Virus Gendarmerie tenace...
Résolu
Jodel Laverda
-
Tigzy Messages postés 7498 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Tigzy Messages postés 7498 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai attrappé le virus "votre ordinateur est bloqué en raison du délit de la loi de la France "
- Modes sans échec - bloqué
- ligne de commande - bloqué
j'ai suivi les différents conseils :
- J'ai téléchargé le fichier Kaspersky.iso, j'ai bouté sur le CD : rien trouvé
- J'ai installé XP sur un autre disk puis j'ai mis mon C vérolé en D, et là, j'ai pu le passer à MalewaresBytes, Norton, RoguesKiller... qui n'ont rien trouvé...
J'ai redémarré sur l'ancien disque, et rebelotte : "votre ordinateur est bloqué etc... "
Cornélien non ?
Si quelqu'un a une recette, il aura droit à toute ma considération :-)
J'ai attrappé le virus "votre ordinateur est bloqué en raison du délit de la loi de la France "
- Modes sans échec - bloqué
- ligne de commande - bloqué
j'ai suivi les différents conseils :
- J'ai téléchargé le fichier Kaspersky.iso, j'ai bouté sur le CD : rien trouvé
- J'ai installé XP sur un autre disk puis j'ai mis mon C vérolé en D, et là, j'ai pu le passer à MalewaresBytes, Norton, RoguesKiller... qui n'ont rien trouvé...
J'ai redémarré sur l'ancien disque, et rebelotte : "votre ordinateur est bloqué etc... "
Cornélien non ?
Si quelqu'un a une recette, il aura droit à toute ma considération :-)
A voir également:
- Virus Gendarmerie tenace...
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Gendarmerie qui appelle avec un portable - Forum Vos droits sur internet
4 réponses
Bonjour,
Le développeur de RogueKiller travaille sur les ransomwares, à l'origine l'outil servait uniquement à neutraliser les rogues. Désormais il a évolué et étendu son champs d'action, sa toute dernière version est normalement capable de faire le boulot.
Pour les autres, je ne sais pourquoi ils sont passés à côté, le fait de brancher en esclave le DD est en partie, l'explication.
Purge la restauration système
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent et c'est pour cela que tu as été infecté :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
Il faut mettre à jour Windows
Bonne continuation
Le développeur de RogueKiller travaille sur les ransomwares, à l'origine l'outil servait uniquement à neutraliser les rogues. Désormais il a évolué et étendu son champs d'action, sa toute dernière version est normalement capable de faire le boulot.
Pour les autres, je ne sais pourquoi ils sont passés à côté, le fait de brancher en esclave le DD est en partie, l'explication.
Purge la restauration système
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent et c'est pour cela que tu as été infecté :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
Il faut mettre à jour Windows
Bonne continuation
Bonsoir,
Nous allons créer un CD bootable qui va nous permettre dans un premier temps d'effectuer une analyse du PC.
Suivant ton type de connexion, tu auras accès au net, la clé usb n'est pas indispensable.
Sur le pc sain
1. Télécharge OTLPENet.exe sur le Bureau
● Insère un CD vierge dans le graveur
● Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.
2. Ouvre le Bloc-note, copie les instructions suivantes et sauvegarde les sur une clé usb sous le nom OTLPE_1.txt
Sur le pc infecté
1. Redémarre le système en utilisant le CD que nous avons créé.
Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD
Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.
● Il doit maintenant afficher un Bureau REATOGO-X-PE
● Double-clique sur l'icône jaune OTLPE.
● Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
○ A la question "Do you wish to load the remote registry", répond Yes
○ A la question "Do you wish to load remote user profile(s) for scanning", Yes
○ Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
● L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image.
2. Insère la clé USB et ouvre le fichier OTLPE_1.txt
● Copie/colle son contenu dans le cadre blanc sous "Custom Scans/Fixes"
● Clique sur le bouton Run Scan, patiente pendant le balayage du système.
● Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE_2.txt
Sur le pc sain
Héberge le rapport OTLPE_2.txt sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Nous allons créer un CD bootable qui va nous permettre dans un premier temps d'effectuer une analyse du PC.
Suivant ton type de connexion, tu auras accès au net, la clé usb n'est pas indispensable.
Sur le pc sain
1. Télécharge OTLPENet.exe sur le Bureau
● Insère un CD vierge dans le graveur
● Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.
2. Ouvre le Bloc-note, copie les instructions suivantes et sauvegarde les sur une clé usb sous le nom OTLPE_1.txt
Sur le pc infecté
1. Redémarre le système en utilisant le CD que nous avons créé.
Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD
Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.
● Il doit maintenant afficher un Bureau REATOGO-X-PE
● Double-clique sur l'icône jaune OTLPE.
● Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
○ A la question "Do you wish to load the remote registry", répond Yes
○ A la question "Do you wish to load remote user profile(s) for scanning", Yes
○ Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
● L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image.
2. Insère la clé USB et ouvre le fichier OTLPE_1.txt
● Copie/colle son contenu dans le cadre blanc sous "Custom Scans/Fixes"
● Clique sur le bouton Run Scan, patiente pendant le balayage du système.
● Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE_2.txt
Sur le pc sain
Héberge le rapport OTLPE_2.txt sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Bonsoir,
Redémarre sous l'environnement REATOGO
● Double-clique sur l'icône jaune OTLPE.
● Sous "Custom Scans/Fixes", copie/colle les instructions hébergées ici
● Clique sur le bouton Run Fix, patiente pendant le travail de l'outil.
● Un rapport va s'ouvrir au format bloc-note.
● Héberge le rapport et donne le lien.
A +
Redémarre sous l'environnement REATOGO
● Double-clique sur l'icône jaune OTLPE.
● Sous "Custom Scans/Fixes", copie/colle les instructions hébergées ici
● Clique sur le bouton Run Fix, patiente pendant le travail de l'outil.
● Un rapport va s'ouvrir au format bloc-note.
● Héberge le rapport et donne le lien.
A +
Bonjour,
Tu peux démarrer sous Windows maintenant ?
A +
Tu peux démarrer sous Windows maintenant ?
A +
Bonjour Kalimusic,
Effectivement ça remarche.
A ton avis, pourquoi les différents anti-virus : Norton, Kaspersky, et autres Rogues Killer, Malewares bytes etc. n'ont rien trouvé ? Est-ce que le fait d'avoir rétrogradé le disque dynamique (avec Dskprobe) en disque de base ne le faisait pas `'voir'' différemment par le system ?
Je ne suis pourtant pas complètement sec en informatique (je dépanne fréquemment les PC des copains) mais au niveau compétences, respect, nous ne jouons pas dans la même cour :-) je pédalais dans la semoule sur ce coup-là.
Un grand merci, pour avoir résolu mon problème.
Bien cordialement
Jodel Laverda
Effectivement ça remarche.
A ton avis, pourquoi les différents anti-virus : Norton, Kaspersky, et autres Rogues Killer, Malewares bytes etc. n'ont rien trouvé ? Est-ce que le fait d'avoir rétrogradé le disque dynamique (avec Dskprobe) en disque de base ne le faisait pas `'voir'' différemment par le system ?
Je ne suis pourtant pas complètement sec en informatique (je dépanne fréquemment les PC des copains) mais au niveau compétences, respect, nous ne jouons pas dans la même cour :-) je pédalais dans la semoule sur ce coup-là.
Un grand merci, pour avoir résolu mon problème.
Bien cordialement
Jodel Laverda
C'est cette ligne :
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\4D4F6AC078673E9CC30A.exe) - C:\WINDOWS\system32\4D4F6AC078673E9CC30A.exe ()
qui est très dure à detecter.
Je vais voir si je peux réactiver certaines fonctions qui permettent de rechercher des noms aléatoires