Virus gendarmerie nationale
SoSur
Messages postés
10
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Il y a quelque temps, le virus de la gendarmerie a infecté mon ordinateur.
Il s'agit d'un écran qui apparait des que j'allume mon ordinateur avec comme titre :"Votre ordinateur a été bloqué pour violation de la loi française", et on me demande de payer 200 euros par Ukash.
Voici les méthodes que j'ai essayées mais qui n'ont pas fonctionnées :
- allumer en mode sans échec, avec fonction réseau ou non
- restaurer le système à une date antèrieur à l'infection
En autre ordinateur je n'ai qu'un mac et il est donc difficile d'installer des logiciels sur CD ou USB pour nettoyer mon ordinateur infecté.
J'ai essayé tous les forums, en vain.
Je précise que je ne suis pas très calée en informatique.
Je vous remercie pour votre aide, je ne souhaite vraiment pouvoir récupérer tous les dossiers de mon ordinateur infecté.
Merci beaucoup
Il y a quelque temps, le virus de la gendarmerie a infecté mon ordinateur.
Il s'agit d'un écran qui apparait des que j'allume mon ordinateur avec comme titre :"Votre ordinateur a été bloqué pour violation de la loi française", et on me demande de payer 200 euros par Ukash.
Voici les méthodes que j'ai essayées mais qui n'ont pas fonctionnées :
- allumer en mode sans échec, avec fonction réseau ou non
- restaurer le système à une date antèrieur à l'infection
En autre ordinateur je n'ai qu'un mac et il est donc difficile d'installer des logiciels sur CD ou USB pour nettoyer mon ordinateur infecté.
J'ai essayé tous les forums, en vain.
Je précise que je ne suis pas très calée en informatique.
Je vous remercie pour votre aide, je ne souhaite vraiment pouvoir récupérer tous les dossiers de mon ordinateur infecté.
Merci beaucoup
A voir également:
- Virus gendarmerie nationale
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Gendarmerie qui appelle avec un portable - Forum Vos droits sur internet
11 réponses
Bonjour
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
@+
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
@+
Ca n'a pas marché. Pourtant j'ai lancé un scan dans roguekiller, puis supprimé et redémarré et le virus est toujours là....
Je ne sais plus quoi faire :(
Je ne sais plus quoi faire :(
Merci pour ton aide Guillaume.
Non je ne peux pas accéder au bureau.
J'ai l'impression que Roguekiller n'a repéré aucun fichier malveillant...
Non je ne peux pas accéder au bureau.
J'ai l'impression que Roguekiller n'a repéré aucun fichier malveillant...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 08/23/2014 18:37:15
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0xc000009a] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SOFTWARE
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SECURITY
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SAM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\DEFAULT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Documents and Settings\NetworkService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Solene\NTUSER.DAT
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-->
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8c6fdfd2bfb7d81cabdcf69250b9cb7c
[BSP] 7bbfa602eda425b8b8dcb473fee337f4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_08232014_183715.txt >>
RKreport[0]_S_08232014_183705.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 08/23/2014 18:37:15
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0xc000009a] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SOFTWARE
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SECURITY
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SAM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\DEFAULT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Documents and Settings\NetworkService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Solene\NTUSER.DAT
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-->
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8c6fdfd2bfb7d81cabdcf69250b9cb7c
[BSP] 7bbfa602eda425b8b8dcb473fee337f4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_08232014_183715.txt >>
RKreport[0]_S_08232014_183705.txt
Bonjour,
-Démarrer en mode sans échec
-Démarrer/éxécuter/msconfig puis dans l'onglet démarrer désactiver tout
-Redémarrer
Le virus se trouve normalement dans le dossier caché Document and setting /votre nom/AppData/Local/temp
Bien souvent il est sous la forme "45849284684684284842.exe"
Cdlt
-Démarrer en mode sans échec
-Démarrer/éxécuter/msconfig puis dans l'onglet démarrer désactiver tout
-Redémarrer
Le virus se trouve normalement dans le dossier caché Document and setting /votre nom/AppData/Local/temp
Bien souvent il est sous la forme "45849284684684284842.exe"
Cdlt
Re
Tu procèdes avec OTL/OTLPE
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Tu me postes ce rapport OTL.txt
merci
@+
Tu procèdes avec OTL/OTLPE
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Tu me postes ce rapport OTL.txt
merci
@+
Re
On change de CDlive.
Tu procèdes avec OTLPE sous environnement Seven.
Télécharge ici http://www.security-helpzone.com/Tools/g3n/7pe_x___86_E.exe => OTLPE sous environnement windows 7 en CD Live (Merci à "g3n-h@ckm@n")
double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir
insère un cd dans ton graveur puis clique sur "BURN ISO"
(normalement le fichier à graver est déjà sélectionné)
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour ce faire suivre ce lien : Booter sur un CD
Tu lances l'iso d'OTLPE que tu as gravé.
* Double-clique sur l'icone OTLPE
* Une fenêtre s'ouvre: « Choose Windows Directory »
Tu choisis le lecteur qui embarque Windows (C par défaut) et ensuite tu pointes vers ce fichier Windows.
Une autre fenêtre mentionne :"Do you wish to loadremote user profile(s) for scanning ?"
Tu cliques sur Oui
Tu choisis ensuite ta session (logiquement la première ligne de cette fenêtre)
La ligne en bas du tableau est cochée (sinon le faire)
Cliquer sur Ok
Tu cliques sur OK
Ensuite
* sous custom scans /fixes
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
On change de CDlive.
Tu procèdes avec OTLPE sous environnement Seven.
Télécharge ici http://www.security-helpzone.com/Tools/g3n/7pe_x___86_E.exe => OTLPE sous environnement windows 7 en CD Live (Merci à "g3n-h@ckm@n")
double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir
insère un cd dans ton graveur puis clique sur "BURN ISO"
(normalement le fichier à graver est déjà sélectionné)
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour ce faire suivre ce lien : Booter sur un CD
Tu lances l'iso d'OTLPE que tu as gravé.
* Double-clique sur l'icone OTLPE
* Une fenêtre s'ouvre: « Choose Windows Directory »
Tu choisis le lecteur qui embarque Windows (C par défaut) et ensuite tu pointes vers ce fichier Windows.
Une autre fenêtre mentionne :"Do you wish to loadremote user profile(s) for scanning ?"
Tu cliques sur Oui
Tu choisis ensuite ta session (logiquement la première ligne de cette fenêtre)
La ligne en bas du tableau est cochée (sinon le faire)
Cliquer sur Ok
Tu cliques sur OK
Ensuite
* sous custom scans /fixes
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
