nouveau virus gendarmerie de l'aide

Question

Bonjour à tous,
 
après un clique sur un lien vers android j'ai mon deuxième virus qui est arrivé en 3 jours
 
le premier était le virus gendarmerie qui demande 100€ pour avoir son ordinateur débloqué, mode sans echec et j'ai utilisé antimalware, aucun problème.
 
et à l'instant un nouveau virus voir photo de l'ecran, impossible de s'en débarrassé, il bloque le mode sans echec car il affiche attente de réseau et si je lance en sans echec avec reseau là il m'affiche justement ce panneau, je n'ai rien trouvé à propos sur internet, de l'aide svp, sans le mode sans echec je ne comprend pas comment m'en débarrassée

le seul truc que j'arrive à faire c'est repair pc en faisant f8 et invite de commande, 

je n'ai pas de point de restauration système...
 

voici les photos :

 http://teamneon.free.fr/images/virus1.JPG


 http://teamneon.free.fr/images/virus2.JPG
 
je suis sous windows 7 32bit
 
Merci pour votre aide

Cesel45 · Answer

https://forums.commentcamarche.net/forum/affich-24629250-virus-gendarmerie-nationale-vista-pc-bloque#p24664778

Malekal_morte- · Answer

Salut,


Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.

Malekal_morte- · Answer

si tu as le lien malicieux, je suis preneur :)

Momnoop · Answer

voilà je fait tout ça et voilà le lien du rapport, merci pour le coup de main!

https://pjjoint.malekal.com/files.php?id=20120313_15k5n12c15r5

Momnoop · Answer

malekal_morte, tu veux savoir sur quel liens j'ai eu ce virus ?

je l'ai sous la main si c'est le cas, enfin la page juste avant de cliquez et d'être attaqué

Momnoop · Answer

je ne sais pas si je peux le donné sur le site car c'est un lien vers quelque chose d'illégal, pour une application android normalement payante que je voulais juste essayé avant d'acheté et j'ai d'ailleurs j'ai bien fait car elle marche pas bien

Momnoop · Answer

si il faut autre chose je surveille le sujet !

Malekal_morte- · Answer

Tu as/eu d'autres infection que le virus Sacem :/  


Envoie C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe  sur http://upload.malekal.com à partir du bouton Parcourir.



~~ 


Relance OTL.   
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).  
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:    

:OTL  
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)  
O4 - HKU\Momnoop_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)  
O20 - HKLM Winlogon: Shell - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)   
O20 - HKLM Winlogon: UserInit - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)  
O20 - HKU\Momnoop_ON_C Winlogon: Shell - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)   
O20 - HKU\Momnoop_ON_C Winlogon: UserInit - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)  
[2012/03/13 08:29:03 | 000,000,332 | -HS- | M] () -- C:\Windows	asks\LBPXI.job   
[2012/03/13 08:29:03 | 000,000,312 | -HS- | M] () -- C:\Windows	asks\itiaqrmabn.job  
[2011/02/28 10:12:43 | 000,000,000 | ---D | M] -- C:\Users\Momnoop\AppData\Roaming\A86583081339798E32AD25C230201672  
[2011/04/12 13:48:16 | 000,000,000 | ---D | M] -- C:\Users\Momnoop\AppData\Roaming\OfferBox   
[2011/02/28 15:41:55 | 000,000,000 | ---D | M] -- C:\ProgramData\kFhKgCj12802  
:reg  
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Userinit"="C:\WINDOWS\system32\userinit.exe,"  
"Shell"="explorer.exe"  
   
Like the angel you are, you laugh creating a lightness in my chest,  
Your eyes they penetrate me,  
(Your answer's always 'maybe')  
That's when I got up and left

