Se connecter / S'enregistrer
Votre question

Mon ordinateur est infecté par le virus de la gendarmerie "Votre ordinateur a été bloqué pour violation de la loi française"

Tags :
  • Windows Vista
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Mars 2012 14:54:00

J'ai visité quelques FORUMS et j'ai constaté qu'il s'agissait bien d'un virus.
J'ai la version windows Vista et je peux démarrer en mode sans échec sans être bloqué.
Quelqu'un peut il me renseigner sur la procédure à suivre pour se débarrasser de ce virus?
Merci d'avance.

Autres pages sur : ordinateur infecte virus gendarmerie ordinateur bloque violation loi francaise

a c 548 8 Sécurité
11 Mars 2012 14:51:09

Bonjour,

à faire ne mode sans échec donc, si tu n'as pas accès au réseau (mode sans échec avec prise en charge réseau), utilise une clé usb pour transférer l'outil d'un pc connecté à celui infecté, et inversement pour les rapports.

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 548 8 Sécurité
    11 Mars 2012 18:43:21

    Re,

    Java pas à jour, Adobe reader pas à jour, et Flash player pas à jour, voilà les causes de ton infection !
    On mettra à jour en fin de procédure. Ce n'est pas pour rien qu'on vous bassine avec les mises à jour ...

    Tu as aussi des adwares, des logiciels publicitaires, et plusieurs infection ou restes d'infection par support amovible, on s'en occupera après.

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O4 - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000..\Run: [l6427t1p.exe] C:\Users\HENRY\AppData\Roaming\l6427t1p.exe (DiskeeperR Corporation)
    O15 - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..Trusted Domains: localhost ([]http in Local intranet)
    O15 - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..Trusted Ranges: GD ([http] in Local intranet)
    [2012/03/09 23:27:58 | 000,230,400 | ---- | C] (DiskeeperR Corporation) -- C:\Users\HENRY\AppData\Roaming\l6427t1p.exe

    :Files
    ipconfig /flushdns /c

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarrer normalement maintenant, confirme-le moi et on continuera la procédure en mode normal.

    :jap: 
    a c 548 8 Sécurité
    12 Mars 2012 10:13:06

    Re,

    à faire pour suivre :

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)
    - Bing Bar (idem)
    - Norton Security Scan (inutile avec Antivir d'installé)

    2) Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
    IE - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
    IE - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=SjTQM7Urq8quR0B4MV4LcSRLh8I?q={searchTerms}
    IE - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
    IE - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012
    O3 - HKU\S-1-5-21-2058400381-3527916559-2658792473-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O33 - MountPoints2\{0721d539-08dd-11df-90b3-0016d3c0a0c6}\Shell\AutoRun\command - "" = w9hw8.exe
    O33 - MountPoints2\{0721d539-08dd-11df-90b3-0016d3c0a0c6}\Shell\open\Command - "" = w9hw8.exe
    O33 - MountPoints2\{0d999c1a-b147-11dc-b958-0016d3c0a0c6}\Shell\AutoRun\command - "" = ysep1.exe
    O33 - MountPoints2\{0d999c1a-b147-11dc-b958-0016d3c0a0c6}\Shell\open\Command - "" = ysep1.exe
    O33 - MountPoints2\{0d999c7b-b147-11dc-b958-0016d3c0a0c6}\Shell\AutoRun\command - "" = g.exe
    O33 - MountPoints2\{0d999c7b-b147-11dc-b958-0016d3c0a0c6}\Shell\explore\Command - "" = g.exe
    O33 - MountPoints2\{0d999c7b-b147-11dc-b958-0016d3c0a0c6}\Shell\open\Command - "" = g.exe
    O33 - MountPoints2\{19f6037b-914d-11dd-b0e5-0016d3c0a0c6}\Shell\AutoRun\command - "" = ysep1.exe
    O33 - MountPoints2\{19f6037b-914d-11dd-b0e5-0016d3c0a0c6}\Shell\open\Command - "" = ysep1.exe
    O33 - MountPoints2\{22a5de5a-ef95-11dc-b179-0016d3c0a0c6}\Shell\AutoRun\command - "" = F:\ysep1.exe
    O33 - MountPoints2\{22a5de5a-ef95-11dc-b179-0016d3c0a0c6}\Shell\open\Command - "" = F:\ysep1.exe
    O33 - MountPoints2\{2d605ce6-e0db-11dd-8ebc-0016d3c0a0c6}\Shell\AutoRun\command - "" = F:\1gk8ha.bat
    O33 - MountPoints2\{2d605ce6-e0db-11dd-8ebc-0016d3c0a0c6}\Shell\explore\Command - "" = F:\1gk8ha.bat
    O33 - MountPoints2\{2d605ce6-e0db-11dd-8ebc-0016d3c0a0c6}\Shell\open\Command - "" = F:\1gk8ha.bat
    O33 - MountPoints2\{473fd039-eae1-11dd-a0eb-0016d3c0a0c6}\Shell\AutoRun\command - "" = F:\2u.com
    O33 - MountPoints2\{473fd039-eae1-11dd-a0eb-0016d3c0a0c6}\Shell\explore\Command - "" = F:\2u.com
    O33 - MountPoints2\{473fd039-eae1-11dd-a0eb-0016d3c0a0c6}\Shell\open\Command - "" = F:\2u.com
    O33 - MountPoints2\{473fd03c-eae1-11dd-a0eb-0016d3c0a0c6}\Shell - "" = AutoRun
    O33 - MountPoints2\{53ddfb92-3d46-11dd-a2d6-0016d3c0a0c6}\Shell\AutoRun\command - "" = 2u.com
    O33 - MountPoints2\{53ddfb92-3d46-11dd-a2d6-0016d3c0a0c6}\Shell\explore\Command - "" = 2u.com
    O33 - MountPoints2\{53ddfb92-3d46-11dd-a2d6-0016d3c0a0c6}\Shell\open\Command - "" = 2u.com
    O33 - MountPoints2\{65065651-5548-11df-b046-0016d3c0a0c6}\Shell\AutoRun\command - "" = jofk1wf.exe
    O33 - MountPoints2\{65065651-5548-11df-b046-0016d3c0a0c6}\Shell\open\Command - "" = jofk1wf.exe
    O33 - MountPoints2\{6f4ee8b9-7180-11de-9279-001b77bf9704}\Shell\AutoRun\command - "" = w9hw8.exe
    O33 - MountPoints2\{6f4ee8b9-7180-11de-9279-001b77bf9704}\Shell\open\Command - "" = w9hw8.exe
    O33 - MountPoints2\{91e37c89-f51d-11dc-af81-0016d3c0a0c6}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{96725284-33ff-11dd-b05e-0016d3c0a0c6}\Shell\AutoRun\command - "" = jofk1wf.exe
    O33 - MountPoints2\{96725284-33ff-11dd-b05e-0016d3c0a0c6}\Shell\open\Command - "" = jofk1wf.exe
    O33 - MountPoints2\{9c0b4616-028a-11de-8712-0016d3c0a0c6}\Shell\Auto\command - "" = H:\AdobeR.exe e
    O33 - MountPoints2\{9c0b4616-028a-11de-8712-0016d3c0a0c6}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\AdobeR.exe e
    O33 - MountPoints2\{b9e77295-86f5-11dd-b3ff-0016d3c0a0c6}\Shell\AutoRun\command - "" = RavMon.exe
    O33 - MountPoints2\{ba7391bd-3c3a-11dd-8fb2-0016d3c0a0c6}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{ba7391bd-3c3a-11dd-8fb2-0016d3c0a0c6}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{cc24d5c0-4898-11de-9b03-0016d3c0a0c6}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{cc24d5c0-4898-11de-9b03-0016d3c0a0c6}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{f5988cf7-2013-11de-a7bc-0016d3c0a0c6}\Shell\AutoRun\command - "" = nx.exe
    O33 - MountPoints2\{f5988cf7-2013-11de-a7bc-0016d3c0a0c6}\Shell\open\Command - "" = nx.exe
    O33 - MountPoints2\{f8f0049a-8a4d-11dd-bd9b-0016d3c0a0c6}\Shell\AutoRun\command - "" = F:\kyme.exe
    O33 - MountPoints2\{f8f0049a-8a4d-11dd-bd9b-0016d3c0a0c6}\Shell\open\Command - "" = F:\kyme.exe

