Nouveau virus gendarmerie de l'aide

Momnoop Messages postés 23 Statut Membre -  
Momnoop Messages postés 23 Statut Membre -
Bonjour à tous,

après un clique sur un lien vers android j'ai mon deuxième virus qui est arrivé en 3 jours

le premier était le virus gendarmerie qui demande 100€ pour avoir son ordinateur débloqué, mode sans echec et j'ai utilisé antimalware, aucun problème.

et à l'instant un nouveau virus voir photo de l'ecran, impossible de s'en débarrassé, il bloque le mode sans echec car il affiche attente de réseau et si je lance en sans echec avec reseau là il m'affiche justement ce panneau, je n'ai rien trouvé à propos sur internet, de l'aide svp, sans le mode sans echec je ne comprend pas comment m'en débarrassée

le seul truc que j'arrive à faire c'est repair pc en faisant f8 et invite de commande,

je n'ai pas de point de restauration système...

voici les photos :

http://teamneon.free.fr/images/virus1.JPG

http://teamneon.free.fr/images/virus2.JPG

je suis sous windows 7 32bit

Merci pour votre aide

27 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
    Ensuite tu démarres sur OTLPE.
    Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

    Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
    Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
    Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

    Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
    Tout cela est donné dans le lien, ci-dessus.
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    si tu as le lien malicieux, je suis preneur :)
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Momnoop Messages postés 23 Statut Membre
     
    malekal_morte, tu veux savoir sur quel liens j'ai eu ce virus ?

    je l'ai sous la main si c'est le cas, enfin la page juste avant de cliquez et d'être attaqué
    0
  5. Momnoop Messages postés 23 Statut Membre
     
    je ne sais pas si je peux le donné sur le site car c'est un lien vers quelque chose d'illégal, pour une application android normalement payante que je voulais juste essayé avant d'acheté et j'ai d'ailleurs j'ai bien fait car elle marche pas bien
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      donne en privé ou ici :)
      je virerai ton message quand j'aurai récup le lien.
      0
  6. Momnoop Messages postés 23 Statut Membre
     
    si il faut autre chose je surveille le sujet !
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu as/eu d'autres infection que le virus Sacem :/

    Envoie C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe sur http://upload.malekal.com à partir du bouton Parcourir.

    ~~

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    O4 - HKU\Momnoop_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    O20 - HKLM Winlogon: Shell - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    O20 - HKLM Winlogon: UserInit - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    O20 - HKU\Momnoop_ON_C Winlogon: Shell - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    O20 - HKU\Momnoop_ON_C Winlogon: UserInit - (C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe) - C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe (Microsoft Corp., Veritas Software)
    [2012/03/13 08:29:03 | 000,000,332 | -HS- | M] () -- C:\Windows\tasks\LBPXI.job
    [2012/03/13 08:29:03 | 000,000,312 | -HS- | M] () -- C:\Windows\tasks\itiaqrmabn.job
    [2011/02/28 10:12:43 | 000,000,000 | ---D | M] -- C:\Users\Momnoop\AppData\Roaming\A86583081339798E32AD25C230201672
    [2011/04/12 13:48:16 | 000,000,000 | ---D | M] -- C:\Users\Momnoop\AppData\Roaming\OfferBox
    [2011/02/28 15:41:55 | 000,000,000 | ---D | M] -- C:\ProgramData\kFhKgCj12802
    :reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "Shell"="explorer.exe"


    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. Momnoop Messages postés 23 Statut Membre
     
    ok alors voici

    http://apk-apps.blogspot.com/2012/02/honey-player-v123-apk-app.html

    j'ai cliqué sur le dernier lien de téléchargement ( ou un autre mais il me semble bien que c'est le dernier) sur turbo bit qui m'a envoyé ensuite sur un site de pub, puis j'ai attendu 3s et cliqué sur skip ad ou l'equivalent et mon cadeau est arrivé.

    par contre après j'ai bien pu le télécharger en entrant le liens turbobit directement donc je pense que c'est le site de pub qui est infesté.

    je veux bien que tu me tienne au courant
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      niquel
      merci bcp :)
      0
  9. Momnoop Messages postés 23 Statut Membre
     
    je fais tout ça de suite et te tiens au jus
    0
  10. Momnoop Messages postés 23 Statut Membre
     
    et oui j'ai eu l'infection du gendarme gendarmerie il y a 3 jours à peine...

