Se connecter / S'enregistrer
Votre question

Victime du Virus "Gendarmerie Nationale" RESOLU

Tags :
  • Virus
  • Demarrage
  • Windows 7
  • Sécurité
  • Écrans
Dernière réponse : dans Sécurité et virus
29 Mai 2012 00:15:18

Bonjour à tous,

Il semble que mon PC soit lui aussi victime du vérouillage du Virus "Gendarmerie Nationale".
Celui-ci est apparu il y a 4 jours, me conduisant à le neutraliser en lançant divers scans en mode sans échec (malewarebytes et Antivir).
Ces manipulations m'ont permis de ne plus avoir le fameux écran au démarrage de windows (7 64 bits).
Le problème me semblait résolu (plus d'écran au démarrage et scans négatifs) jusqu'à ce que je découvre ce soir qu'un certain nombre de fichiers étaietnt vérouillés (affublés d'un préfixe "Locked" et d'une extension aléatoire).

J'ai vu le sujet posté par Dav626 et résolu par Angeldark (http://www.infos-du-net.com/forum/id-2131369/fichiers-l...). Je suis actuellement en train d'exécuter un scan avec RannohDecryptor, qui semble décrypter la totalité des fichiers concernés (ouf !).

Je souhaiterais cependant m'assurer que l'infection soit bien définitivement éradiquée, et comme j'ai cru comprendre que de "jouer" avec Combofix sans être guidé par quelqu'un de compétent (ce qui nest pas mon cas) était risqué, j'en appelle à l'expertise et l'aide de quelqu'un qui aurait quelques minutes à consacrer à l'analyse des rapports que je publierait dans un post ultérieur.

En vous remerciant par avance...

Autres pages sur : victime virus gendarmerie nationale resolu

a c 549 8 Sécurité
a b $ Windows 7
a b C Ecran
29 Mai 2012 10:25:55

Bonjour,

Où en es-tu avec le décrypteur ? c'est bon il indique le total de fichier décrypté identique au nombre de fichier crypté ?

Pas besoin de lancer Roguekiller là.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

On va juste vérifier l'absence de reste de l'infection :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    29 Mai 2012 11:27:47

    Merci beaucoup pour ta réponse,

    Le scan que j'ai lancé hier soir avec RannohDecryptor a détecté un peu plus de 4000 fichiers cryptés, et le rapport final faisait état du même nombre de fichiers décryptés (je n'en suis pas sûr à 100% car il était tard cette nuit, mais le nombre était le même jusqu'à très peu de temps avant la fin du processus...).

    Cependant, je n'avais pas coché l'option "supprimer les fichiers cryptés" et lorsque j'ai lancé une recherche "*locked" via windows, le nombre de fichiers cryptés semblait bien supérieur à celui annoncé par RannohDecryptor.

    Je me suis contenté de supprimer manuellement les fichiers cryptés sur ma partition système, sur laquelle il ne me restait plus de place (puisque le décryptage sans suppression entraîne des "doublons"). Je n'ai cependant pas osé supprimer les fichiers cryptés présents sur mes disques de données "D" et "E".

    Ceci dit, pour ce qui concerne les fichiers cryptés trouvés sur ma partition "C", j'ai constaté qu'il y avait, entre autre, de nombreuses répliques du fichiers "adobe uploader.exe", avec juste des préfixes et extensions différentes. La différence entre le nombre de fichiers détectés par RannohDecryptor et ceux trouvés via windows peut-elle s'expliquer ce phénomène ?

    En tout cas, je comprends pourquoi mon espace disque "C" se réduisait de jours en jours sans raisons apparentes...

    Je suis actuellement au bureau mais je repasse chez moi à midi pour lancer la procédure "OTL", avec un post du rapport dans la foulée.

    Merci encore pour ta réponse.

    P.S. : Après quelques longues minutes de flagellation, j'ai mis à jour cette nuit les plugins "périmés" (en utilisant Why I Get Infected).
    a c 549 8 Sécurité
    a b $ Windows 7
    a b C Ecran
    29 Mai 2012 16:47:47

    Re,

    Concernant le décryptage, tu peux lancer avec l'option de suppression si tu veux aller plus vite, normalement c'est bon.

    Citation :
    Ceci dit, pour ce qui concerne les fichiers cryptés trouvés sur ma partition "C", j'ai constaté qu'il y avait, entre autre, de nombreuses répliques du fichiers "adobe uploader.exe", avec juste des préfixes et extensions différentes. La différence entre le nombre de fichiers détectés par RannohDecryptor et ceux trouvés via windows peut-elle s'expliquer ce phénomène ?


    On va regarder ça.

    Question avant de continuer, utilises-tu un proxy pour un de tes logiciels ?
    Citation :
    IE - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local;<local>
    IE - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.3.98:80



    à faire pour le moment, après on lancera le nettoyage avec OTL quand tu auras répondu pour le proxy.

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - JavaFX 2.1.0 (installé avec la dernière version de Java, inutile en fait, sert pour créer des application web)
    - Java(TM) 6 Update 26 (version obsolète, tu possèdes la plus récente)
    29 Mai 2012 17:45:59

    Merci une fois de plus,

    Une petite question : si je relance un décryptage avec l'option de suppression, le logiciel va-t-il générer une copie des fichiers déjà décryptés ? ou va-t-il proposer leur écrasement ou encore proposer de décrypter uniquement ceux qui ne l'auraient pas été (en supposant qu'ils ne l'aient pas déjà tous été...). Puis-je me contenter de les supprimer "manuellement en lançant une recherche via windows, comme je l'ai déjà fait pour ceux situéés sur ma partition "C" ?

