Infecté par police « gendarmerie nationale »

[aide moi svp]

Bonjour,

 

J'ai été infecté par police 8:(B: ala inverse je crois et pas le numero 8 ) gendarmerie nationale un message bloque mon ordinateur dés l'allumage. Sous prétexte de connexion à des sites pédophiles, la "police 8: gendarmerie nationale" me demande de payer une somme de 100 euros, et impossible de faire quoi que ce soit, toutes mes icônes son disparus et seule cette page de la police est affiche.

[pear]

Bonjour,

 

1)Avant tout, tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 (F5 pour certaines marques de PC)pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

 

2) Si vous n'avez pas accès à internet

Démarrer en Mode sans échec avec prise en charge du réseau

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs.

Laisser coché ce qui concerne InetAccelerator.exe, il s'agit du malware.

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[aide moi svp]

bonjour,et merci de votre reponse,aprés avoir tapote la touche F8 je tape entree sur "demarrer en mode sans échec avec prise en charge du reseau et aprés il me demande "choisissez le système d'explotation à demarrer" et la j ai une seule choix "microsoft windows XP edition familiale" et une fois que je tape sur entrée tous mes icones reaparait mais au bout de 5 ou 10 secondes ils disparaisent et éncore cet page de "police gendarmerie national" qui me bloque tout je ne peux rien faire,et comment peux je choissir mon compte ussuel et pas l' administrateur??et ou dois je taper CMD car je de mal a trouver la fenetre et donc je ne peux pas taper %systemroot%system32\restore\rstrui.exe ( je m'excuse pour mon ortographe car je ne suis pas francais,je parle espagnol desole,mais je vais essayer,j arrive a lire pas de probleme.merci

[pear]

Ca se complique!

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

SafeBoot.sys

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

twexx32.dll

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

winsrv.dll

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[aide moi svp]

bonjour pear, je viens d arriver de mon travail, je vais faire avec le disque (je me serve de mon ancien ordinateur depuis hier)

[aide moi svp]

bonsoir pear,uuuuffff!!!ici le raport de OTLP Lien CJoint.com BDzuVxosnRz ,mais je voule aller sur internet dans la meme page mais impossible alors j' etais oblige de aller sur mon autre ordinateur et avec une cle usb je fais tout ce trafic je espere que je vais m' ensortir ,merci pear.et pour la suite je dois demarrer toujours avec le cd ou pas??

[pear]

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

 

[2012/01/26 19:22:18 | 000,009,027 | ---- | C] () -- C:\Documents and Settings\JOSE\Local Settings\Application Data\1a8ed873 => Infection Rogue (Possible)

[2012/01/26 19:22:18 | 000,009,002 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\ec640112 => Infection Rogue (Possible)

[2012/01/26 19:22:18 | 000,008,962 | ---- | C] () -- C:\Documents and Settings\JOSE\Application Data\81cae31d => Infection Rogue (Possible)

 

 

 

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand] -- -- (SetupNTGLM7X)

DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)

DRV - File not found [Kernel | System] -- -- (PCIDump)

DRV - File not found [Kernel | On_Demand] -- -- (NTACCESS)

DRV - File not found [Kernel | System] -- -- (lbrtfdc)

DRV - File not found [Kernel | System] -- -- (i2omgmt)

DRV - File not found [Kernel | On_Demand] -- -- (GMSIPCI)

DRV - File not found [Kernel | System] -- -- (Changer)

DRV - File not found [Kernel | On_Demand] -- -- (catchme)

FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: File not found

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: [QuickTime Task] File not found

O4 - HKLM..\Run: [RemoteCenter] File not found

O4 - HKU\JOSE_ON_C..\Run: [] File not found

O4 - HKU\JOSE_ON_C..\Run: [RemoteControl] File not found

O4 - HKU\.DEFAULT..\RunOnce: [WUAppSetup] File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

NetSvcs: 6to4 - File not found

NetSvcs: AppMgmt - File not found

NetSvcs: HidServ - File not found

NetSvcs: Ias - File not found

NetSvcs: Iprip - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: WmdmPmSp - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^JOSE^Menu Démarrer^Programmes^Démarrage^Symst.exe - - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^JOSE^Menu Démarrer^Programmes^Démarrage^Symst.exe - - File not found

MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found

MsConfig - StartUpReg: AppleSyncNotifier - hkey= - key= - File not found

MsConfig - StartUpReg: AsioReg - hkey= - key= - File not found

MsConfig - StartUpReg: BDRegion - hkey= - key= - C:\Program Files\Cyberlink\Shared files\brs.exe (cyberlink)

MsConfig - StartUpReg: BluetoothAuthenticationAgent - hkey= - key= - File not found

MsConfig - StartUpReg: CTDVDDET - hkey= - key= - C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe (Creative Technology Ltd)

MsConfig - StartUpReg: CTHelper - hkey= - key= - File not found

MsConfig - StartUpReg: EPSON Stylus C46 Series - hkey= - key= - File not found

MsConfig - StartUpReg: EPSON Stylus DX4400 Series - hkey= - key= - File not found

MsConfig - StartUpReg: facemoods - hkey= - key= - File not found

MsConfig - StartUpReg: Google Quick Search Box - hkey= - key= - C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)

MsConfig - StartUpReg: Google Update - hkey= - key= - File not found

MsConfig - StartUpReg: QuickTime Task - hkey= - key= - File not found

MsConfig - StartUpReg: UCam_Menu - hkey= - key= - File not found

MsConfig - StartUpReg: USB2Check - hkey= - key= - File not found

MsConfig - StartUpReg: YouCam Mirror Tray icon - hkey= - key= - File not found

ActiveX: {0291E591-EA41-4c82-8106-3DC6CE7F7664} - Reg Error: Value error.

ActiveX: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - Reg Error: Value error.

ActiveX: {347B0667-C7ED-429B-BDE3-CC8D3BACAA31} - Reg Error: Value error.

ActiveX: {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - Reg Error: Value error.

[2012/04/02 08:22:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\JOSE\Menu Démarrer\Programmes\Smart Fortress 2012

[2012/04/02 08:19:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84

[2012/01/26 19:22:18 | 000,009,027 | ---- | C] () -- C:\Documents and Settings\JOSE\Local Settings\Application Data\1a8ed873

[2012/01/26 19:22:18 | 000,009,002 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\ec640112

[2012/01/26 19:22:18 | 000,008,962 | ---- | C] () -- C:\Documents and Settings\JOSE\Application Data\81cae31d

[2012/04/03 08:08:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84

@Alternate Data Stream - 95 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:98AE08EA

@Alternate Data Stream - 169 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0295CBF7

@Alternate Data Stream - 137 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CD060F93

@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8F067037

@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:1079C01D

@Alternate Data Stream - 111 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A9662AE0

@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:888AFB86

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

[aide moi svp]

bonsoir,pour le nettoyage je cliqué sur run fix et ala fin je ne pas eu de rapport j' atendue long temp et aprées une fenetre s ouvre et me demandait demarrer et je cliqué ok mais OTLPE RESTE OUVERTE ALORS JE FAIS LE SHOUTDOWN et redemarrez la machine sans le cd et surprisse,la gendarmerie police national il c'est affiche encore sur mon écran et les icones disparaisent au bout de 5 ou 10 secondes,je remarque que dans la version 3.1.48.0 de OTLPE IL YA 3 PETITES FENETRES DANS L OUTIL file scan/

LE PREMIER NE PAS COCHE- use company name white list

le deuxime pas coche-skip microsoft files

en le derniere est coche-use no company name ist

il fallait coche le deuxime peutetre? merci d avance,(je me serve toujours de mon deuxieme pc)

[pear]

Pouvez vous démarrer en mode sans échec pour suivre la procédure proposée le 23.

 

Sinon, lancez Roguekiller et Mbam.

[aide moi svp]

bonjour pear,je reussi a lancer malwarebytes dans les dix secondes qui aparait,une fois lance encore toutes les icones son disparu evidement ppolice gendarmerie national prendl ecran et je laisse finir malwarebytes et a trouve deux troyan et je supprime, en fin je l' acces a mon ordinateur mais pas en version xp mais on dirait windows 98 , la barre de taches est en blanc mais pas en blue comme avant mais je toutes les icones dans la barre de taches,et l heure est en avance de 2 heures,je redemarre en mode windows normal, et rienque change...,ici je vous envoi le raport OTLPE de hier que je n arrive pas a l' avoir, dans le disque c il ya un dossier de OTLPE qui s'appelle _OTL? et aussi l icon de OTLPE, dois je les supprimer??

Lien CJoint.com BDBqZBSe4WI (ce rapport estde OTLPE avant de supprimer avec malwarebytes)

Lien CJoint.com BDBq2D5Nw0m (le papport de rougekiller)

Lien CJoint.com BDBq3xtccvs (le rapport de rougekiller)

j espere que vous aller comprendre tout ce que j 'ecris, merci encore