Se connecter / S'enregistrer
Votre question

Supprimer virus gendarmerie via Linux

Tags :
  • Base de registre
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Février 2012 09:30:34

Bon, d'abord salut à tous.
Je suis conscient qu'il existe pas mal de sujet concernant ce virus, mais personnellement j'ai pas trouvé réponse à mon problème.

Mon Windows 7 est infecté par le virus (pas d’accès au bureau, affichage d'une page blanche "violation de la loi française etc..."), et le démarrage en mode sans échec avec prise en charge réseau me renvoie toujours à l'affichage de la fenêtre du virus.

Cependant, j'ai une partition Linux (ubuntu 11.10) totalement fonctionnelle.


--> Je voudrais savoir si il existe un moyen de supprimer ce virus via Linux, en utilisant clamav par exemple?
Je suis pas pro en la matière, donc si on pouvais m'éclairer un peu ce serai sympa.

merci d'avance!

Autres pages sur : supprimer virus gendarmerie via linux

a c 548 8 Sécurité
29 Février 2012 12:10:48

Bonjour,

Alors il est sûrement possible de le faire avec un logiciel qui tourne sous Linux pour lire et modifier une base de registre Windows, ou via la console, mais comme je ne connais absolument pas, je préfère te donner notre manière de faire, via un liveCD qui comporte les outils qu'on utilise et maitrise :

Cela ne coute qu'un cd à graver ;) 

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    29 Février 2012 17:20:44

    OK! merci de ta réponse, mais je viens illico de faire une restauration système est c'est redevenu à la normal...(bon ok, boulet...)

    Désolé de t'avoir faire peut-être cherché pour rien, en espérant que ça va aidé d'autre.

    Merci quand même encore une fois!
    a c 548 8 Sécurité
    29 Février 2012 19:28:03

    Re,

    En fait cela dépend des système et des variante de ce scareware, parfois la restauration marche, parfois non.

    Je te conseille juste de faire ceci pour vérification, car par fois l'infection amène des "copain" plus dangereux qu'elle :

    1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS