Forums Zebulon.fr: Virus page alerte gendarmerie - Forums Zebulon.fr

Bonsoir,

Depuis hier, mon PC a un gros souci. Windows ne démarre pas convenablement, je vois mon image d'arrière-plan de bureau sans aucune icône, puis une page d'alerte s'affiche : « attention, vous avez visité des sites illégaux, c'est un message de la gendarmerie nationale, votre PC est bloqué, blablabla »…

Et, bien sûr, on me propose d'acheter une carte avec abonnement pour le débloquer. Le message est bourré de fautes d'orthographe et ressemble à un message traduit dans un français approximatif.

Je n'ai plus accès à Internet par Windows, j'ai redémarré mon PC avec Linux en version sur CD (version anglophone d'où l'absence d'accents et de cédilles), désolée… Je vais quand même essayer de faire un scan avec un outil ou un autre puis le poster à la suite.

Je suis sous Windows XP SP3 familial.
Merci pour votre aide.

Je sens que de longues heures m'attendent derrière le PC pour le nettoyer…

Ce message a été modifié par Dylav - 25 janvier 2012 - 11:26 .
Raison de l'édition : Accentuations rétablies ;o)

Bonjour,

La version française existe sous plusieurs formes – la procédure de désinfection est différente selon la variante :

On tente déjà ceci:

Avant tout, tenter une restauration système à une date antérieure.
Lancer la restauration en ligne de commande
vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,
On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec
Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec
Sélectionnez Invite de commande en mode sans échec
validez per la touche Entrée


Choisissez votre compte usuel, pas le compte Administrateur ou autre.
Tapez cmd puis dans la fenêtre qui s'ouvre:
%systemroot%\system32\restore\rstrui.exe
validez
La restauration devrait se lancer.
1) Si vous n'avez pas accès à internet
Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger Rogue Killer par Tigzy sur le bureau
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe
Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider
Un rapport (RKreport.txt) apparait sur le bureau
montrant les processus infectieux
Copier/Coller le contenu dans la réponse


Relancez Rogue Killer
Nettoyage du registre Passer en Mode 2


Téléchargez MBAM
ICI
ou LA
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra



Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

Bonsoir,

merci d'abord à Dylav pr la correction de mon post initial avec l'accentuation.

Finalement, j'ai réussi à me débrouiller comme une grande pr m'en sortir à peu près (merci Zebulon, avec l'entraînement, je commence à savoir de mieux en mieux quoi faire pr m'en sortir en cas de souci. Et surtout, je ne panique plus en cas de pb et me dis qu'une solution est possible, et je ne fais pas n'importe quoi à tout va. Encore une ou deux infections et je serai parée ! Je devrais pas dire cela, je vais les attirer... )

En forçant le démarrage, j'ai donc réussi à lancer avira et son scan grâce au gestionnaire de tâche que j'avais réussi à lancer. Avira a alors fait son boulot et mis la saleté en quarantaine.
Voici le rapport d'avira :
Cliquez ici.

Par contre, j'avais pas réussi à démarrer en mode sans échec sous windows et aller sur internet, ni à accéder aux outils systèmes.

Pear, merci pour l'explication. La manip que vous m'avez indiquée permet de faire une restauration système quand on n'accède plus à windows, c'est ça ? (Je n'en ai plus besoin, mais j'aime bien comprendre et le savoir pour une prochaine fois.)

J'ai réussi à retrouver une machine fonctionnelle, par contre, j'ai encore besoin d'aide parce que ce que je ne sais pas faire, c'est finaliser une désinfection et tout remettre au propre.

Je vais lancer un scan MBAM et posterai le rapport plus tard.

Dois-je aussi lancer Rogue Killer ?

Merci encore.

PS Oum Hilal2, c'est moi. C'est juste que pdt l'infection, je n'arrivais plus à me connecter avec ma première identité et que j'avais perdu mon mot de passe... D'ailleurs comment puis-je supprimer ce compte de remplacement (Oum Hilal 2) ?

Re

en discutant de ce virus ds mon entourage, il semble répandu.
Je pensais le signaler ou porter plainte parce que cette fois, l'arnaque est évidente (le pirate se fait passer pr la gendarmerie et essaie de faire payer une fausse amende...)

Qqn sait-il vers quel service se tourner pr signaler ce délit ?

Bonne soirée.

Edit,
j'ai constaté sur le site de la gendarmerie nationale que ce virus circulait depuis un mois environ et qu'il avait déjà été signalé.

Ce message a été modifié par OumHilal - 26 janvier 2012 - 08:16 .

Bon, MBAM m'a trouvé encore le virus. Voici le log :

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.26.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.11
User :: USER-960DE02D0A [administrateur]

26/01/2012 20:25:14
mbam-log-2012-01-26 (20-25-14).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 263090
Temps écoulé: 1 heure(s), 22 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP921\A0328700.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP921\A0328704.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

(fin)
En fait, j'aimerais bien maintenant de l'aide pr trouver ce qui fragilise mon système parce que j'ai l'impression que depuis ma dernière infection (qui date d'oct 2011), mon système semble vulnérable aux attaques.

Merci de l'aide que vous voudrez bien m'apporter.
Bonne nuit !

PS J'ai lu qq part que le fait que mon disque dur soit presque plein rend le système fragile, non ? Il faudrait que j'achète un disque dur externe peut-être pr soulager ma machine...

Citation

Pas seulement.
Cela permet surtout de remettre votre machine dans l'état ou elle était avant l'infection.
C'est la première chose à faire avec cette infection.

Je vous ai aussi donné une procédure à suivre: RogueKiller et Mbam.
Qu'en est-il ?
J'ai vu le rapport de Mbam, mais pas celui de RogueKiller qui aurait du le précéder.

Relancez le, svp et postez en le rapport.

Bonjour Pear et merci pour l'aide que vous me proposez,

Citation

Désolée de ne pas avoir suivi vos instructions ds le bon ordre. En fait, comme je n'arrivais pas à appliquer cette procédure (invite de commande en mode sans échec pr restaurer le système)et que j'ai réussi à faire autrement, je n'ai pas fait cette manip. Dois-je la faire maintenant ? Il me semble que ce n'est plus utile.

Je n'avais pas non plus lancé rogue killer car au moment de l'infection, je n'arrivais pas à accéder au site (même avec linux sous CD).
Je vais donc le lancer ce soir en rentrant chez moi. Dois-je refaire ensuite un scan MBAM ?

Sinon, une chose dont je ne suis pas sûre, vous disiez

Citation

Vous parliez de la version française du virus, c'est ça ? Au fait, comment appelle-t-on ce genre de virus ?

Merci encore.

Citation

Oui,la version française appelée "Virus gendarmerie" .

Pour le reste, si vous pensez votre machine propre, ne faites rien, mais si vous avez un doute, ou pour en vérifier la santé:
Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônes


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tournevis et choisissez Tous
En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

Clic sur la Loupe pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Bonsoir,

je viens de lancer ZHP Diag, mais il reste bloqué à 61%, avec le message d'erreur suivant :

Citation

Le document qui apparaît en cours d'analyse, au moment où il bloque est le suivant :
C:\Documents and Settings\User\x_dtrace_log

Bon, je vais tâcher de relancer l'outil encore une fois.

Depuis l'infection par "virus gendarmerie", mon PC est encore plus instable et je dois svt le rallumer pr que windows ouvre. Il doit donc rester des choses pas nettes.

Merci pour l'aide à venir.
Bonne soirée.

Je viens de relancer ZHP diag.
Il bloque au même endroit, cette fois avec le msg
"Mémoire insuffisante".