Virus gendarmerie nationale
Tags :
- Virus
- Malware
-
Sécurité
Dernière réponse : dans Sécurité et virus
Camaf
12 Novembre 2012 11:51:24
Bonjour,
J'ai été infecté par le virus de la gendarmerie nationale me réclamant de payer 100 €.
J'ai lu quelques topic pour essayer de m'en débarraser.
J'ai télécharger malware mbytes que j'ai mis à jour.
Il m'a trouvé deux fichiers infectés que j'ai effacé mais le virus est toujours présent.
J'ai donc telecharger OTL et j'ai fait une analyse. Je vais vous poster le rapport mais je ne sais pas quoi faire après.
Pouvez m'aider SVP
Merci d'avance
J'ai été infecté par le virus de la gendarmerie nationale me réclamant de payer 100 €.
J'ai lu quelques topic pour essayer de m'en débarraser.
J'ai télécharger malware mbytes que j'ai mis à jour.
Il m'a trouvé deux fichiers infectés que j'ai effacé mais le virus est toujours présent.
J'ai donc telecharger OTL et j'ai fait une analyse. Je vais vous poster le rapport mais je ne sais pas quoi faire après.
Pouvez m'aider SVP
Merci d'avance
Autres pages sur : virus gendarmerie nationale
Bonjour,
Tu peux nous fournir le rapport MalwareBytes Antimalware ? Il faut maintenir son pc à jour, tu n'aurais pas eu ce problème. On s'en occupera à la fin.
RogueKiller devrait te redonnait accès à ton pc, on s'occupera des restes après.
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
Tu peux nous fournir le rapport MalwareBytes Antimalware ? Il faut maintenir son pc à jour, tu n'aurais pas eu ce problème. On s'en occupera à la fin.
RogueKiller devrait te redonnait accès à ton pc, on s'occupera des restes après.
- Télécharge RogueKiller de Tigzy et enregistre-le sur ton Bureau
- /!\ Important -> Quitte tous les programmes en cours
- Double-clique sur RogueKiller.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sélectionne l'option Recherche
- Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
Camaf
12 Novembre 2012 12:56:10
Contenus similaires
- photos locked par virus gendarmerie nationale résolu - Forum
- virus firefox gendarmerie nationale - Forum
- virus gendarmerie nationale - Forum
- fichiers locked suite à virus gendarmerie nationale - Forum
- [Résolu] virus gendarmerie nationale Windows 7 - Forum
- Suite à un virus gendarmerie nationale mon pc ne s'allume plus ?? - Forum
Camaf
12 Novembre 2012 13:06:34
Voici le rapport de Rogue KILLER :
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur : CAMAF [Droits d'admin]
Mode : Recherche -- Date : 12/11/2012 12:53:00
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[RUN][Rans.Gendarm] HKUS\S-1-5-21-3017098726-3769211697-933718516-1000[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD6400AAKS-65A7B2 ATA Device +++++
--- User ---
[MBR] 5fd8859d1e4c5f78ff986f55edd8e5eb
[BSP] 7d34f083563532ee8e9143cb45805c12 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 597610 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1224112128 | Size: 12768 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_12112012_125300.txt >>
RKreport[1]_S_12112012_125300.txt
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur : CAMAF [Droits d'admin]
Mode : Recherche -- Date : 12/11/2012 12:53:00
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[RUN][Rans.Gendarm] HKUS\S-1-5-21-3017098726-3769211697-933718516-1000[...]\Run : Update (C:\Users\CAMAF\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD6400AAKS-65A7B2 ATA Device +++++
--- User ---
[MBR] 5fd8859d1e4c5f78ff986f55edd8e5eb
[BSP] 7d34f083563532ee8e9143cb45805c12 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 597610 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1224112128 | Size: 12768 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_12112012_125300.txt >>
RKreport[1]_S_12112012_125300.txt
Camaf
12 Novembre 2012 13:12:31
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.05.05
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 8.0.7601.17514
CAMAF :: CAMAF-PC [administrateur]
11/11/2012 11:16:26
mbam-log-2012-11-11 (11-16-26).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 478958
Temps écoulé: 53 minute(s), 11 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Program Files (x86)\Holdem Manager 2\Leak Buster HM2 Updater.exe (Backdoor.Agent.DCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\CAMAF\Desktop\RVG.Software.Holdem.Manager.v2.0.0.6112-CRD\crd.exe (TheftMarker.Crude) -> Mis en quarantaine et supprimé avec succès.