    celui ci

    http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/
    0
  11. Momnoop Messages postés 23 Statut Membre
     
    excuse moi mais comment démarrez sur l'usb tout à l'heure j'ai reussi par chance en allant dans le bios puisse fausse manip et il m'a demandé pour quitté le bios comment démarrer et j'ai pu faire usb. et en faisant f5 il me propose juste windows 7
    0
  12. Momnoop Messages postés 23 Statut Membre
     
    c'est ok pour le démarrage j'ai trouvé dans le bios pour remplacer le disque dur par usb et ensuite je lui demande de commencer par l'usb, il y a peut etre plus simple mais ça marche
    0
  13. Momnoop Messages postés 23 Statut Membre
     
    j'ai envoyé le fichier sur le site comme promis et j'ai copier la ligne pour les fix sauf que le rapport a bugger en je ne sais pas mais il a disparu donc j'ai refait runfix et voici le rapport que j'ai copier coller

    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\K3aRyluP6SiCkoR not found.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_USERS\Momnoop_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\K3aRyluP6SiCkoR not found.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_USERS\Momnoop_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    Registry value HKEY_USERS\Momnoop_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe deleted successfully.
    File C:\Users\Momnoop\AppData\Roaming\flint4ytw.exe not found.
    File C:\Windows\tasks\LBPXI.job not found.
    File C:\Windows\tasks\itiaqrmabn.job not found.
    Folder C:\Users\Momnoop\AppData\Roaming\A86583081339798E32AD25C230201672\ not found.
    Folder C:\Users\Momnoop\AppData\Roaming\OfferBox\ not found.
    Folder C:\ProgramData\kFhKgCj12802\ not found.
    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!

    OTLPE by OldTimer - Version 3.1.48.0 log created on 03132012_172846
    0
  14. Momnoop Messages postés 23 Statut Membre
     
    je redémarre je suppose que tout est ok
    0
  15. Momnoop Messages postés 23 Statut Membre
     
    parfait tout remarche sauf que j'ai perdu tout mes raccourci sur le bureau, pas très grave mais bon

    merci beaucoup du temps passé en tout cas
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    t'inquiètes :)

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.

    Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
    0
  17. Momnoop Messages postés 23 Statut Membre
     
    en faite le bureau n'existe plus, je peux rien y mettre, il y a un icone comme quoi je n'ai pas le droit et le menu contextuel est absent

    voici le rapport de rogue killer :

    RogueKiller V7.3.1 [10/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Momnoop [Droits d'admin]
    Mode: Suppression -- Date: 13/03/2012 17:58:26

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Momnoop\LOCALS~1\Temp\msopvyq.com) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [FOLDER] plugs : c:\users\momnoop\appdata\roaming\adobe\plugs --> REMOVED
    [FAKED] EIO.sys : c:\windows\system32\drivers\EIO.sys --> CANNOT FIX

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST3250410AS ATA Device +++++
    --- User ---
    [MBR] 3cf5c05caba8a1a7bee5863a2f0b4159
    [BSP] 871792a26d3cccf7ffa51fe64ed85dc3 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 29996 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 61432560 | Size: 208468 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST31500341AS ATA Device +++++
    --- User ---
    [MBR] 295795e0a016aa0c94a61cd988e9b7cb
    [BSP] 712904f876a5cfa78b9583f2ad63e358 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Redémarre l'ordinateur.
    0
  19. Mawen Messages postés 37 Statut Membre 4
     
    J'ai certains de mes amis qui on eu ce même messages.
    Une garde les photos, et dépose une plainte a la gendarmerie.

    Ce sont des neteux qui essaye en un de te faire payer via paypal, et en deux de pirater ta cb.

    Ma mère travail dans une banque. C'es un un message que de plus en plus de monde rencontre.
    Il faut absolument porter plainte pour que les "cyber policier" puisse "attraper" ces personne.
    Sa leurs permettrais aussi de faire quelques chose de bien, plutôt que de chercher qui dll de la musique avec Ipoda ;D
    0
  • 1
  • 2