Momnoop · Answer

ok alors voici 

http://apk-apps.blogspot.com/2012/02/honey-player-v123-apk-app.html

j'ai cliqué sur le dernier lien de téléchargement ( ou un autre mais il me semble bien que c'est le dernier) sur turbo bit qui m'a envoyé ensuite sur un site de pub, puis j'ai attendu 3s et cliqué sur skip ad ou l'equivalent et mon cadeau est arrivé.

par contre après j'ai bien pu le télécharger en entrant le liens turbobit directement donc je pense que c'est le site de pub qui est infesté.

je veux bien que tu me tienne au courant

Momnoop · Answer

je fais tout ça de suite et te tiens au jus

Momnoop · Answer

et oui j'ai eu l'infection du gendarme gendarmerie il y a 3 jours à peine...

celui ci

http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Momnoop · Answer

excuse moi mais comment démarrez sur l'usb tout à l'heure j'ai reussi par chance en allant dans le bios puisse fausse manip et il m'a demandé pour quitté le bios comment démarrer et j'ai pu faire usb. et en faisant f5 il me propose juste windows 7

Momnoop · Answer

c'est ok pour le démarrage j'ai trouvé dans le bios pour remplacer le disque dur par usb et ensuite je lui demande de commencer par l'usb, il y a peut etre plus simple mais ça marche

Momnoop · Answer

j'ai envoyé le fichier sur le site comme promis et j'ai copier la ligne pour les fix sauf que le rapport a bugger en je ne sais pas mais il a disparu donc j'ai refait runfix et voici le rapport que j'ai copier coller


========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\K3aRyluP6SiCkoR not found.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_USERS\Momnoop_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\K3aRyluP6SiCkoR not found.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_USERS\Momnoop_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
Registry value HKEY_USERS\Momnoop_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
File C:\Windows	asks\LBPXI.job not found.
File C:\Windows	asks\itiaqrmabn.job not found.
Folder C:\Users\Momnoop\AppData\Roaming\A86583081339798E32AD25C230201672\ not found.
Folder C:\Users\Momnoop\AppData\Roaming\OfferBox\ not found.
Folder C:\ProgramData\kFhKgCj12802\ not found.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit"|"C:\WINDOWS\system32\userinit.exe," /E : value set successfully!
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell"|"explorer.exe" /E : value set successfully!
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03132012_172846

Momnoop · Answer

je redémarre je suppose que tout est ok

Momnoop · Answer

parfait tout remarche sauf que j'ai perdu tout mes raccourci sur le bureau, pas très grave mais bon

merci beaucoup du temps passé en tout cas

Malekal_morte- · Answer

t'inquiètes :)

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.

Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

Momnoop · Answer

en faite le bureau n'existe plus, je peux rien y mettre, il y a un icone comme quoi je n'ai pas le droit et le menu contextuel est absent

voici le rapport de rogue killer :

RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Momnoop [Droits d'admin]
Mode: Suppression -- Date: 13/03/2012 17:58:26

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Momnoop\LOCALS~1\Temp\msopvyq.com) -> DELETED
[HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FOLDER] plugs : c:\users\momnoop\appdata\roaming\adobe\plugs --> REMOVED
[FAKED] EIO.sys : c:\windows\system32\drivers\EIO.sys --> CANNOT FIX

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3250410AS ATA Device +++++
--- User ---
[MBR] 3cf5c05caba8a1a7bee5863a2f0b4159
[BSP] 871792a26d3cccf7ffa51fe64ed85dc3 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 29996 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 61432560 | Size: 208468 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST31500341AS ATA Device +++++
--- User ---
[MBR] 295795e0a016aa0c94a61cd988e9b7cb
[BSP] 712904f876a5cfa78b9583f2ad63e358 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Malekal_morte- · Answer

Redémarre l'ordinateur.

Mawen · Answer

J'ai certains de mes amis qui on eu ce même messages.
Une garde les photos, et dépose une plainte a la gendarmerie.

Ce sont des neteux qui essaye en un de te faire payer via paypal, et en deux de pirater ta cb.

Ma mère travail dans une banque. C'es un un message que de plus en plus de monde rencontre.
Il faut absolument porter plainte pour que les "cyber policier" puisse "attraper" ces personne.
Sa leurs permettrais aussi de faire quelques chose de bien, plutôt que de chercher qui dll de la musique avec Ipoda ;D

Momnoop · Answer

je viens de le faire, j'ai bien le menu contextuel sur le bureau qui est revenu je peux y glissé des choses mais rien n'apparait, c'est bizarre.

par exemple clic droit sur poste de travail dans le menu demarré, affiché sur le bureau dejà coché, je decoche et recoche mais toujours rien

et dans l'explorateur j'ai bien tout sur le bureau mais rien n'apparait, bizarre!j'ai echangé mes 2 ecran et remis, toujours rien

Momnoop · Answer

c'est bon finalement, c'était un problème d'affichage

afficher les élement sur le bureau était décoché, désolé ...


Merci beaucoup tout est revenu dans l'ordre, mon pc était vraiment plein de connerie ?, rogue killer a fait plus que OTL ?

Malekal_morte- · Answer

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 


et :


Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis !

Momnoop · Answer

je fais ça, mùais justement suite à mon dernier virus gendarme j'ai mis a jour tout mes produit adobe, peut etre pas java, je vais vérifié, je fais le scan en attendant

Momnoop · Answer

voici le rapport :

# AdwCleaner v1.501 - Logfile created 03/13/2012 at 18:25:37
# Updated 04/03/2012 by Xplode
# Operating system : Windows 7 Ultimate  (32 bits)
# User : Momnoop - FIXE
# Running from : E:\Téléchargements FireFox\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Momnoop\AppData\Roaming\pdfforge
Folder Deleted : C:\Program Files\OfferBox

***** [H. Navipromo] *****


***** [Registry] *****

Key Deleted : HKCU\Software\Offerbox
Key Deleted : HKLM\SOFTWARE\Offerbox
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.Tools
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

***** [Internet Browsers] *****

-\ Internet Explorer v8.0.7600.16385

[OK] Registry is clean.

-\ Mozilla Firefox v10.0.2 (fr)

Profile : 1v0n8t1w.default
File : C:\Users\Momnoop\AppData\Roaming\Mozilla\Firefox\Profiles\1v0n8t1w.default\prefs.js

Deleted : user_pref("extensions.enabledAddons", "DivXWebPlayer@divx.com:2.0.2.039,{b9db16a4-6edc-47ec-a1f4-b86[...]

*************************

AdwCleaner[S1].txt - [252 octets] - [13/03/2012 18:21:04]
AdwCleaner[S2].txt - [252 octets] - [13/03/2012 18:21:34]
AdwCleaner[S3].txt - [1735 octets] - [13/03/2012 18:25:37]

########## EOF - C:\AdwCleaner[S3].txt - [1863 octets] ##########

Malekal_morte- · Answer

ok mets tout à jour :)

Momnoop · Answer

Merci pour tout !

:-)

je haie ces hacker qui font mal voir les bon hacker qui font des choses bien.

c'est lourd au bout d'un moment ces virus! qu'il pirate les site du gouvernement ou de la police je sais pas de l'élisée , mais pas des pauvre particulier sans argent qui font rien de grave et qu'on autre chose à foutre que passez une après midi à débloqué un pc tout ça pour allez sur 3 site marchand et allez voir ses mails, si j'en avait un en face de moi je sais pas ce que je pourrais lui faire! parce que bien sur ils sont bien caché, faire les chose en face, ils sont trop lâche.

heureusement qu'il y a de l'entraide et des gens comme toi qui aide et guied parfaitement sinon je sais pas se qu'on ferait!

bref, apparemment tu as bien supprimé le liens donc tout va bien

Merci encore et à la prochaine

Nouveau virus gendarmerie de l'aide

27 réponses

Votre réponse

Discussions similaires

Newsletters