Se connecter / S'enregistrer
Votre question

Virus gendarmerie supprimé mais toujours bloqué au démarrage

Tags :
  • 100€
  • gendarmerie nationale
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Septembre 2012 16:08:24

Bonjour,
j'ai été infestée ce matin par le virus de la gendarmerie, demandant de payer 100€ etc...

J'ai suivi pas mal de conseils provenant de divers forums sur le sujet, trouvé le fichier responsable du bug dans app data (ms.exe), l'ai supprimé, installé Malwarebytes, lancé un scan intégral qui a duré 1h30, diagnostiquant deux problèmes (Eo Rezzo, il me semble que c'est autre chose que j'ai depuis longtemps sur le pc...), supprimé les trucs en question, mais au redémarrage : le même message de la gendarmerie s'affiche.

J'ai donc téléchargé OTL, qui est en train de scanner. Que dois-je faire?

Merci bcp.

Autres pages sur : virus gendarmerie supprime bloque demarrage

a b 8 Sécurité
26 Septembre 2012 18:27:05

Bonjour,

Tu es donc en mode sans échec là ? Tu me fileras le rapport OTL et :

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
    26 Septembre 2012 22:13:29

    Bonsoir, merci pour votre aide :
    oui je suis en mode sans échec.

    Voici le copié collé du RKreport de Roguekiller :
    RogueKiller V8.0.5 [23/09/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : c.chevallier [Droits d'admin]
    Mode : Recherche -- Date : 26/09/2012 22:02:09

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 10 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : lmrmztvftyvqezo (C:\Windows\lmrmztvf.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-3772028017-4244622243-1160242127-24799[...]\Run : lmrmztvftyvqezo (C:\Windows\lmrmztvf.exe) -> TROUVÉ
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (S-MARIMBA:6560) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
    [HJ DESK] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    Les rapports OTL sont très longs, il y a un moyen de les joindre en pj plutôt que de les copier-coller?

    Merci d'avance!
    Contenus similaires
    a b 8 Sécurité
    27 Septembre 2012 15:10:39

    On va récupérer le mode normal là :

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    27 Septembre 2012 16:30:16

    Je vous joins les rapports :

    le second rapport de roguekiller, après suppression des éléments relevés :
    http://pjjoint.malekal.com/files.php?id=20120927_b14g7s...

    Rapport OTL extra.txt :
    http://pjjoint.malekal.com/files.php?id=20120927_w13z6c...

    Rapport OTL otl.txt:
    http://pjjoint.malekal.com/files.php?id=20120927_u15k6n...

    Rapport Malwarebytes :
    http://pjjoint.malekal.com/files.php?id=20120927_b10o5g...

    Je ne peux pas revenir en mode normal : le message virus gendarmerie apparait et me bloque tout accès au bureau et internet...

    a b 8 Sécurité
    27 Septembre 2012 19:21:49

    J'arrive pas à accéder à au site :/  tu peux les mettre sur CJoint ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS