Virus gendarmerie

Cygahuen Messages postés 198 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Mon Pc portable HP à été victime du virus gendarmerie nationale.
Dès que je démarre mon ordi, une fois arrivé sur le bureau, les icônes disparaissent et la page gendarmerie apparaît. Du coup tout est bloqué.
En démarrant avec F8 impossible de demarrer en mode sans échec ni quoi que ce soit.
Après consultation du forum, j'ai créer un livecd OLTPE.
Après avoir lancer le cd, j ai cliqué sur l icône jaune OLTPE.
Il en ressort un rapport.
Que dois-je faire avec ? Comment désinfecter mon Pc ?
En espérant avoir été assez explicite, pouvez-vous me donner une marche à suivre pour réparer mon Pc.

Merci d avance.

61 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une machine portable est infectée par le ransomware affichant le message « gendarmerie nationale », provoquant la disparition des icônes et le blocage après le démarrage, rendant le mode sans échec difficile à atteindre. Plusieurs réponses recommandent d'utiliser un outil de diagnostic démarré via un live CD, comme Pre_Scan, puis d'analyser le rapport généré pour déterminer les éléments nuisibles et les actions à envisager. Des conseils insistent sur la non-conservation des outils de désinfection sur l'ordinateur et sur une restauration complète via l'option « réparer l'ordinateur ». En cas de doute, la démarche peut impliquer d'héberger le rapport du scan sur une plateforme externe et de suivre des instructions spécifiques pour éviter toute perte de données.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut c'est le live OTLPE avec windows 7 ou REATOGO ?
    0
  2. Cygahuen Messages postés 198 Statut Membre
     
    Bonsoir

    Merci pour ta rapidité.
    Je ne suis pas une bête en informatique....c'est REATOGO, mon Pc est un windows xp familiale.

    Merci
    0
  3. Cygahuen
     
    De mon iPad je ne peux sélectionner le fichier, ça ne marche pas.
    Par contre je l ai disponible en fichier .txt que je peux envoyer par mail.
    Sinon je pourrais le faire par le lien mais demain quand j aurai un Pc adéquat pour le faire.
    Qu en penses-tu ?

    Merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    sur le live cd , firefox portable te donne l'accès au net
    0
  6. Cygahuen
     
    J essais de me connecter avec Firefox portable, je n'y arrive pas. Ça me demande de me connecter sur un hotpost via sfr mais impossible de m'identifier , je ne sais pas reproduire le "@" avec un clavier qwerty. De plus il se passe rien quand je maintien alt gr

    Merci
    0
  7. g3n-h@ckm@n
     
    Ce lien n'est pas ou n'est plus disponible.
    0
  8. g3n-h@ckm@n
     
    relance OTLPE ,colle ca en bas sous "custom scan/fixes


    :OTL
    O4 - HKLM..\Run: [dkdhvzwhmhnrhco] C:\Documents and Settings\All Users\Application Data\dkdhvzwh.exe ()
    O4 - HKU\Propriétaire_ON_C..\Run: [dkdhvzwhmhnrhco] C:\Documents and Settings\All Users\Application Data\dkdhvzwh.exe ()
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
    O33 - MountPoints2\{c102c354-d4c5-11dd-8f42-00150023bba0}\Shell - "" = AutoRun
    O33 - MountPoints2\{c102c354-d4c5-11dd-8f42-00150023bba0}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{d92e522e-9f14-11e0-9214-00150023bba0}\Shell - "" = AutoRun
    O33 - MountPoints2\{d92e522e-9f14-11e0-9214-00150023bba0}\Shell\AutoRun\command - "" = F:\KODAK_Software_Downloader.exe
    [2012/07/27 08:32:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\cxxldqepmcgqoyj


    puis clique sur RUNFix
    0
  9. Cygahuen
     
    Merci

    Voici le nouveau rapport :

    http://cjoint.com/?0GExa7PRp8Z
    0
  10. Cygahuen Messages postés 198 Statut Membre
     
    Ah,

    j'ai eu un rapport suite au runfix, j'ai cru bon de te le faire suivre.

    Que dois-je faire maintenant ?

    Merci
    0
  11. g3n-h@ckm@n
     
    oui j'attendais bien le rapport mais c est pas le bon

    tu dois le trouver là :

    c:\_OTL\movedFiles\la_date_et_l_heure.log
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ne gardez pas les outils de desinfection dans le pc , ils sont mis à jour tous les jours
    0
  12. g3n-h@ckm@n
     
    regarde si ton pc redemarre normalement , mais c est pas fini
    0
  13. Cygahuen
     
    Effectivement le Pc redémarre normalement.

    Quelle est la prochaine étape ?

    Merci
    0
  14. g3n-h@ckm@n
     
    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    https://toolslib.net

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  15. Cygahuen
     
    Bonsoir

    J ai téléchargé Pré-scan comme convenu et quelques minutes après l'avoir lancé une erreur est apparu sous forme de fenêtre "autolt error" avec comme message : Line 39142 (file "c:\documents and settings\proprietaire\bureauwinlogon.exe"):

    Error : error in expression.

    Je vais donc essayer la version en .pif
    0
  • 1
  • 2
  • 3
  • 4