PC Bloqué par Le Virus Gendarmerie Nationale

Question

Bonjour, 

Mon PC est bloqué par le virus de la Gendarmerie Nationale et j'aimerais savoir comment le débloquer sachant que j'ai déjà regardé vos solutions à ce sujet. Mais je n'ai aucune solution qui fonctionne car le mode sans échec et l'invite de commande DOS ne fonctionne pas dans mon cas. En effet lorsque je lance l'un ou l'autre de ces modes, un écran bleu apparait avec le message suivant: Problème de Virus ou disque dur mal branché et il me demande de faire un CHKDSK /F! 

Alors là je suis complètement perdu! Que Faire?

Merci par avance pour votre aide

Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

^salut fais ca et reviens poster les rapports comme indiqué :

https://gen-hackman.kanak.fr/

g3n-h@ckm@n · Answer

essaie avec le mien

g3n-h@ckm@n · Answer

ca veut dire que t'as pas assez de RAM

=====

faudrait passer par une distribution linux qui prend moins de ressources....

g3n-h@ckm@n · Answer

non mais ca te permettra deja de supprimer les fichiers néfastes au demarrage et de demarrer sur ton windows pour finir la desinfection

g3n-h@ckm@n · Answer

:) tu es sur quelle distribution ubuntu ?

g3n-h@ckm@n · Answer

je comprends rien....ca marche avec OTLPE o pas ? tu peux naviguer ?

g3n-h@ckm@n · Answer

mmm...ok

tu as accès à Internet via FirefoxPortable non ?

g3n-h@ckm@n · Answer

ok....

le systeme malade est XP ou vista ou 7 ?

g3n-h@ckm@n · Answer

ok donc rends-toi sur le disque ou il se trouve ensuite :

dans Documents and settings	a session\menu démarrer\programmes\démarrage

dans le dossier , si tu vois un fichier au nom chiffres lettres aleatoires tu supprimes

meme chose pour

Documents and settings\All Users
Documents and settings\All Users\Application Data
Documents and settings	a session\Application Data
Documents and settings	a session\Local Settings

déja ca pour commencer si tu as un doute demande

g3n-h@ckm@n · Answer

on avait pas fini....

regarde dans c:\windows\system32\ si tu n'as pas un fichier du style 

FD24513ACD31324EC.exe

g3n-h@ckm@n · Answer

tente le coup ..

essaie d'abord en mode sans echec avec prise en charge reseau

g3n-h@ckm@n · Answer

reessaie OTLPE

g3n-h@ckm@n · Answer

si tu lances l'éditeur de registre cela fonctionne ?

g3n-h@ckm@n · Answer

heu je te parle du Remote registry Editor sur le bureau hein ? pas le "RegEdit" de Executer

g3n-h@ckm@n · Answer

et oui mais avec celui-ci tu te retrouves dans le registre du windows qui te sert et non ton windows malade...

g3n-h@ckm@n · Answer

ok donne moi le numero de version d'explorer.exe du windows malade...

g3n-h@ckm@n · Answer

clic droit => propriétés => details

g3n-h@ckm@n · Answer

combien pèse-t-il ?

g3n-h@ckm@n · Answer

il est bon

g3n-h@ckm@n · Answer

je pense pas que ca fonctionne mais essaie...

kolt · Answer

Bonjour , 
au boulot 4 postes ont été infecté avec cette m...e : 
Redémarré en mode sans échec avec invite de command 
supprimer explorer.exe (virus environ 200 ko ) 
trouver un explorer.exe original (environ 2mo )sur un autre windows et le remplacer 
Et la ça refonctionne sans problème 

@+

g3n-h@ckm@n · Answer

demarrer/programmes/accessoires/outils systeme/restauration systeme

g3n-h@ckm@n · Answer

c:\windows\system32\Restore\rstrui.exe

g3n-h@ckm@n · Answer

là

https://www.fichier-dll.fr/essai.php?code=3992

g3n-h@ckm@n · Answer

dans c:\windows\system32

g3n-h@ckm@n · Answer

j' ai peut etre un idée

c'est bien C:\ le disque du windows en question ? pas D:\ ?

g3n-h@ckm@n · Answer

execute ca , une fois la fenetre fermée , le scan sera fini et tu auras un Listing.txt dans C:\

compresse le (clic droit -envoyers vers - dossiers compressés , puis heberge l'archive sur http://pjjoint.malekal.com et donne le lien

http://gen-hackman.servequake.com/Tools/Listing.bat

g3n-h@ckm@n · Answer

clic droit /executer en temps qu'administrateur ? 

edit::

chez moi ca tourne


https://www.cjoint.com/?BDzlA7qc4Hy
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

supprime ca :

C:\Documents and Settings\Serge GOMES\Mes documents\X17-75243.exe  
C:\Documents and Settings\Serge GOMES\Mes documents\settings.dat  
C:\WINDOWS\Temp\2IQ4nr7Y.dat 
C:\WINDOWS\Temp\8XG1dh4O.dat 
C:\WINDOWS\Temp\klbeyx

g3n-h@ckm@n · Answer

ah d'accord ok une infection porte le meme modele de nom :)

garde-le alors

g3n-h@ckm@n · Answer

essaie

g3n-h@ckm@n · Answer

bon ok ca va prendre un peu plus de temps

ouvre le petit prog avec le clic droit , selectionne modifier puis supprime ca :