(fin)
www.malwarebytes.org
Version de la base de données: v2012.11.05.05
Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 8.0.7601.17514
CAMAF :: CAMAF-PC [administrateur]
11/11/2012 11:16:26
mbam-log-2012-11-11 (11-16-26).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 478958
Temps écoulé: 53 minute(s), 11 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Program Files (x86)\Holdem Manager 2\Leak Buster HM2 Updater.exe (Backdoor.Agent.DCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\CAMAF\Desktop\RVG.Software.Holdem.Manager.v2.0.0.6112-CRD\crd.exe (TheftMarker.Crude) -> Mis en quarantaine et supprimé avec succès.
(fin)
Pour les rapports OTL, j'ai joint un tuto à ma procédure
&
Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.

- Relance RogueKiller et pour lance la Suppression et valide
- Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse
&
- Télécharge OTL (de Old Timer) sur ton Bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche Avec liste blanche sous Registre: approfondi.
- Fais de même pour celle devant Tous les utilisateurs.
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
Camaf
12 Novembre 2012 16:15:14
l'ordinateur redémarre sans afficher le message
Le 2eme rapprot Roguekiller est
http://security-x.fr/up/file.php?h=Rdb2ba0751253c4d744d...
Encore merci pour votre aide
Le 2eme rapprot Roguekiller est
http://security-x.fr/up/file.php?h=Rdb2ba0751253c4d744d...
Encore merci pour votre aide
Camaf
12 Novembre 2012 16:37:52
Et le rapport Extras ?
Désinstalle si possible BitDefender, ancienne version et il ne faut qu'un antivirus par pc.
Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Désinstalle si possible BitDefender, ancienne version et il ne faut qu'un antivirus par pc.
- Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :
:OTL
FF - prefs.js..extensions.enabledItems: FFToolbar@bitdefender.com:2.0
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFToolbar@bitdefender.com: C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\ [2011/12/21 12:36:21 | 000,000,000 | ---D | M]
[2010/05/10 18:28:42 | 000,000,000 | ---D | M] -- C:\Users\CAMAF\AppData\Roaming\BitDefender
O3 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKU\S-1-5-21-3017098726-3769211697-933718516-1004..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O7 - HKU\S-1-5-21-3017098726-3769211697-933718516-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2012/11/12 16:09:00 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{DC0CD3EC-723A-4793-A7A7-1018B43DDB40}
[2012/11/12 15:46:03 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{29945F81-60D9-48E1-AC28-1848EFB7BC74}
[2012/11/11 12:38:47 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{3D9A46A2-B850-4135-AF7D-4E557EE337E0}
[2012/11/10 15:45:06 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{CFC74D77-2A22-4AA9-964C-279AA91BB896}
[2012/11/09 08:29:03 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{4292D562-D50D-42AA-A477-AC3CE8E6F146}
[2012/11/06 08:15:45 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{C86F45E4-3788-4B23-BE61-2AF46ED22E37}
[2012/11/03 12:30:45 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{B17EBAE6-E9BB-4BBA-94B2-11D156956430}
[2012/10/30 08:24:10 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{DA425D7A-188B-4F8D-AE4C-1A4EA5137341}
[2012/10/28 09:14:44 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{57C1C3C8-DFE1-455D-9881-6B18FB8CD27B}
[2012/10/24 07:28:29 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{D55972A8-03F9-45A7-88E8-CC8DD960D2B7}
[2012/10/22 08:05:39 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{6A0C517A-1A89-4C62-8160-833F414E098B}
[2012/10/20 07:12:38 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{69D135AE-06CF-4729-B0FC-9B3021A19BC0}
[2012/10/16 07:21:50 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{A1714A2D-13BC-4B0C-ABBB-D8366A6124F5}
[2012/10/15 07:47:17 | 000,000,000 | ---D | C] -- C:\Users\CAMAF\AppData\Local\{8DD4C981-346D-4FF8-8D4B-0DF279758209}
:files
C:\Program Files\BitDefender\
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche.
- Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Camaf
13 Novembre 2012 08:28:51
Voici le rapport extra :
http://security-x.fr/up/file.php?h=Rd3f4c1b75b4a77b2aca...
Par contre j'ai effectué la correction mais je n'ai pas eu de rapport lors du redémarrage du PC.
http://security-x.fr/up/file.php?h=Rd3f4c1b75b4a77b2aca...
Par contre j'ai effectué la correction mais je n'ai pas eu de rapport lors du redémarrage du PC.
Camaf
13 Novembre 2012 21:38:15
On va finir alors

- Télécharge SX Check&Update (de igor 51) sur ton Bureau.
/!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
- Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
/!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
- Au menu principal, choisis l'option Rapport.
- Poste le rapport qui s'affiche à ton écran.
Contenus similaires