Virus gendarmerie Nationale Fermé

Question

Bonjour à tous,

Mon ordinateur (eeepc 1000H win Xp) a récemment été infecté par le fameurx virus "gendarmerie nationale"
Résultat : bureau bloqué sur une page me demandant de payer 100e pour débloquer l'ordinateur.

N'ayant pas le temps pour m'en occuper, je l'ai rallumer quelques jours plus tard, et la, miracle, le bureau ne se bloque pas, mais un message d'avira revient recemment m'indiquant la présence d'un virus (cheval de troie TR/sirefev.bv.2, TR/offend.kd581389)
J'ai donc pasé un coup d'avira, de malwarebytes et de rogue killer.

Mais rien n'y fait, le message réapparait de temps en temps et ma connexion internet ne marche plus.
L'ordinateur se connecte au réseau freewifi mais impossible d'aficher la liste complete des reseaux disponible "windows ne peut pas configurer cette connexion sans fil", j'ai donc essayé de la réparer mais cela ne marche pas 

J'aimerai donc savoir comment éradiquer ce virus et comment rétablir ma connexion internet.

Merci à vous !



Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Maquille · Answer

Bonsoir, 

Merci pour la reponse.

J'ai donc suivi vos instructions en téléchargeant le premier lien. Mais le scan est resté bloqué au moment de la recherche des fichiers cachés.  Avira a alors détecté le cheval de troie TR/offend.kd.58389.

J'ai attendu 10 min puis j'ai téléchargé le prescan.pif et la aucun probleme. Je vous poste le rapport sur le site demandé.

http://pjjoint.malekal.com/files.php?id=20120418_k9i5x107q12

Cordialement

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\System32\Drivers\dciiodrv.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Maquille · Answer

Pour l'instant je ne peux pas faire cette manipulation étant donné que ma connexion internet ne marche pas. 
La liste des réseaux sans fil ne veux pas s'afficher donc je ne peux pas me connecter. J'ai essayé de reparer la connexion mais impossible.

g3n-h@ckm@n · Answer

comment t'as fait pour pre_scan ?

Maquille · Answer

J'ai téléchargé le programme sur un autre ordinateur, que j'ai mis sur ma clef USB et que j'ai transféré sur mon PC. Il se connecte automatiquement a free wifi mais la connexion ne fonctionne pas, et il n'affiche pas les réseaux privés.

g3n-h@ckm@n · Answer

ben fais l inverse avec le fichier pour aller sur virus total avec ce pc :)

Maquille · Answer

en effet ;-)

voici le lien de la page après analyse :

https://www.virustotal.com/file/c39e700e7848fc6e05c39ba03b683b4874f71e50151566bd22a604fb47fe91f4/analysis/1334787298/

g3n-h@ckm@n · Answer

tu as effacé les rapports au fur et a mesure des versions de pre_scan utilisées ?

Maquille · Answer

Je n'ai rien effacé, le premier pre_scan avec le premier lien s'est arrêté en cours, j'ai redémarré l'ordinateur et j'ai utilisé l'autre lien avec la version prescan.pif dont je vous ai posté le rapport tout à l'heure

g3n-h@ckm@n · Answer

ah...ben logiquement il devrait y avoir les deux scan successifs dans le meme rapport...enfin c'est comme ca que je l'ai codé du moins

Maquille · Answer

le premier scan c'est moi qui l'ai stoppé car il restait bloqué pendant un moment.

g3n-h@ckm@n · Answer

oui mais il rédige une partie d'un rapport tout de meme...

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Maquille · Answer

J'ai suivi les étapes, mais il est impossible de créer la console de récupération car il faut une connexion internet. L'analyse s'est effectué par la suite mais au moment du redémarrage de l'ordinateur lorsque je dois taper mon mot de passe, le touchpad et le clavier ne fonctionne plus...

g3n-h@ckm@n · Answer

redemarre le pc

Maquille · Answer

J'ai redémarré une dizaine de fois mon ordinateur mais sans résultats : la souris et le clavier restent bloqué au moment d'ouvrir une session d'utilisateur.

Etant donné que j'ai deja sauvegardé toutes mes données, je pense plutot a restaurer mon ordinateur ?

Qu'en pensez vous ?

Si cette option parait etre la bonne, ou pourrai je trouver les drivers de mon eeepc 1000h xp ? Car je ne retrouve pas le cd d'origine

Merci

g3n-h@ckm@n · Answer

essaie ca avant :

https://free.drweb.fr/liveusb/?lng=fr

Maquille · Answer

Bonsoir, désolé mais j'utilisais le PC d'autres personnes jusque la. On vient de m'en preter un aujourd'hui et je suis 100% dispo.

Pour info, je viens de retrouver mon CD eeepc, mais dans les manoeuvres requises, il m'est demandé d'installer WINPE.ISO à la racine de mon disque dur. Or le clavier et la souris de mon pc sont toujours bloqués.  

Que dois je faire ?
Je viens de télécharger votre programme USB.

g3n-h@ckm@n · Answer

ben lance-le via l'usb

Maquille · Answer

Ok. J''ai donc lancé le premier Choix : Dr WEB (setting default)..
Je me retrouve sur une page d'accueil avec un écran dr web et pas mal d'options.

J'ai commencé le SCAN.

Suis je sur la bonne voie ?

g3n-h@ckm@n · Answer

vi ^^

Maquille · Answer

Bonjour,

Désolé c'est un peu long mais mon ordi s'est éteint durant le scan et je m'en suis rendu compte un peu tard.

Du coup je l'ai repris mais il est assez long, il dure depuis maintenant 15H. Il eest sur le  point de se terminé (98%) et a détecté 34 fichiers infectés.

Quelles sont les consignes a la fin du scan ? 

Merci

Maquille · Answer

Ah, il vient de se terminer après 15H38 de scan et 34 fichiers infectés.

g3n-h@ckm@n · Answer

zippe le fichier c:\users	a session\DrWeb\CureIt.log et heberge-le  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Maquille · Answer

Woula. Je fais ca a partir de l'interface Dr WEB ? Si oui, je n'arrive pas a trouver le fichier.

Ou dois je redémarrer mon ordi normalement ?

Je l'heberge sur malekal comme l'autre fois ?

Maquille · Answer

Et pour ce qui est des fichiers infectés je fais quelque chose ? (cure ? move to quarantine ?)

g3n-h@ckm@n · Answer

cure

Maquille · Answer

J'ai réussi a nettoyer 16 fichiers mais pour les autres, le message suivant apparait au moment de nettoyer "cannot get informations for files...no such files or directory"

Pour ce qui est de zipper le fichier, je fais comment ? j'ai posté un message avant le précèdent

g3n-h@ckm@n · Answer

oui pour malekal

clic droit dessus => envoyer vers => dossiers compressés => puis héberge l'archive

Maquille · Answer

Ok. Mais je fais quoi ? je redemarre l'ordi normalement et je zippe ? car j'aimerai pas perdre un scan de 15h

Et pour les fichiers que j'arrive pas a mettre en quarantaine je fais quoi ?

Merci

g3n-h@ckm@n · Answer

t'as fait cure ou pas ?

Maquille · Answer

Bah j'ai reussi a faire cure pour la moitié des fichiers infectés, mais pour l'autre moitié, comme je te l'ai dit dans un post précedent, ya un message qui apparait, m'empechant de faire "cure"

""cannot get informations for files...no such files or directory"

g3n-h@ckm@n · Answer

redemarre le pc et fournis le rapport

Maquille · Answer

J'ai redémarré le PC normalement mais la souris et le clavier sont toujours bloqués donc impossible d'ouvrir une session et de fournir le rapport...

Ya pas une astuce pour réactiver souris et clavier ?

g3n-h@ckm@n · Answer

c'est des sans fil ?

Maquille · Answer

Bah c'est le touchpad pour la souris et le clavier c'est le clavier intégré du eeepc. J'ai pas de souris ni de clavier avec fil. 

Franchement ca serait cool que tu me fasses des reponses plus completes car je m'en tiens a uniquement a tes conseils, et on avance pas depuis hier. 
Essaie de détailler un peu plus car je galere (par exemple jai jamais trouvé ton fichier a zipper).

Essaie de détailler un peu plus STP.

Merci

g3n-h@ckm@n · Answer

bon ok

le pc demarre-t-il en mode sans echec et le clavier fonctionne-t-il dans ce mode ?

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la2è option : Sans Échec avec prise en charge réseau, et valide avec "Entrée"

Maquille · Answer

La je pars de chez moi donc je reprendrai demain, mais j'ai essayé le mode sans echec hier et ni le clavier ni le touchpad ne reagissaient. 
Demain j'emprunterai la souris filaire d'un ami pour voir si ca marche. Mais il y aura toujours le probleme du clavier.

A demain.

g3n-h@ckm@n · Answer

ok deja si y a une souris , y a un clavier...

Maquille · Answer

Salut,

Alors alors, j'ai donc testé la souris filaire : elle ne répond a aucun moment.

Pour ce qui est du mode sans échec avec prise en charge réseau, ni la souris ni le touchpad ni le clavier ne réagissent.

MrToucan · Answer

Je vous communique ce lien vers un site spécialisé dans les logiciels malveillants : https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

Vous trouverez le fonctionnement du virus ainsi que la procédure pour désinfecter sa machine.

g3n-h@ckm@n · Answer

hello

et sans prise en charge réseau ?

Maquille · Answer

Non ca ne change rien.

Disons que pour le moment, l'essentiel pour moi serait de récupérer l'usage du touchpad et du clavier, chose que je ne peux faire depuis l'utilisation de combofix...et non depuis que le virus est apparu
Donc avez vous une solution pour ca ?

Car toutes les manip de votre site recquiert d'entrer dans le systeme, ou d'utiliser l'invit de commande (invit de commande qui n'ouvre pas la fenetre necessaire a inscrire les commandes)

g3n-h@ckm@n · Answer

je pense qu on va devoir reparer windows.....peux-tu te procurer la copie d'un cd d'installation de windows 7 sur une clé usb ?

Maquille · Answer

J'ai réussi a restaurer mon ordi a son état d'usine.

Le probleme à l'air de s'etre regler, tout marche parfaitement pour le moment

g3n-h@ckm@n · Answer

hello

fais ca pour controler quand meme

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Maquille · Answer

Bonjour, 

Je vous poste les deux rapports

OTL TXT
http://pjjoint.malekal.com/files.php?id=20120423_q5y7i6p6z15

EXTRA TXT
http://pjjoint.malekal.com/files.php?id=20120423_g7z14v14j11p6

g3n-h@ckm@n · Answer

ok re

si tu as mis les outils la-dedans , supprime ce dossier :

C:\Documents and Settings\Camille Lautard\Bureau\Nettoyage Ordinateur 

ta restauration systeme est desactivée !!!!

desinstalle spybot
desinstalle Java update 3

==================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O4 - HKU\S-1-5-21-3857235991-4175854384-163998428-1006\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)     
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)     
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-

:Files
C:\Program Files\Spybot - Search & Destroy      
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy   
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy   
C:\Program Files\*.exe 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Maquille · Answer

Bonjour, avant de faire ces manip je voulais savoir en quoi ca posait probleme de mettre tous ces programmes de protection dans un seul et meme dossier ?

De meme, ne puis je pas activer ma restauration systeme simplement via le menu classique?

Et enfin, pourquoi supprimer spybot? Juste le tea timer ou tout spybot ?

Merci

g3n-h@ckm@n · Answer

si on demande à ce que les outils soient sur le bureau , c'est parce que suivant l 'outil qui est utilisé , il peut arriver qu'il s'auto detruise si le processus n'est pas au bon endroit 

====

les consignes doivent etre appliquées à la lettre pour une desinfection en bonne et due Forme

====

je ne comprends pas ta question sur la restauration systeme , le script ne s'y rapporte pas

====

pourquoi supprimer spybot ? parce qu il vaut pas un clou , ne te protège de rien et alourdit ton systeme et bloque les outils de desinfection pour rien

à lire :

https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

Maquille · Answer

Ok,

Pour OTL je choisi la meme configuration que pour le précedent post ? 
(sur OTL.exe pour le lancer.
? => Clique ici pour voir la Configuration)


Pour ce qui est de la restauration systeme je faisais référence a cette phrase -
"ta restauration systeme est desactivée !!!! " Je n'ai pourtant rien désactivé c'est pour cela que je te posais la question.

Woila, je lance la correction après avoir eu tes réponses

Maquille · Answer

Car quand je vais dans mes paramètres de restauration système (menu démarrer ect...), la case "désactiver la restauration système" n'est pas activée.

g3n-h@ckm@n · Answer

alors je comprends pas pourquoi OTL a ecrit ca..

pour OTL non laisse tel quel , colle le texte et clic correction

Maquille · Answer

Voici le rapport

http://pjjoint.malekal.com/files.php?id=20120424_k13l10w14x12t14

Pour ce qui est du dossier "nettoyage ordi", il ne contient en réalité que des raccourcis vers les programmes concernés, donc rien de nuisible au final ?

g3n-h@ckm@n · Answer

t'as cliqué deux fois sur correction....

Maquille · Answer

Je l'ai fait deux fois, car lors de la premiere je n'avais pas encore supprimer spybot et java.

Ya un probleme ?

g3n-h@ckm@n · Answer

ben non mais dis moi -le je croyais que ca avait pas fonctionné....

Maquille · Answer

Ok, et donc ? Conclusion ?

g3n-h@ckm@n · Answer

spybot est bien desinstallé ?

Maquille · Answer

Oui, avec l'utilitaire windows

g3n-h@ckm@n · Answer

bah c'est bon alors tu peux virer OTL , ses deux rapports et son dossier dans c:\

Maquille · Answer

Ca marche, merci pour ton aide en tout cas. Fin du topic?

g3n-h@ckm@n · Answer

yep' ^^

aurelie.bernard-75 · Answer

salut,

essaye éventuellement des antivirus en ligne ?

g3n-h@ckm@n · Answer

gné ? 

https://forums.commentcamarche.net/forum/affich-25019750-probleme-avec-facebook#4
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Maquille · Answer

Ok, super et merci!

Virus gendarmerie Nationale

66 réponses

Discussions similaires