    Concernant le proxy : je ne sais pas ! (à quoi ça sert ?) En tout cas, je ne l'ai pas fais sciemment...

    Je serai chez moi d'ici une petite heure pour la suite des opérations (désinstallation des 2 programmes java et nettoyage avec OTL (j'attends tes instructions pour lancer ce dernier).

    A tout à l'heure.

    a c 549 8 Sécurité
    a b $ Windows 7
    a b C Ecran
    29 Mai 2012 17:52:45

    Re,

    Normalement le décrypteur copie le fichier crypté, décrypte, puis, si tu as mis l'option, supprime la copie crypté.
    Faut donc un peu de place oui, sinon tu peux faire ne plusieurs fois aussi, c'est pas grave.

    Citation :
    Puis-je me contenter de les supprimer "manuellement en lançant une recherche via windows, comme je l'ai déjà fait pour ceux situéés sur ma partition "C" ?


    Bien sûr, mais c'est un recherche fastidieuse, c'est pour cela que je disais ça ... certains fichiers cryptés sont dans des sous-dossiers pas toujours facile à trouver, mais c'est vrai qu'avec le préfixe "locked", on les vois assez facilement.

    Citation :
    Concernant le proxy : je ne sais pas ! (à quoi ça sert ?) En tout cas, je ne l'ai pas fais sciemment...


    Le proxy est u moyen pour certains logiciel (ou infection ...) de passer par des ports de communication spéciaux pour communiquer directement avec des serveurs. C'est parfois le cas avec certains logiciel comme : (pour ceux que tu as)
    - dropbox
    - teamviewer
    - utorrent
    Mais je ne peux assurer que cela vienne d'eux.
    Moi personnellement je préfère les nettoyer, au besoin le logiciel t'indiquera qu'il y a un problème de connexion.

    Pour OTL je te donnerais le script quand tu m'aura valider la suppression des proxy.
    29 Mai 2012 18:02:10

    On y va pour la suppression des proxy, quitte à réinstaller dropbox, teamviewer et µtorrent si nécessaire...

    Pour info : 2 programmes java désinstallés Malewarebytes mis à jour, tous les indicateurs sont verts pour WIGI...

    J'ai lancé une recherche "*locked" avec windows et il n'a rien trouvé. J'ai vérifié par sondage dans les dossiers : tous les fichiers cryptés ont disparu ! S'agit-il des effets de RogueKiller ou d'OTL ?
    a c 549 8 Sécurité
    a b $ Windows 7
    a b C Ecran
    29 Mai 2012 19:43:48

    Re,

    Citation :
    J'ai lancé une recherche "*locked" avec windows et il n'a rien trouvé. J'ai vérifié par sondage dans les dossiers : tous les fichiers cryptés ont disparu ! S'agit-il des effets de RogueKiller ou d'OTL ?


    Non, seul l'outil de décryptage peut le faire si l'option de suppression était cochée, c'était peut-être le cas lors d'un des passages.

    On y va pour OTL :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local;<local>
    IE - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.3.98:80
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O3 - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-1349502488-3162750835-330013517-1000\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.4.1)
    O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.4.1)
    [2012/05/23 21:31:29 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Roaming\Ftdx
    [2012/05/23 10:27:32 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{6E358F53-DD44-45E0-8B19-218998EA7F3E}
    [2012/05/23 09:42:02 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{3F1F4BE3-5916-43A0-822C-9E3700E4367C}
    [2012/05/23 09:41:51 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{49EF911E-0D1E-4034-9614-20F94A51EAC4}
    [2012/05/22 19:17:47 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{828AEC74-52A5-4352-9E8C-6294A68D2409}
    [2012/05/22 19:17:34 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{C13A741B-BFD8-4F6F-BB0F-8E69A325FC15}
    [2012/05/21 19:09:03 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{F22C445A-6FA8-4D34-B380-1B4FB2A15397}
    [2012/05/20 15:42:11 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{1BF34219-628C-425F-81A4-733D587E0E2D}
    [2012/05/20 15:42:00 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{6652EC91-CD80-45B4-90EE-AE084E296873}
    [2012/05/19 11:24:40 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{32508609-8A02-4496-94B2-F6F1BED5A96C}
    [2012/05/19 11:24:28 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{1677BD08-3162-4F11-AF1E-274AE4ADB4BE}
    [2012/05/17 13:32:52 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{ADC50464-1423-4627-A142-FED82A7BA4B0}
    [2012/05/17 13:32:40 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{427FED49-BECE-490E-ABBB-D9C8B5313E7F}
    [2012/05/13 21:10:48 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{FCE5D6DE-3F86-48F9-B803-BF60416EBD7B}
    [2012/05/13 21:10:36 | 000,000,000 | ---D | C] -- C:\Users\Sylvain\AppData\Local\{761A7C11-79EB-4D43-8A70-79BDBAA2D1D5}
    [2010/11/10 22:29:24 | 000,000,000 | ---D | M] -- C:\Users\Sylvain\AppData\Roaming\AVG10

    :Reg
    [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "AvgUninstallURL"=-

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Après redémarrage confirme-moi si tout est ok sur le pc, et on conclure-ra.

    :jap: 
    a c 549 8 Sécurité
    a b $ Windows 7
    a b C Ecran
    29 Mai 2012 20:04:00

    Re,

    C'est ok pour OTL.

    Si c'est bon aussi pour les fichier crypté, on conclu :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement Rannohdecryptor.exe



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Rappel !

    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    29 Mai 2012 20:43:08

    Merci infiniment pour ta compétence et ta disponibilité !!! Et merci pour les conseils... je te dois une fière chandelle.

    Bonne continuation
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS