Se connecter avec
S'enregistrer | Connectez-vous
Votre question
Fermé

PC verrouillé virus Gendarmerie

Dernière réponse : dans Sécurité et virus
Partagez
23 Février 2012 22:30:47

Bonjour je viens ce soir de me faire bloquer par le virus gendarmerie , activité illicite ,

Je viens de lire plein de tutorial en ligne pour le virer , mais je n y arrive pas , je craque la ...

Mode sans echec et mode sans echec avec prise en charge reseau indisponible , le pc reboot a chaque tenative pareil pour linvite de commande si je lance le pc sous windows normal rien n y fait , la fenetre gendarmerie apparait et me bloque en quelques secondes

J ai donc suivi la procedure avec XPE REATOGO ( CD graver et booter etc ... ) et OTLPE et jai le rapport sous la main

http://pjjoint.malekal.com/files.php?id=20120223_d9v13x...

Je ne peut pas utiliser internet , ni installer malware bites quand je suis sous XPE REATOGO

kkun peut il maider svp ... j ai pas envie de formater et de tout perdre

Merci bcp

Autres pages sur : verrouille virus gendarmerie

a c 257 8 Sécurité
24 Février 2012 11:01:35

Bonjour,

On va tester quelques trucs pour voir s'il y a du mieux :

Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\0.729484967912048267f76.exe ()
    @Alternate Data Stream - 106 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Essaye ensuite de voir si tu peux démarrer en mode normal sur ton pc.
    Si oui, ne va pas plus loin, viens me le dire, idem si tu ne peux pas.
    24 Février 2012 16:56:46

    Bonjour , merci de votre réponse , j ai donc via cle usb transferer le code sur le pc infecter , redemarrer sous REATOGO-X-PE , utiliser OTLPE et lancer le fix avec le code ,

    j ai ensuite redemarrer window en normal et je n ai pas eu la fenetre de la gendarmerie qui me bloquer le pc , donc que puis je faire ensuie ? mettre tout a jour ? installer malware bytes ? rogue killer ?

    merci
    Contenus similaires
    a c 257 8 Sécurité
    24 Février 2012 21:27:14

    Re,

    Tu as bien fait d'attendre mes instructions.

    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    a c 257 8 Sécurité
    25 Février 2012 10:22:18

    Re,

    Ne t'inquiète pas, c'est moi qui dirait quand c'est terminé.
    Niveau infection c'est bon, mais on va terminé un peu de ménage :

    1) Supprime les programmes suivant via ajout/suppression des programmes (si présents) :

    - Java(TM) 6 Update 3
    - Java(TM) 6 Update 5 (versions obsolètes)
    - Spybot - Search & Destroy (obsolète et peu efficace ...)

    Tu as des restes de l'antivirus McAfee, utilise cet utilitaire pour les supprimer :
    http://www.inforumatique.fr/index.php/utilitaires/netto...


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - [2009/11/04 16:54:12 | 000,214,664 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
    DRV - [2009/11/04 16:54:12 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
    DRV - [2009/11/04 16:54:12 | 000,040,552 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfesmfk.sys -- (mfesmfk)
    DRV - [2009/11/04 16:54:12 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
    DRV - [2009/11/04 16:53:40 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdk.sys -- (mferkdk)
    O15 - HKU\S-1-5-21-1547161642-1229272821-725345543-1004\..Trusted Domains: internet ([]about in Trusted sites)
    O15 - HKU\S-1-5-21-1547161642-1229272821-725345543-1004\..Trusted Domains: mcafee.com ([]http in Trusted sites)
    O15 - HKU\S-1-5-21-1547161642-1229272821-725345543-1004\..Trusted Domains: mcafee.com ([]https in Trusted sites)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
    [2012/02/24 17:01:14 | 001,251,328 | ---- | C] () -- C:\Documents and Settings\Laurent\Bureau\RogueKiller.exe
    [2008/08/06 06:04:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ESET
    [2008/10/31 08:49:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
    [2008/02/05 08:57:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Lavasoft
    [2011/09/02 14:59:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\McAfee
    [2009/05/16 12:28:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SiteAdvisor
    [2009/05/16 10:47:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Laurent\Application Data\McAfee

    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]
    [CREATERESTOREPOINT]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Dis-moi si tout est ok sur ton pc ensuite, et on conclura.
    26 Février 2012 18:00:14

    Bonjour , merci pour votre aide , j ai nettoyer les 2 update Java , j ai supprimer spybot et j ai virer les restes de McAfee

    J ai ensuite fait le scan avec OTL et la correction , voici le log

    http://pjjoint.malekal.com/files.php?id=20120226_g15h10...


    Tout a l air en ordre , plus de probleme apparement

    Dois-je faire quelque chose d autre ?

    Merci pour tous vos conseils :) 

    Meilleure solution

    a c 257 8 Sécurité
    26 Février 2012 18:11:01
    partage

    Re,

    C'est ok, on nettoie les outils, on met à jour le pc pour éviter une nouvelle déconvenue de ce type :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Désinstalle dans ta liste des programmes si encore présent : Java(TM) 6 Update 7

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    27 Février 2012 16:15:31

    Merci pour tout , j ai tout nettoyer comme tu la conseiller et je nai plus de problemes

    Merci encore mon probleme est resolu ^^

    Bonne journe et a bientot
    14 Janvier 2013 16:44:11

    Bonjour,

    je viens à mon tour de me faire bloquer par ce même virus (idem symptômes ), j'ai effectuer tout la procédure (CD graver ect ...) et quand il Boot sur le CD pour XPE REATOGO il bloque au milieu du chargement.

    Je suis donc complètement bloqué avec les photos de mes enfant et mes documents pro à l’intérieur !

    Je suis désespéré... Si quelqu' un peut m'aider ce serais super.
    a b 8 Sécurité
    14 Janvier 2013 17:44:56

    Bonjour,

    Merci de créer son propre sujet, je ferme celui-ci.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter