Votre question

Virus gendarmerie nationale

Tags :
  • Virus
  • Malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Novembre 2012 11:51:24

Bonjour,

J'ai été infecté par le virus de la gendarmerie nationale me réclamant de payer 100 €.

J'ai lu quelques topic pour essayer de m'en débarraser.

J'ai télécharger malware mbytes que j'ai mis à jour.

Il m'a trouvé deux fichiers infectés que j'ai effacé mais le virus est toujours présent.

J'ai donc telecharger OTL et j'ai fait une analyse. Je vais vous poster le rapport mais je ne sais pas quoi faire après.

Pouvez m'aider SVP

Merci d'avance

Autres pages sur : virus gendarmerie nationale

a b 8 Sécurité
12 Novembre 2012 12:02:23

Bonjour,

Tu peux nous fournir le rapport MalwareBytes Antimalware ? Il faut maintenir son pc à jour, tu n'aurais pas eu ce problème. On s'en occupera à la fin.
RogueKiller devrait te redonnait accès à ton pc, on s'occupera des restes après.

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
    12 Novembre 2012 12:56:10

    Merci de votre aide

    Par contre, comment puis-je poster les rapports?
    Contenus similaires
    12 Novembre 2012 13:06:34

    Voici le rapport de Rogue KILLER :

    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec
    Utilisateur : CAMAF [Droits d'admin]
    Mode : Recherche -- Date : 12/11/2012 12:53:00

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
    [RUN][Rans.Gendarm] HKUS\S-1-5-21-3017098726-3769211697-933718516-1000[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD6400AAKS-65A7B2 ATA Device +++++
    --- User ---
    [MBR] 5fd8859d1e4c5f78ff986f55edd8e5eb
    [BSP] 7d34f083563532ee8e9143cb45805c12 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 597610 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1224112128 | Size: 12768 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_12112012_125300.txt >>
    RKreport[1]_S_12112012_125300.txt


    12 Novembre 2012 13:12:31

    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.11.05.05

    Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
    Internet Explorer 8.0.7601.17514
    CAMAF :: CAMAF-PC [administrateur]

    11/11/2012 11:16:26
    mbam-log-2012-11-11 (11-16-26).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 478958
    Temps écoulé: 53 minute(s), 11 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Program Files (x86)\Holdem Manager 2\Leak Buster HM2 Updater.exe (Backdoor.Agent.DCGen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\CAMAF\Desktop\RVG.Software.Holdem.Manager.v2.0.0.6112-CRD\crd.exe (TheftMarker.Crude) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    a b 8 Sécurité
    12 Novembre 2012 15:54:03

    Pour les rapports OTL, j'ai joint un tuto à ma procédure :) 

    • Relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • &

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    a b 8 Sécurité
    12 Novembre 2012 20:27:35

    Et le rapport Extras ?

    Désinstalle si possible BitDefender, ancienne version et il ne faut qu'un antivirus par pc.

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      FF - prefs.js..extensions.enabledItems: FFToolbar@bitdefender.com:2.0
      FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFToolbar@bitdefender.com: C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\ [2011/12/21 12:36:21 | 000,000,000 | ---D | M]
      [2010/05/10 18:28:42 | 000,000,000 | ---D | M] -- C:\Users\CAMAF\AppData\Roaming\BitDefender
      O3 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
      O4 - HKU\S-1-5-21-3017098726-3769211697-933718516-1004..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
      O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
      O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      [2012/11/12 16:09:00 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{DC0CD3EC-723A-4793-A7A7-1018B43DDB40}
      [2012/11/12 15:46:03 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{29945F81-60D9-48E1-AC28-1848EFB7BC74}
      [2012/11/11 12:38:47 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{3D9A46A2-B850-4135-AF7D-4E557EE337E0}
      [2012/11/10 15:45:06 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{CFC74D77-2A22-4AA9-964C-279AA91BB896}
      [2012/11/09 08:29:03 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{4292D562-D50D-42AA-A477-AC3CE8E6F146}
      [2012/11/06 08:15:45 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{C86F45E4-3788-4B23-BE61-2AF46ED22E37}
      [2012/11/03 12:30:45 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{B17EBAE6-E9BB-4BBA-94B2-11D156956430}
      [2012/10/30 08:24:10 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{DA425D7A-188B-4F8D-AE4C-1A4EA5137341}
      [2012/10/28 09:14:44 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{57C1C3C8-DFE1-455D-9881-6B18FB8CD27B}
      [2012/10/24 07:28:29 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{D55972A8-03F9-45A7-88E8-CC8DD960D2B7}
      [2012/10/22 08:05:39 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{6A0C517A-1A89-4C62-8160-833F414E098B}
      [2012/10/20 07:12:38 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{69D135AE-06CF-4729-B0FC-9B3021A19BC0}
      [2012/10/16 07:21:50 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{A1714A2D-13BC-4B0C-ABBB-D8366A6124F5}
      [2012/10/15 07:47:17 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{8DD4C981-346D-4FF8-8D4B-0DF279758209}

      :files
      C:\Program Files\BitDefender\

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a b 8 Sécurité
    13 Novembre 2012 13:58:32

    Citation :
    S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.

    Tu ne l'as pas là ?
    a b 8 Sécurité
    13 Novembre 2012 21:59:52

    On va finir alors :) 

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS