Virus infraction loi française

[paslakine]

Bonjour,

un virus c'est gentiment installé sur mon ordi et me bloque tout, il s'agit d'une fausse lettre de la gendarmerie qui me dit que j'ai envoyé des spams ou je ne sais plus quoi et qui me demande biensur de payer 200euros ! pouvez vous m'indiquer la marche a suivre pour l'éradiquer svp. Je vous remercie par avance de toute votre aide

[Apollo]

Bonjour,

 

Suis l'une des méthodes indiquées ici stp: RansomFix

 

Désolé de n'être pas plus précis mais mon pc principal est en panne et je fais avec les moyens du bord depuis mon vieil XP où je ne dispose pas de toutes mes procédures

 

@++

[paslakine]

ca ne marche pas à l'aideeeee !!

[Apollo]

Re,

 

ça devrait, cet outil est fait pour.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

++

[paslakine]

Re, le problème que je rencontre c'est que je ne peux meme pas accéder à mon bureau j'ai directement la page qui s'affiche et qui bloque tout donc je ne peux pas lancer des logiciels ni meme désactiver mes boucliers. J'ai ré essayer la technique lu sur Randsomfix ci dessous :

Si l'ordinateur ne démarre pas en mode sans échec :

 

•Sur un ordinateur fonctionnant normalement :

◦Téléchargez RansomFix (d'Xplode) et enregistrez le à la racine d'une clé USB

•Sur l'ordinateur bloqué :

◦Démarrez l'ordinateur en mode "Invite de commandes"

◦Insérez la clé contenant RansomFix dans l'ordinateur.

◦La fenêtre d'invite de commande s'ouvre, un curseur doit clignoter.

◦Tapez ceci : (attention le x doit être remplacé par la lettre de la clé USB : essayez plusieurs lettres jusqu'à trouver la bonne : F, G, E, D...) x:\ransomfix.exe et appuyez sur la touche Entrée de votre clavier.

◦Redémarrez ensuite l'ordinateur.

◦Si celui-ci démarre normalement, fournissez le rapport créé sous C:\RansomFix_XXXX.txt (où XXXX correspond à la date et l'heure de création du rapport) à la personne qui vous aide.

lorsque j'arrive à l'étape après la clé je dois choisir entre la session administrateur ou la mienne lorsque je prend la mienne la page virus apparait mais lorsque je met administrateur la fenetre apparait là je rentre donc le fameux F:\ransomfix.exe et il apparait : le système ne peut exécuter le programme spécifié. pouvez vous me dire pourquoi?

de plus pour faire les autres manip que tu m'as dite il faut que je puisse accéder à mon bureau non ? mais je ne peux meme pas !!! je suis un peu perdue j'avoue ! :-S

[Apollo]

Bonjour,

 

Il faut certainement intervenir au niveau du registre afin de déjà récupérer le bureau et un démarrage plus normal: tigzy-RK: [RansomWare] Gendarmerie Nationale

 

++

[paslakine]

J'ai réussi a reprendre le controle du bureau, puis j'ai lancé : roguekiller en mode 2, et la je fais le scan avec malwarebytes, si je te montre le rapport peux tu me dire si le virus est bien parti ? autre petite question comment faire pour éviter ce type de problème à l'avenir, quelle protections ou astuces ?

[Apollo]

Re,

 

Ouf, quelle saleté ce bidule!

 

Il faut toujours poster les rapports

 

Pour éviter ce genre de mésaventure, il faut un surf "responsable", c'est à dire en excluant, les logiciels comme emule etc. , les cracks, keygens, visites de sites olé olé etc. (c'est générique et non personnel)

 

Ne jamais télécharger de programmes sur d'autres sites que celui de l'éditeur original d'un outil/programme.

 

Toujours refuser l'installation de toolbars ou de moteurs de recherches, genre Ask toolbar.

 

De même, quand un pc est complètement désinfecté et reste clean, il est utile de faire régulièrement des sauvegardes du système, documents perso et du registre.

 

On verra la suite à apporter suite à tes rapports et aux diagnostices restant à faire.

 

@++

[paslakine]

j'attend encore le rapport mais en attendant j'ai lancer randsomfix sur mes deux ordis, voici le rapport de l'ordi ayant été infecté :

 

# RansomFix v1.0 - Xplode

# OS : Microsoft Windows XP Service Pack 3 (32 bits)

# Username : Pascalinette - PASCALINE (Administrateur)

_____| Winlogon - Shell |_____

Value : Explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...

Found : C:\WINDOWS\explorer.exe [0xF2317622D29F9FF0F88AEECD5F60F0DD]

[KO] Checking for clean copy...

Found : C:\WINDOWS\twexx32.dll [0xF2317622D29F9FF0F88AEECD5F60F0DD]

Attempting to replace bad explorer.exe file...

Cannot replace explorer.exe file

explorer.exe MD5 after RansomFix : [0xF2317622D29F9FF0F88AEECD5F60F0DD]

_____| EOF |_____

 

 

et de celui qui n'a pas été infecté (au cas ou !!)

 

# RansomFix v1.0 - Xplode

# OS : Windows 7 Starter (32 bits)

# Username : Pascaline - PASCALINE-PC (Administrateur)

 

_____| Winlogon - Shell |_____

 

Value : explorer.exe [OK]

 

_____| HKCU\..\Run |_____

 

No bad key found

 

_____| Explorer.exe |_____

 

Checking explorer.exe...

Found : C:\windows\explorer.exe [0x2AF58D15EDC06EC6FDACCE1F19482BBF]

[OK]

 

_____| EOF |_____

[Apollo]

RansomFix n'a pas pu réparer en récupérant une copie saine.

 

Attempting to replace bad explorer.exe file...

Cannot replace explorer.exe file

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

 

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

 

++