fichier repéré, redémarré mon ordi : même résultat, je n'ai que mon fond d'écran
merci pr ta disponibilté
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date: 19/02/2012 18:58:23
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD400BD-60JPA0 +++++
--- User ---
[MBR] 762546b36ec0f49d96fe53a6ecc3eb5a
[BSP] 29b45ea7d83a35491a025feeafea1adf : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Hitachi HDP725050GLA380 +++++
--- User ---
[MBR] 7f508e112537a2c68e4b68cbe295052a
[BSP] 9cd3dbf1d4818fae6d127bdf189698f3 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
merci pr ta disponibilté
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date: 19/02/2012 18:58:23
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD400BD-60JPA0 +++++
--- User ---
[MBR] 762546b36ec0f49d96fe53a6ecc3eb5a
[BSP] 29b45ea7d83a35491a025feeafea1adf : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Hitachi HDP725050GLA380 +++++
--- User ---
[MBR] 7f508e112537a2c68e4b68cbe295052a
[BSP] 9cd3dbf1d4818fae6d127bdf189698f3 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Software\Microsoft\Windows\CurrentVersion\RunOnce
value : Malwarebytes anti-malware(cleanup)
data : rundll32.exe
type : blacklistdll
value : Malwarebytes anti-malware(cleanup)
data : rundll32.exe
type : blacklistdll
Re
Essayons avec un LiveCD pour remplacer ce fichier explorer.exe
Télécharge OTLPE sur le bureau.
Prépare un CD vierge
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD
Tuto OTLPE
Tu lances l'iso d'OTLPE que tu as gravé.
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
Essayons avec un LiveCD pour remplacer ce fichier explorer.exe
Télécharge OTLPE sur le bureau.
Prépare un CD vierge
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD
Tuto OTLPE
Tu lances l'iso d'OTLPE que tu as gravé.
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
Bonsoir Guillaume !
Avant de me lancer dans ta dernière suggestion (qui me semblait assez lourde), j'ai refait la vidéo à deux reprises et là ... mon bureau est réapparu ?!!
J'ai dû faire une mauvaise manip (à plusieurs reprises alors)
Je te remercie de ton aide, de même pour le site malakal, vous m'avez bien aidé !
Merci encore et compte sur moi pour faire votre pub
Ciao !!
Avant de me lancer dans ta dernière suggestion (qui me semblait assez lourde), j'ai refait la vidéo à deux reprises et là ... mon bureau est réapparu ?!!
J'ai dû faire une mauvaise manip (à plusieurs reprises alors)
Je te remercie de ton aide, de même pour le site malakal, vous m'avez bien aidé !
Merci encore et compte sur moi pour faire votre pub
Ciao !!
Pour Guillaume5188,
Bonsoir,
J'ai suivi tes conseils pr éliminer le virus gendarmerie ce week end et cela a réussi hier soir .
Tu te rappelles ?
J'ai parlé trop vite ... Ce matin en rallumant mon ordi, la page de la carte mère apparaît et windows n'arrive pas à se lancer, je l'ai laissé tte la matinée espérant une réussite, mais rien n'y a fait. Je ne peux même pas accéder au mode sans échec, c'est désespérant !
Bonsoir,
J'ai suivi tes conseils pr éliminer le virus gendarmerie ce week end et cela a réussi hier soir .
Tu te rappelles ?
J'ai parlé trop vite ... Ce matin en rallumant mon ordi, la page de la carte mère apparaît et windows n'arrive pas à se lancer, je l'ai laissé tte la matinée espérant une réussite, mais rien n'y a fait. Je ne peux même pas accéder au mode sans échec, c'est désespérant !
Bonjour,
ciao m'a confié son PC qui ne démarre plus.
D'après ce que je comprends, il a réussi la procédure d'élimination de ce fameux virus gendarmerie à l'aide des procédures indiquées.
Seulement, maintenant, comme l'indique son post précédent, le PC ne boote plus.
A l'aide d'un live CD (mini Windows XP), j'ai fait une vérification des erreurs du disque système avec les options "réparer automatiquement les erreurs de système de fichiers" et "rechercher et tenter une récupération des secteurs défectueux". Toujours pas de boot.
L'accès au disque système est normal depuis le live CD.
Quelqu'un a une idée, avant réinitialisation complète du système ?
ciao m'a confié son PC qui ne démarre plus.
D'après ce que je comprends, il a réussi la procédure d'élimination de ce fameux virus gendarmerie à l'aide des procédures indiquées.
Seulement, maintenant, comme l'indique son post précédent, le PC ne boote plus.
A l'aide d'un live CD (mini Windows XP), j'ai fait une vérification des erreurs du disque système avec les options "réparer automatiquement les erreurs de système de fichiers" et "rechercher et tenter une récupération des secteurs défectueux". Toujours pas de boot.
L'accès au disque système est normal depuis le live CD.
Quelqu'un a une idée, avant réinitialisation complète du système ?
- est ce parce que je démarre avec mozilla ?
- est ce parce que je ne retrouve pas le mot de passe de l'Administrateur ?
grosse galère ... merci d'avance pr tes suggestions
Ciao