gendarmerie - ordinateur bloqué - Résolu/Fermé

Question

Bonjour, 

je suis victime du virus Gendarmerie national - votre ordinateur est bloqué - demande de ranson... J'ai tenté en fouillant sur le net plusieurs astuces. Mon PC ne peut démarrer qu'en exécutant windows XP normalement (sans échec... ne marche pas).
J'arrive toujours sur la même page, celle du virus. Pas d'accès aux menus ni au bureau ni à rien d'ailleurs. Quel conseil pouvez-vous m'apporter pour la récupération des données du disque dur OU pour la remise en état de mon ordi ? Merci d'avance



Configuration: Windows XP / Internet Explorer 7.0

Bustasyl · Answer

Bonjour,

Regarde ici: https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol#q=virus+gendarmerie&cur=1&url=%2F

Cdt

damoslanevroze · Answer

bonjour alors j ai eu plusieurs fois se problème il est assez facile a éradiquer si tu a un bon antivirus sors ton disque de la tour et branche le sur une autre machine fait un scan complet de la bête si cela ne suffit pas profite de cet occasion pour récupérer tes données importante et tente une réparation avec un cd de xp qui est compatible avec ta version 
ou alors si tu a par exemple la possibilité de faire un recovery (message généralement caler a coter de la touche du bios a l Ecrans de démarrage) afin de revenir a une date antérieur au problème 
voila en espérant que ceci te sera dune grande aide 
cordialement damos

alède · Answer

ca me parait bien compliqué pour moi! je ne sais même pas à quoi ressemble un disque dur!

"ou alors si tu a par exemple la possibilité de faire un recovery (message généralement caler a coter de la touche du bios a l Ecrans de démarrage"
message qui se manisfeste comment? et sur la page de démarrage menu windows? c'est la seule page à laquelle j'ai accès!

g3n-h@ckm@n · Answer

salut surtout si le disque dur est infecté par une infection transmissible par support amovible , ben tu flingues les deux !!! super idée !!!

damoslanevroze · Answer

hé bien hé bien je ne m'étendais pas une tel réponses Oo 
mais je t'en pris au lieu de rabaisser les gens dit nous comment faire ?
personnellement j ai déjà fait sa plusieurs fois et sauf si tu est assez bête pour ne pas passer tes disque dur au crible une fois l'opération terminer tu ne risque rien ce virus se lance a la place de l'explorateur Windows ce qui empêche a l'utilisateur d'avoir une utilisation normal de sont pc .  donc il serais simpatique de ne pas la ramener pour ne rien dire 
le plus rapide est sur pour se debarasser de sa c'est de passer sont disque dur a l'antivirus (Kaspersky par ex) pour moi 100% de réussite 
cordialement damos

g3n-h@ckm@n · Answer

tiens lis ca tu comprendras mieux : 

https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit 
https://www.commentcamarche.net/faq/24522-comment-supprimer-mabezat-tazebama 
http://www.commentcamarche.net/faq/16138-comment-supprimer-virut 

et tu verras que tu reflechiras par deux fois avant de repondre une telle anerie
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

alède · Answer

J'ai gravé DR WEB LIVE CD et j'ai lancé le cd sur mon pc. j'ai renouveller l'opération trois fois : cd après ouverture windows, cd avant allumage ordi et cd avec F8 pour choix mose sans échec. Trois tentatives qui n'ont servi a rien puisque même si j'ai bien entendu le cd tourné, rien ne s'est passé à l'écran. Toujours la page endarmerie nationale! Je crois que je vais devoir réinstaller windows comme certains me l'ont conseillé mais je risuqe de perdre toutes les données. Il paraîtrait qu'on peut mettre le cd windows et choisir remplacer au lieur de formater et on garderait alors les données existatnes sur le pc. C'est possible? Vous en pensez quoi? je n'ai pas encore essayer mais je crois ke je n'ai plus vraiment le choix!

g3n-h@ckm@n · Answer

ne reinstalle pas explique comment tu t'y es pris pour graver le cd

alède · Answer

je suis aller sur le lien. J'ai graver le fichier drweb-livecd-600.iso sur un cd rw.

g3n-h@ckm@n · Answer

donc si tu parcours le cd tu as plein de dossier/fichiers et non juste ce fichier-là ?

alède · Answer

si je parcours le cd, j'ai drweb-livecd-600.iso uniquemment.
par contre si je l'ouvre j'ai un dossier boot à l'intérieur dans lequel j'ai 2 dossiers (module et isolinux), un fichier config, 1 initrd, 1 memtest, 1 vmlinuz et un drweblivecd-6.0.0.120401. j'aurai dû copier juste le dernier fichier?

g3n-h@ckm@n · Answer

non tu t'y es mal pris c est pas le fichier iso qu il faut graver mais le contenu :)

Bustasyl · Answer

je me réinsère dans la conversation juste pour préciser que si tu ne sais pas graver une image iso la procédure et décrite ici: https://www.commentcamarche.net/faq/3942-graver-une-image-disque-iso-nrg#q=graver+une+image+iso&cur=1&url=%2F

