Virus gendarmerie

ciao -  
 franswa -
Bonjour,

Mon ordi est bloqué par ce virus, j'ai vu la vidéo et ai exécuté les mêmes manips. Résultat : la page de menace (gendarmerie) a disparu mais impossible de récupérer mon bureau avec mes icones, mon menu démarrer en bas ... Je n'ai que mon fond d'écran, j'accède à internet en faisant ctr alt supr, gestionnaire des tâches, fichier, nouvelle tâche, parcourir et de là je peux accéder à une partie de mon bureau et lancer mon navigateur (mozilla)
Si qq'un pouvait me sortir de ce pétrin, par avance merci

Ciao

10 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Tu as loupé quelque chose :explorer.exe

    Reprend ton tutoriel

    à+
    0
    1. ciao
       
      J'ai suivi scrupuleusement la vidéo, j'ai tjrs pas retrouvé mon bureau.
      - est ce parce que je démarre avec mozilla ?
      - est ce parce que je ne retrouve pas le mot de passe de l'Administrateur ?
      grosse galère ... merci d'avance pr tes suggestions

      Ciao
      0
  2. aminos
     
    bonjour
    visite cette page :
    '>http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei#presentation-de-l-infection</code>
    
    vous pouvez voir cette vidéo :
    ' target='_blank' rel='nofollow'>http://www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded</code>
    </pre>
    0
  3. aminos
     
    désolé

    www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei#presentation-de-l-infection

    www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded
    0
  4. Utilisateur anonyme
     
    Bonjour

    Tu procèdes comme pour accéder au mode sans échec mais tu choisis:

    Invite de commande en mode sans échec :

    Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
    @ pour espace

    cd \
    cd@windows
    cd@system32
    cd@restore
    rstrui

    Pour obtenir :
    C : \windows \system32 \restore> rstrui

    Cela te permettra d'accéder à la restauration

    @+
    0
    1. Invincible
       
      Bonjour !

      Si la restauration ne fonctionne plus (même pour tous les dates choisis) fais ceci.


      C'est un logiciel de rançon (ransonware) qui bloque le PC en affichant un message et qui a pour but de faire croire aux utilisateurs en payant cette arnaque pour débloquer le PC !!!


      Pour éviter ce problème, regarde les instructions ci-dessous pour tuer le virus qui a propagé beaucoup d'utilisateurs :


      - Lors du démarrage du PC, tapote plusieurs fois F8 (ou F5) puis le menu des options de démarrage apparaît et va sur "invites de commandes en mode sans échec" (3ème option).

      - Si tu as un autre ordinateur (avec une clé USB) regarde sur ce lien et télécharger le vrai "explorer.exe" (SP2 ou SP3) pour remplacer celui infecté "explorer.exe"(malware).

      - Voici le lien pour suivre les instructions pour débarrasser du malware et aussi pour télécharger le processus explorer.exe (vrai).

      http://www.hadopi.fr/sites/default/files/page/pdf/Conseils_desinfection_Gendarmerie.pdf


      J'en ai déjà eu moi aussi et grâce à ce site et en plus de RogueKiller et MalwareBytes, j'ai retrouvé le système comme avant et c'est redevenu normal !
      0
    2. Utilisateur anonyme
       
      Bonsoir Invincible

      Merci de me laisser faire
      0
    3. Invincible
       
      D'accord, je vous laisse...
      0
    4. Utilisateur anonyme
       
      Re

      Prend un sujet a ton compte si tu veux rendre service
      0
    5. ciao
       
      La restauration (plusieurs dates essayées) n'a pas réussi ...
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Le mode sans echec avec prise en charge réseau est fonctionnel?

    Fait ceci:

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+
    0
  7. ciao
     
    J'ai supprimé le fichier repéré, redémarré mon ordi : même résultat, je n'ai que mon fond d'écran

    merci pr ta disponibilté

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Recherche -- Date: 19/02/2012 18:58:23

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD400BD-60JPA0 +++++
    --- User ---
    [MBR] 762546b36ec0f49d96fe53a6ecc3eb5a
    [BSP] 29b45ea7d83a35491a025feeafea1adf : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: Hitachi HDP725050GLA380 +++++
    --- User ---
    [MBR] 7f508e112537a2c68e4b68cbe295052a
    [BSP] 9cd3dbf1d4818fae6d127bdf189698f3 : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Utilisateur anonyme
       
      Et tu as supprimé quel fichier?
      0
  8. ciao
     
    Software\Microsoft\Windows\CurrentVersion\RunOnce

    value : Malwarebytes anti-malware(cleanup)

    data : rundll32.exe

    type : blacklistdll
    0
  9. Utilisateur anonyme
     
    Re

    Essayons avec un LiveCD pour remplacer ce fichier explorer.exe

    Télécharge OTLPE sur le bureau.
    Prépare un CD vierge
    Utilise un logiciel de gravure dont tu disposes.
    Ou celui-ci Cdburner
    Attention il s'agit de graver une imageISO
    Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
    Pour se faire suivre ce lien : Booter sur un CD
    Tuto OTLPE

    Tu lances l'iso d'OTLPE que tu as gravé.
    * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", select Yes
    * quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
    * vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
    * sous Custom Scan box
    1) copie_colle le contenu du cadre ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    explorer.exe
    winlogon.exe
    wininit.exe
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

    * 2) Clic Run Scan pour démarrer le scan.
    * Une fois terminé , le fichier se trouve là C:\OTL.txt
    * Copie_colle le contenu dans ta prochaine réponse.

    @+
    0
  10. ciao
     
    Bonsoir Guillaume !

    Avant de me lancer dans ta dernière suggestion (qui me semblait assez lourde), j'ai refait la vidéo à deux reprises et là ... mon bureau est réapparu ?!!
    J'ai dû faire une mauvaise manip (à plusieurs reprises alors)

    Je te remercie de ton aide, de même pour le site malakal, vous m'avez bien aidé !
    Merci encore et compte sur moi pour faire votre pub

    Ciao !!
    0
    1. ciao
       
      Pour Guillaume5188,

      Bonsoir,
      J'ai suivi tes conseils pr éliminer le virus gendarmerie ce week end et cela a réussi hier soir .
      Tu te rappelles ?
      J'ai parlé trop vite ... Ce matin en rallumant mon ordi, la page de la carte mère apparaît et windows n'arrive pas à se lancer, je l'ai laissé tte la matinée espérant une réussite, mais rien n'y a fait. Je ne peux même pas accéder au mode sans échec, c'est désespérant !
      0
  11. franswa
     
    Bonjour,
    ciao m'a confié son PC qui ne démarre plus.
    D'après ce que je comprends, il a réussi la procédure d'élimination de ce fameux virus gendarmerie à l'aide des procédures indiquées.
    Seulement, maintenant, comme l'indique son post précédent, le PC ne boote plus.
    A l'aide d'un live CD (mini Windows XP), j'ai fait une vérification des erreurs du disque système avec les options "réparer automatiquement les erreurs de système de fichiers" et "rechercher et tenter une récupération des secteurs défectueux". Toujours pas de boot.
    L'accès au disque système est normal depuis le live CD.
    Quelqu'un a une idée, avant réinitialisation complète du système ?
    0