 ^| findstr "\*.exe \*.dat \*.scr \*.pif \*.bat"

donc tu dois juste avoir ca entre les parenthèses :

('dir /A /B /S "C:\*.*"')

g3n-h@ckm@n · Answer

je suis en train de te faire un petit prog sur mesure :)

g3n-h@ckm@n · Answer

voila execute ca (je t'ai meme mis une jolie icône et tout ^^) 

le rapport sera dans C:\ mais c 'est pas très important 

http://gen-hackman.servequake.com/Tools/delete.exe 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu as redemarré sur la session infectée ?

g3n-h@ckm@n · Answer

si si

passe ca : 

http://gen-hackman.servequake.com/Tools/winlogon.exe 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

oui sur la session infectée clique sur kill - Lancer le scan

g3n-h@ckm@n · Answer

heberge le rapport qui se trouve sur ton bureau sur http://pjjoint.malekal.com et donne le lien

g3n-h@ckm@n · Answer

heberge quand meme ce rapport va..

C:\Delete.txt

g3n-h@ckm@n · Answer

et ouais il te manque un paquet de mises à jour !

desinstalle tout Java
desnstalle Adobe reader 6.0

===========

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"nwiz"=-
"Cpqset"=-
"HP Software Update"=-
"HP Component Manager"=-
"iTunesHelper"=-
"QuickTime Task"=-
[HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{C3F79A2B-B9B4-4A66-B012-3EE46475B072}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\luposde] 
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Conduit]     
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\PriceGong]     
[-HKLM\Software\BrowserChoice]     
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\WINDOWS\system32\mshta.exe"=-
"\C:\WINDOWS\system32\winlogon.exe"=-

Folder::
C:\Documents and Settings\Serge GOMES\Application Data\PriceGong     
C:\Documents and Settings\Serge GOMES\Local Settings\Application Data\Conduit     
C:\Program Files\Conduit     

File::
C:\WINDOWS\system32\dds_trash_log.cmd 
c:\Listing.bat 
e:\delete.exe 
e:\winlogon.exe     
e:\Listing.bat 
C:\Delete.txt 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

=====================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

g3n-h@ckm@n · Answer

non pas specialement :)

si tu peux faire le script , fais le script

g3n-h@ckm@n · Answer

bon on va tenter un truc

laisse moi 2mn le temps de compresser ca

g3n-h@ckm@n · Answer

ok redemarre avec OTLPE

decompresse cette archive , et rends-toi dans X:\Boot\Program Files

dans ce dossier , crée un Dossier Pre_Scan

dans ce dossier Pre_Scan tu mets les trois medules de l'archive ici :

https://www.cjoint.com/?BDAb1lGUvrK

ensuite tu decompresses cette archive et tu mets le raccourci sur le bureau :

https://www.cjoint.com/?BDAb3WUkBEK

tu lances , une fenetre s'ouvre tu cliques sur le dossier windows malade

ensuite il te demande si tu veux charger les utilisateurs tu reponds oui partout

le scan va tourner et tu devrais avoir un Pre_Scan.txt dans le dossier windows

g3n-h@ckm@n · Answer

ouvre TestDisk    

descend sur Append    

clique sur entrée , puis sur proceed , puis Intel , entrée , analyse , entrée , quick Search , entrée , entrée puis Quit

poste ensuite testdisk.log qui sera sur le bureau    
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

fais ca :

https://forum.malekal.com/viewtopic.php?t=21820&start=

g3n-h@ckm@n · Answer

laisse tourner

g3n-h@ckm@n · Answer

bah tu me transmettras le rapport 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ton pc devrait pouvoir tourner là

g3n-h@ckm@n · Answer

soyons sûrs que tu y arrives deja...:)

g3n-h@ckm@n · Answer

en mode sans echec voir ?

g3n-h@ckm@n · Answer

en invité de commandes ?

g3n-h@ckm@n · Answer

ok on va tenter un truc 

vai OTLPE mets ca dans c:\documents and settings	a session\bureau : 

http://www.forums-fec.be/gen-hackman/winlogon.exe 

======== 

ensuite mets celui-ci dans c:\documents and settings	a session\menu démarrer\programmes\démarrage : 

http://gen-hackman.servequake.com/Tools/winlogon.exe 

======== 

ensuite tu clic sur l'icone reboot qui se trouve dans le menu demarrer  d'otlpe , tu veires le cd et tu laisses redemarrer ton pc en mode normal
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

y'a rien qui demarre ?

g3n-h@ckm@n · Answer

alors je sèche 

il est légitime ce windows ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

MrToucan · Answer

Et ca? :
https://www.malekal.com/virus-sacem-police-nationale/
https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

g3n-h@ckm@n · Answer

mékeskiveu lui ?

Serge · Answer

il n'y a plus rien à faire?

Comment je peux faire pour rendre de nouveau utilisable mon PC?

g3n-h@ckm@n · Answer

je crois qu 'on a un peu fait le tour 

à part refaire le systeme je vois pas ........;;

PC Bloqué par Le Virus Gendarmerie Nationale - Page 3

Newsletters