à bientôt sur CCM

alède · Answer

ok pour graver le contenu mais à quel niveau dans la hierarchie? prendre tout l'intérieur du dossier boot?

alède · Answer

j'ai bien graver l'ensemble puisque le contenu que j'ai donné ci-dessus vient du cd. je n'ai pas dézipper le dossier. où est mon erreur?

alede · Answer

ca y est le scan ok  110 threat detected - 79 neutralized. pour ceux restant jai le message suivant    cannot get info for file ... no such file or directory
ca concerne surtout des fichiers dont le chemin est /mnt/disk/sdal
dans le lot restant jai 2 virus trojan.downloader.5.59545 et trojan.downloader.1.55258
je dois faire quoi maintenant
si je ferme et je redemarre le pc je doi laisse le cd ou linstallation est automatique sur le pc

g3n-h@ckm@n · Answer

ok drweb n'éradiquera pas cette infection , il vire juste les droppers mais pas le rogue installé

=================

fais ca:

https://gen-hackman.kanak.fr/#648

alède · Answer

http://pjjoint.malekal.com/files.php?id=OTL_20120404_q13i11p5x11s9
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120404_o75h12x11n10
bonne réception et merci d'avance.
je comprends pas tout ce que je fais mais je suppose que toi oui!

g3n-h@ckm@n · Answer

colle ca dans la case d'en bas dans OTL et clic sur RUNFix

:OTL
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.5.4\PriceGongIE.dll (PriceGong)     
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()     
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)     
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} -  File not found     
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()     
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} -  File not found     
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\McAfee Security Scan Plus.lnk =  File not found
F3 - HKU\Nathalie_ON_C WinNT: Load - (C:\DOCUME~1\Nathalie\LOCALS~1\Temp\0D2C23F08C698BF5B7F2.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1     
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1     
O7 - HKU\Nathalie_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1     
O7 - HKU\Nathalie_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1     
O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)     
O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)     
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\DE637BB78C698BF50FB9.exe) -  File not found
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEOegedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO	askmgr.exe: Debugger - P9KDMF.EXE File not found
[5 C:\Documents and Settings\Nathalie\Mes documents\*.tmp files -> C:\Documents and Settings\Nathalie\Mes documents\*.tmp -> ] 
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
C:\WINDOWS	asks\Registry Reviver-Nathalie-Startup.job 
[2012/03/24 21:01:08 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324 
[2012/03/24 21:01:08 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323 
[2012/03/24 21:01:08 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322 
[2012/03/24 21:01:08 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321 
[2012/03/24 21:01:08 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320 
[2011/12/07 15:10:42 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Nathalie\Y­Y­ 
[2011/01/18 17:41:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Nathalie\Y=Y= 
[2009/03/25 15:15:21 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Nathalie\Y9Y9 
[2012/03/24 20:55:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Nathalie\Application Data\PriceGong     
[2011/12/07 21:00:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Nathalie\Application Data\searchquband     
[2011/12/07 21:00:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Nathalie\Application Data\searchqutoolbar 

:commands
[ResetHosts]

alède · Answer

voilà. je prends enfin le temps!

lien du bloc-note : http://pjjoint.malekal.com/files.php?id=20120407_e5j12o14j9y11
pendant la procédure 2 message pour lesquels j'ai dû mettre ok :
- l'ordinal 404 est introuvable dans la bibliothèque de liens dynamiques SHLWAPI.dII
- le point d'entrée de procédure I-NetNameValidate est introuvable dans la bibliothèque de liens dynamiques NETAPI32.dII

ai-je autre chose à faire ? Merci d'avance.

g3n-h@ckm@n · Answer

le pc devrait redemarrer normalement

g3n-h@ckm@n · Answer

re

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

clic droit sur le rapport , envoyer vers , dossiers compressés puis heberge l'archive

g3n-h@ckm@n · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

g3n-h@ckm@n · Answer

salut c'est quoi ton lecteur K:\ ?

g3n-h@ckm@n · Answer

relance pre_scan , clique sur Tools , puis TDSSKiller 

l'outil va telecharger la derniere version directement chez Kaspersky 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.


=====================

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo





¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ben lis

alède · Answer

1ère étape
 http://pjjoint.malekal.com/files.php?id=20120413_c9t7t8y5l10

alède · Answer

2ème étape
http://pjjoint.malekal.com/files.php?id=20120413_b9q13o14v11v15

g3n-h@ckm@n · Answer

et bien je sais pas où tu as branché ton lecteur K mais il etait bien pourri ^^

========

tu peux faire le menage :

https://gen-hackman.kanak.fr/

alède · Answer

http://pjjoint.malekal.com/files.php?id=20120413_w14s12w8u7q13
http://pjjoint.malekal.com/files.php?id=20120413_m14t5t10p5u6

alède · Answer

http://pjjoint.malekal.com/files.php?id=20120413_y5g14w13b5r7

g3n-h@ckm@n · Answer

t'as rien mis à jour ????

firefox, etc........

Gendarmerie - ordinateur bloqué -

33 réponses