Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

OumHilal2

Virus page alerte gendarmerie

Messages recommandés

Bonsoir,

 

Depuis hier, mon PC a un gros souci. Windows ne démarre pas convenablement, je vois mon image d'arrière-plan de bureau sans aucune icône, puis une page d'alerte s'affiche : « attention, vous avez visité des sites illégaux, c'est un message de la gendarmerie nationale, votre PC est bloqué, blablabla »…

 

Et, bien sûr, on me propose d'acheter une carte avec abonnement pour le débloquer. Le message est bourré de fautes d'orthographe et ressemble à un message traduit dans un français approximatif.

 

Je n'ai plus accès à Internet par Windows, j'ai redémarré mon PC avec Linux en version sur CD (version anglophone d'où l'absence d'accents et de cédilles), désolée… Je vais quand même essayer de faire un scan avec un outil ou un autre puis le poster à la suite.

 

Je suis sous Windows XP SP3 familial.

Merci pour votre aide.

 

Je sens que de longues heures m'attendent derrière le PC pour le nettoyer…

Modifié par Dylav
Accentuations rétablies ;o)

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

La version française existe sous plusieurs formes – la procédure de désinfection est différente selon la variante :

 

On tente déjà ceci:

 

Avant tout, tenter une restauration système à une date antérieure.

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

1) Si vous n'avez pas accès à internet

Démarrer en Mode sans échec avec prise en charge du réseau

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

110331105357302855.jpg

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

merci d'abord à Dylav pr la correction de mon post initial avec l'accentuation.

 

Finalement, j'ai réussi à me débrouiller comme une grande pr m'en sortir à peu près (merci Zebulon, avec l'entraînement, je commence à savoir de mieux en mieux quoi faire pr m'en sortir en cas de souci. Et surtout, je ne panique plus en cas de pb et me dis qu'une solution est possible, et je ne fais pas n'importe quoi à tout va. Encore une ou deux infections et je serai parée ! Je devrais pas dire cela, je vais les attirer... )

 

En forçant le démarrage, j'ai donc réussi à lancer avira et son scan grâce au gestionnaire de tâche que j'avais réussi à lancer. Avira a alors fait son boulot et mis la saleté en quarantaine.

Voici le rapport d'avira :

Cliquez ici.

 

Par contre, j'avais pas réussi à démarrer en mode sans échec sous windows et aller sur internet, ni à accéder aux outils systèmes.

 

Pear, merci pour l'explication. La manip que vous m'avez indiquée permet de faire une restauration système quand on n'accède plus à windows, c'est ça ? (Je n'en ai plus besoin, mais j'aime bien comprendre et le savoir pour une prochaine fois.)

 

J'ai réussi à retrouver une machine fonctionnelle, par contre, j'ai encore besoin d'aide parce que ce que je ne sais pas faire, c'est finaliser une désinfection et tout remettre au propre.

 

Je vais lancer un scan MBAM et posterai le rapport plus tard.

 

Dois-je aussi lancer Rogue Killer ?

 

Merci encore.

 

PS Oum Hilal2, c'est moi. C'est juste que pdt l'infection, je n'arrivais plus à me connecter avec ma première identité et que j'avais perdu mon mot de passe... D'ailleurs comment puis-je supprimer ce compte de remplacement (Oum Hilal 2) ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Re

 

en discutant de ce virus ds mon entourage, il semble répandu.

Je pensais le signaler ou porter plainte parce que cette fois, l'arnaque est évidente (le pirate se fait passer pr la gendarmerie et essaie de faire payer une fausse amende...)

 

Qqn sait-il vers quel service se tourner pr signaler ce délit ?

 

Bonne soirée.

 

Edit,

j'ai constaté sur le site de la gendarmerie nationale que ce virus circulait depuis un mois environ et qu'il avait déjà été signalé.

Modifié par OumHilal

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon, MBAM m'a trouvé encore le virus. Voici le log :

 

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org

 

Version de la base de données: v2012.01.26.06

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.11

User :: USER-960DE02D0A [administrateur]

 

26/01/2012 20:25:14

mbam-log-2012-01-26 (20-25-14).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 263090

Temps écoulé: 1 heure(s), 22 minute(s), 30 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP921\A0328700.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP921\A0328704.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

En fait, j'aimerais bien maintenant de l'aide pr trouver ce qui fragilise mon système parce que j'ai l'impression que depuis ma dernière infection (qui date d'oct 2011), mon système semble vulnérable aux attaques.

 

Merci de l'aide que vous voudrez bien m'apporter.

Bonne nuit !

 

PS J'ai lu qq part que le fait que mon disque dur soit presque plein rend le système fragile, non ? Il faudrait que j'achète un disque dur externe peut-être pr soulager ma machine...

Partager ce message


Lien à poster
Partager sur d’autres sites
Pear, merci pour l'explication. La manip que vous m'avez indiquée permet de faire une restauration système quand on n'accède plus à windows, c'est ça ? (Je n'en ai plus besoin, mais j'aime bien comprendre et le savoir pour une prochaine fois.)

 

Pas seulement.

Cela permet surtout de remettre votre machine dans l'état ou elle était avant l'infection.

C'est la première chose à faire avec cette infection.

 

Je vous ai aussi donné une procédure à suivre: RogueKiller et Mbam.

Qu'en est-il ?

J'ai vu le rapport de Mbam, mais pas celui de RogueKiller qui aurait du le précéder.

 

Relancez le, svp et postez en le rapport.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Pear et merci pour l'aide que vous me proposez,

 

Pas seulement.

Cela permet surtout de remettre votre machine dans l'état ou elle était avant l'infection.

C'est la première chose à faire avec cette infection.

Désolée de ne pas avoir suivi vos instructions ds le bon ordre. En fait, comme je n'arrivais pas à appliquer cette procédure (invite de commande en mode sans échec pr restaurer le système)et que j'ai réussi à faire autrement, je n'ai pas fait cette manip. Dois-je la faire maintenant ? Il me semble que ce n'est plus utile.

 

Je n'avais pas non plus lancé rogue killer car au moment de l'infection, je n'arrivais pas à accéder au site (même avec linux sous CD).

Je vais donc le lancer ce soir en rentrant chez moi. Dois-je refaire ensuite un scan MBAM ?

 

Sinon, une chose dont je ne suis pas sûre, vous disiez

La version française existe sous plusieurs formes – la procédure de désinfection est différente selon la variante

Vous parliez de la version française du virus, c'est ça ? Au fait, comment appelle-t-on ce genre de virus ?

 

Merci encore.

Partager ce message


Lien à poster
Partager sur d’autres sites
Vous parliez de la version française du virus, c'est ça ? Au fait, comment appelle-t-on ce genre de virus ?

 

Oui,la version française appelée "Virus gendarmerie" .

 

Pour le reste, si vous pensez votre machine propre, ne faites rien, mais si vous avez un doute, ou pour en vérifier la santé:

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

ZHPDiag.jpg

Cliquez sur le tournevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,

 

je viens de lancer ZHP Diag, mais il reste bloqué à 61%, avec le message d'erreur suivant :

Violation d'accès à l'adresse 00403243 dans le module ZHPDiag.exe Lecture de l'adresse 02FACB4E

Le document qui apparaît en cours d'analyse, au moment où il bloque est le suivant :

C:\Documents and Settings\User\x_dtrace_log

 

Bon, je vais tâcher de relancer l'outil encore une fois.

 

Depuis l'infection par "virus gendarmerie", mon PC est encore plus instable et je dois svt le rallumer pr que windows ouvre. Il doit donc rester des choses pas nettes.

 

Merci pour l'aide à venir.

Bonne soirée.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×