    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    13 Mars 2012 00:23:43

    Bonjour hyunkel30,

    J'ai désinstallé les 3 programmes que tu m'as demandé.
    Par contre, il m'est impossible de télécharger Usb Fix, le lien n'est pas valide.
    Mais je n'ai pas de clés USB ni de disques durs externes. Penses tu qu'il est alors nécessaire que je télécharge le logiciel?

    Je préfére attendre ta confirmation avant de poursuivre la suite de la démarche.

    Fanfan59.

    a c 548 8 Sécurité
    13 Mars 2012 19:44:37

    Re,

    Ok alors ce sera pas besoin, mais je peux te dire que tu as vu passer bon nombre de clé usb ou autre infectée ... fait attention quand on t'en donne !

    Passe OTL comme demandé. (point 3) )

    Tu pourras faire ceci aussi ensuite :


    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    19 Mars 2012 12:06:49
    a c 548 8 Sécurité
    19 Mars 2012 14:25:57

    Re,

    Seul le premier rapport de malwarebyte's m'interressait en fait ;) 

    Par contre :
    Citation :
    C:\Users\HENRY\AutoCAD 2008\Keygen\Key Activation ACAD2008 US et FR.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.


    Vous étonnez pas après d'avoir des infections ...

    As-tu encore de symptômes / soucis sur ce pc ?

    Si c'est bon, on passera au ménage des outils et on conclura.

    :jap: 
    20 Mars 2012 22:19:06

    C'est le logiciel Anti Malwayre qui a fait ça??

    Pas de problèmes particuliers sur le fonctionnement du PC.
    Sais tu à quelle fréquence devrais je faire des examens du PC avec le logiciel anti Malwayre?

    Merci et merci pour la suite.

    a c 548 8 Sécurité
    20 Mars 2012 23:06:16

    Re,

    Citation :
    Sais tu à quelle fréquence devrais je faire des examens du PC avec le logiciel anti Malwayre?


    Dans le meilleur des mondes, et si tu respectes une bonne conduite sur le pc, jamais ;) 
    Mais comme on ne dis jamais, "jamais", 1 fois par mois, en pensant à le mettre à jour avant, c'est pas mal.

    Pour le reste :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Très important, le point suivant, car ton infection est venu du fait de ces logiciels non à jour !

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Pense à vérifier dans ta liste des programmes que Java(TM) 6 Update 2 à été supprimé, sinon fais-le.

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Si rien ne se lance, clique ici pour mettre à jour manuellement : http://get.adobe.com/fr/reader/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS