Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] Virus Gendarmerie Nationale

Tags :
  • Virus
  • Installer windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Décembre 2011 01:31:48

Bonsoir,

J'ai mon ordinateur qui est infecté par le virus qui affiche une pseudo page de la Gendarmerie Nationale demandant de payer une amende...

Pouvez-vous m'indiquer la marche à suivre afin de le supprimer ?

J'ai lu sur le lien ci-dessous le tutoriel, mais je préfère attendre vos conseils.
http://www.malekal.com/2011/12/11/trojan-fake-police-vi...


D'avance merci !

Autres pages sur : resolu virus gendarmerie nationale

a c 548 8 Sécurité
20 Décembre 2011 10:44:54

Bonjour,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    Première étape pour voir quel variante tu as :

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.


    Si tu as sous ce mode accès normalement à ton pc, et pas de blocage, viens nous le dire.
    Si sous ce mode aussi tu es bloqué, dis-le nous.


    :jap: 
    20 Décembre 2011 10:52:31

    Merci pour votre réponse.

    J'ai bien réussi à allumer mon ordinateur en mode sans échec, et à arriver sur le bureau comme décrit sans rencontrer de problème.
    Contenus similaires
    a c 548 8 Sécurité
    20 Décembre 2011 11:39:30

    Re,

    Parfait, alors ce sera rapide.

    Télécharge sur un pc fonctionnel et connecté :

    MalwareByte's Anti-Malware
    Mise à jour manuelle de Malwarebyte's

    Transfère ces deux fichiers sur le pc infecté, via une clé usb, en mode sans échec

  • Installe le programme Malwarebyte's, puis ferme-le.
  • Installe ces mises à jour en lançant mbam-rules.exe (double-clique dessus, suis les instructions)

    (Note : si tu as une erreur t'indiquant que tu ne peut lancer Windows Installer en mode sans échec, arrête là et viens me le dire)

  • Relance à présent Malwarebyte's via le raccourci sur ton bureau (ou dans "démarrer -> tous les programmes)
  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Poste-moi le rapport, et redémarre en mode normal voir si tout est ok.
    20 Décembre 2011 12:44:49

    Je viens de faire tourner le logiciel et il m'a trouvé 5 infections.

    Voici son rapport :

    Citation :
    -


    Cependant, une fois l'ordinateur redémarré en mode normal, le faux message de la Gendarmerie Nationale apparait toujours...
    a c 548 8 Sécurité
    20 Décembre 2011 14:13:02

    Re,

    On va regarder :

    Télécharge le programme suivant sur un pc connecté puis transfère comme pour le reste sur le pc bloqué :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    iexplore.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    20 Décembre 2011 14:37:28

    Voici donc les fichiers.

    OTL : -

    Extras : -
    a c 548 8 Sécurité
    20 Décembre 2011 14:55:21

    Re,

    Ok on continu :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O4 - HKU\S-1-5-21-2836739307-3522765304-4074439378-1001..\Run: [24whcfzn.exe] C:\Users\Marie\AppData\Roaming\24whcfzn.exe (Arcsoft, Inc.)
    O7 - HKU\S-1-5-21-2836739307-3522765304-4074439378-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: WallpaperStyle = 2
    [2011/12/19 18:31:01 | 000,175,616 | ---- | C] (Arcsoft, Inc.) -- C:\Users\Marie\AppData\Roaming\24whcfzn.exe
    [2011/12/19 18:31:01 | 000,000,008 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\tms9t3tvxm9nk4ji.dat

    :Commands
    [Reboot]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer.
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure


    Dis-moi si c’est ok pour le redémarrage en mode noral, on continuera ensuite.

    :jap: 
    20 Décembre 2011 15:04:38

    Après avoir fait la correction, une fois le PC redémarré normalement il n'y a plus le message de la Gendarmerie Nationale.

    Je vous poste tout de même le rapport :
    -

    Si tout est bon, merci à vous !
    a c 548 8 Sécurité
    20 Décembre 2011 15:19:00

    Re,

    Bien, mais on a pas fini, on fait une dernière vérif puis on fera le ménage des outils mais aussi mettre le pc à jour, sinon cela va revenir !

    Relance MalwareByte's Anti-Malware :

  • Lance-le et met à jour la base de définition. (onglet "mise à jour" )

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    20 Décembre 2011 16:51:17

    Ok je viens de le faire.

    Voici le rapport :

    Citation :
    -


    Que dois-je faire maintenant ? Merci.
    a c 548 8 Sécurité
    20 Décembre 2011 17:22:30

    Re,

    On nettoie les outils utilisés et on met à jour Java et autre pour éviter que tu te fasses réinfecter.

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu veux, pense alors à le mettre à jour avant.
    (Tu peux supprimer MBAM-rules.exe)


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    Mise à jour du système et des logiciels :

    /!\ Tu as été infecté car Java n'était pas à jour sur ce pc, il faut toujours penser à mettre à jour son système mais aussi ses logiciels !

    Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> Tous les programmes -> Windows Update

    Met à jour les programmes suivants :
    - Java vers la version 6 update 30 (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) 6 Update 14 )
    - Java 64bits : (pense à supprimer les anciennes version dans ajout/suppression des programmes : Java(TM) 6 Update 14 (64bits) )
    - Adobe reader vers X (10.1.x) (vérifie que les anciennes versions sont supprimée)

    A supprimer via ajout/suppression des programmes (si encore présent)

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)
    - Bing Bar (idem)
    - AOL Toolbar 5.0 (idem)
    - Ask.com Search Assistant 1.0.2 (idem)
    - iGraal Toolbar for Internet Explorer (idem, mais avec fonction de traçage, à supprimer sauf réel intérêt)



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    20 Décembre 2011 23:15:38

    J'ai suivis tous vos conseils !


    Merci beaucoup !
    25 Décembre 2011 20:12:07

    bonjour jai besoin daide yaurait il kelkun de disponible svp
    a c 548 8 Sécurité
    25 Décembre 2011 21:49:04

    Bonsoir,

    Merci de créer ton propre sujet pour une prise en charge.
    29 Décembre 2011 21:57:46

    hyunkel30 a dit :
    Bonjour,

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    Première étape pour voir quel variante tu as :

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.


    Si tu as sous ce mode accès normalement à ton pc, et pas de blocage, viens nous le dire.
    Si sous ce mode aussi tu es bloqué, dis-le nous.


    :jap: 


  • bonjour j'ai suivi ce que vous avez dit mais mon bureau n'apparait pas il y a seulement un fond écran noir avec "mode sans échec" au qui s'affiche aux quatre coins ainsi que "Microsoft (R) Windows XP (R) (numéro 2600.xpsp_sp3_gdr.100216-1514:Service Pack 3)" qui s'affiche en haut. Pouvez vous m'aidez s'il vous plait
    a c 548 8 Sécurité
    29 Décembre 2011 22:18:32

    Bonsoir,

    Merci de créer ton propre sujet pour obtenir une prise en charge.
    10 Janvier 2012 19:20:54

    Très simple : meme avec écran masqué faire : ctrl , alt gr , suppr et la fenetre apparait avec l'option : gestionnaire des taches . cocher le logiciel inconnu et le "message" , cocher : fin de tache pour les deux . L'écran apparait avec le bureau , lancer ad aware scan ,laisser faire , et le tour est joué . Amitiés

    .


    17 Janvier 2012 21:27:59

    bonsoir j'ai été infecté par le virus version mi janvier.

    Je n'y connais rien et je suis désespérée. Je suis allée chez une personne qui s'y connaissait quelque chose et quand je me suis connectée sur son adresse
    ip le virus avait disparu est ce normal?

    Merci par avance de votre réponse.
    a c 548 8 Sécurité
    17 Janvier 2012 22:04:17

    Bonjour,

    Pour toute prise ne charge, merci de créer ton propre sujet !
    :jap: 
    8 Mai 2012 20:00:49

    Bonsoir Hyunkel30. J'ai vraiment besoin de votre aide pour le même problème, je suis totalement désespéré... Je sais que j'aurais du créer mon propre sujet mais je ne sais pas comment faire et je n'ai pas le courage de chercher...
    Je suis allé jusqu'au rapport de l'examen de MalwareBytes. Aidez-moi au plus vite. Merci d'avance
    a b 8 Sécurité
    8 Mai 2012 20:05:20

    Pour créer un nouveau sujet, il suffit de cliquer sur le bouton "Créer un nouveau sujet", je pense que c'est faisable :) 
    Merci,
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS