Virus de la gendarmerie.
xaaav
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, j'ai eu le droit aujourd'hui au virus de la gendarmerie, celui qui affiche une magnifique fenêtre m'accusant de divers tors dont je pourrais le débarrassé pour "seulement" 100€.
J'avais essayé ctrl alt supr puis le gestionnaire de tache, il venait pas, j'ai fermé la session/redémarré pc , ca revenait encore.
Mais le virus m'a laissé accédé a mon ordinateur, j'entends par la que je pouvais voir tout les dossiers et voir tout les fichiers que je voulais , je ne me suis donc pas gêné et j'ai lancé un scan Malwarebytes qui me l'a supprimé et redémarré le pc, maintenant tout marche sauf qu'au démarrage j'ai le droit a un message d'erreur comme quoi le ficher avec le virus n'est pas disponible et ne peut pas être exécuté alors j'aimerais savoir :
-Comment ce virus a-t-il pu s'infiltrer dans mon pc (j'ai avira)
-Comment éviter que cela se reproduise ?
-Comment faire pour enlever ce message d'erreur au démarrage ?
-Et pourquoi avais-je accès à tout les dossier de mon pc ?
Merci d'avance !
J'avais essayé ctrl alt supr puis le gestionnaire de tache, il venait pas, j'ai fermé la session/redémarré pc , ca revenait encore.
Mais le virus m'a laissé accédé a mon ordinateur, j'entends par la que je pouvais voir tout les dossiers et voir tout les fichiers que je voulais , je ne me suis donc pas gêné et j'ai lancé un scan Malwarebytes qui me l'a supprimé et redémarré le pc, maintenant tout marche sauf qu'au démarrage j'ai le droit a un message d'erreur comme quoi le ficher avec le virus n'est pas disponible et ne peut pas être exécuté alors j'aimerais savoir :
-Comment ce virus a-t-il pu s'infiltrer dans mon pc (j'ai avira)
-Comment éviter que cela se reproduise ?
-Comment faire pour enlever ce message d'erreur au démarrage ?
-Et pourquoi avais-je accès à tout les dossier de mon pc ?
Merci d'avance !
A voir également:
- Virus de la gendarmerie.
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
14 réponses
salut
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
C'est notemment sur les sites de streaming qu'on chope ce virus, si tu veux pas l'attraper à nouveau il faut que tu mettes adobe et java à jour, pour le reste je ne peux pas t'aider ;)
Je me suis déja débarrassé du virus, mais j'ai juste la fenêtre d'erreur qui s'ouvre a chaque démarrage qui est assez embêtant (quelque chose avec rundll), utiliser Pre scan enlèverait cette fenêtre ou il est juste censé chassé le virus ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
http://pjjoint.malekal.com/files.php?id=20120407_e11t12q14z10q15
J'ai lancé le logiciel qui m'a dit qu'il fallait redémarré le le pc pour nettoyer completement mais au lancement j'ai toujours :
RunDLL
Problème lors du démarrage de C:/[...]/ch8l0.exe
Le module spécifique est introuvable.
C'est pas très grave mais si je pouvais m'en débarrasser... ^^
J'ai lancé le logiciel qui m'a dit qu'il fallait redémarré le le pc pour nettoyer completement mais au lancement j'ai toujours :
RunDLL
Problème lors du démarrage de C:/[...]/ch8l0.exe
Le module spécifique est introuvable.
C'est pas très grave mais si je pouvais m'en débarrasser... ^^
suite du précédent :
desinstalle Boxore
desinstalle java update 30
desinstalle ant.com
desinstalle spybot il vaut rien
=========================
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"UpdateLBPShortCut"=-
"UpdateP2GoShortCut"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
"{2E924F4F-67F0-4BD8-9560-49F468E843D2}"=-
[HKU\S-1-5-21-2612628294-2036218183-2068089406-1000\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346FDE31-DFF9-418A-90C8-BA31DC9FF2EF}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7545E465-6A53-41C5-ADAD-CCCB9B574474}]
[-HKCU\Software\Microsoft\Acveoj]
[-HKLM\Software\Boxore]
FF::
user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
user_pref("browser.search.order.1", "Search the web (Babylon)");
user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
user_pref("extensions.BabylonToolbar_i.babExt", "");
user_pref("extensions.BabylonToolbar_i.babTrack", "affID=109989");
user_pref("extensions.BabylonToolbar_i.hardId", "5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.id", "5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.instlDay", "15395");
user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
user_pref("extensions.BabylonToolbar_i.newTab", true);
user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?AF=109989&babsrc=NT_ss&mntrId=5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1722:25:33");
user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
txt::
C:\Windows\System32\Tasks\{135AE69C-E71A-459A-A279-DF97B0AC6BCB}
C:\Windows\System32\Tasks\{ECAA08FC-CD42-46E0-94F3-0D24EBD932EE}
file::
C:\Windows\jestertb.dll
C:\Windows\Xú--
C:\Users\Xav\Desktop\Spybot - Search & Destroy.lnk
C:\Users\Xav\Downloads\vlc-1.1.11-win32.exe
C:\Users\Xav\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ch8l0.exe.lnk
folder::
C:\Program Files (x86)\Ant.com
C:\Users\Xav\AppData\Roaming\Igen
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\Users\Xav\AppData\Roaming\Yhxoig
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
desinstalle Boxore
desinstalle java update 30
desinstalle ant.com
desinstalle spybot il vaut rien
=========================
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"UpdateLBPShortCut"=-
"UpdateP2GoShortCut"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
"{2E924F4F-67F0-4BD8-9560-49F468E843D2}"=-
[HKU\S-1-5-21-2612628294-2036218183-2068089406-1000\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346FDE31-DFF9-418A-90C8-BA31DC9FF2EF}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7545E465-6A53-41C5-ADAD-CCCB9B574474}]
[-HKCU\Software\Microsoft\Acveoj]
[-HKLM\Software\Boxore]
FF::
user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
user_pref("browser.search.order.1", "Search the web (Babylon)");
user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
user_pref("extensions.BabylonToolbar_i.babExt", "");
user_pref("extensions.BabylonToolbar_i.babTrack", "affID=109989");
user_pref("extensions.BabylonToolbar_i.hardId", "5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.id", "5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.instlDay", "15395");
user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
user_pref("extensions.BabylonToolbar_i.newTab", true);
user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?AF=109989&babsrc=NT_ss&mntrId=5e8d4eec0000000000005404a612fcae");
user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1722:25:33");
user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
txt::
C:\Windows\System32\Tasks\{135AE69C-E71A-459A-A279-DF97B0AC6BCB}
C:\Windows\System32\Tasks\{ECAA08FC-CD42-46E0-94F3-0D24EBD932EE}
file::
C:\Windows\jestertb.dll
C:\Windows\Xú--
C:\Users\Xav\Desktop\Spybot - Search & Destroy.lnk
C:\Users\Xav\Downloads\vlc-1.1.11-win32.exe
C:\Users\Xav\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ch8l0.exe.lnk
folder::
C:\Program Files (x86)\Ant.com
C:\Users\Xav\AppData\Roaming\Igen
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\Users\Xav\AppData\Roaming\Yhxoig
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Boxore est déja supprimé, je sais pas d'ou il vient d'ailleur.
Je garde Ant.com, il me permet de DL des vidéos youtube.
Je garde Ant.com, il me permet de DL des vidéos youtube.
supprime ceci manuellement si tu peux :
C:\Windows\Xú--
C:\Windows\System32\Tasks\{135AE69C-E71A-459A-A279-DF97B0AC6BCB}
C:\Windows\Xú--
C:\Windows\System32\Tasks\{135AE69C-E71A-459A-A279-DF97B0AC6BCB}
J'ai pu supprimé C:\Windows\Xú-- mais pas l'autre, sinon j'aimerais savoir pourquoi le virus me laissait accéder au poste de travail ?
ca depend des variantes de ce dernier
==========
▶ Télécharge Malwarebytes' Anti-Malware (MBAM).
Malwarebytes : clique pour la version FREE
ou : lien mirroir
▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)
▶ Installe-le puis configure-le comme ceci :
Configuration
si tu n'as rien modifié fais directement quitter sinon enregistrer
▶ Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
▶▶▶ Ce logiciel gratuit est à garder.
===================================================
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour manuelles MBAM
▶ Exécute le fichier après l'installation de MBAM
===================================================
Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.
▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
==========
▶ Télécharge Malwarebytes' Anti-Malware (MBAM).
Malwarebytes : clique pour la version FREE
ou : lien mirroir
▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)
▶ Installe-le puis configure-le comme ceci :
Configuration
si tu n'as rien modifié fais directement quitter sinon enregistrer
▶ Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
▶▶▶ Ce logiciel gratuit est à garder.
===================================================
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour manuelles MBAM
▶ Exécute le fichier après l'installation de MBAM
===================================================
Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.
▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
