Se connecter / S'enregistrer
Votre question

Ordinateur bloque par virus gendarmerie.

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Décembre 2012 11:27:05

Bonjour à tous, Mon PC est bloqué par la fameuse fenetre de gendarmerie. J ai passé Reatogo en Boot CD et j ai le bureau Reatogo qui s 'affiche. Que faire maintenant ? Merci à vous .

Autres pages sur : ordinateur bloque virus gendarmerie

21 Décembre 2012 12:19:12

Info supplementaire, le mode sans echec ne fonctionne pas, il revient systematiquement a la page me demanda;n mode sans echec ou windows normalement. Si je ne touche plus, il se lance sur le bureau pour finir ensuite par atterir sur la page gendarmerie
a c 548 8 Sécurité
22 Décembre 2012 10:21:20

Bonjour,

Nous allons regarder cela :

Je te met la procédure complète, bien entendu si tu as déjà gravé le cd OTLPE, tu fais juste la parti après :

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté. Je te conseille aussi de créer un fichier texte à transférer avec le script à coller dans l'outil pour plus de facilité

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Une aide à l'utilisation ici
  • [/i]
    Contenus similaires
    a c 548 8 Sécurité
    22 Décembre 2012 14:10:16

    Re,

    Y'a du monde sur le pc ...
    On finira de s'occuper des adwares (logiciels publicitaires) une fois le démarrage normal rétabli. On va se concentrer sur l'infection principale.

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - [2012/11/20 09:09:58 | 000,188,760 | ---- | M] () [Auto] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
    SRV - [2012/11/14 05:56:18 | 001,049,456 | ---- | M] () [Auto] -- C:\WINDOWS\system32\dmwu.exe -- (IBUpdaterService)
    IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://freakylinks.info/312
    IE - HKU\Administrateur_ON_C\..\URLSearchHook: {4d51f677-2a0b-43e2-b444-a2b384d24b91} - C:\Program Files\SFT_France\prxtbSFT2.dll (Conduit Ltd.)
    IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://www.winiti.net/f2c1e286-5455-4df5-b02f-c08bec560787
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\bubbledock@nosibay.com: C:\Program Files\Nosibay\Bubble Dock\extensions\FFSurfMatch [2012/12/14 03:13:00 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012/12/14 03:13:26 | 000,000,000 | ---D | M]
    O2 - BHO: (Bubble Dock SurfMatch) - {23AF19F7-1D5B-442c-B14C-3D1081953C94} - C:\Program Files\Nosibay\Bubble Dock\extensions\axSurfMatch.dll (Nosibay)
    O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll ()
    O2 - BHO: (SFT_France Toolbar) - {4d51f677-2a0b-43e2-b444-a2b384d24b91} - C:\Program Files\SFT_France\prxtbSFT2.dll (Conduit Ltd.)
    O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
    O3 - HKLM\..\Toolbar: (SFT_France Toolbar) - {4d51f677-2a0b-43e2-b444-a2b384d24b91} - C:\Program Files\SFT_France\prxtbSFT2.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)
    O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (SFT_France Toolbar) - {4D51F677-2A0B-43E2-B444-A2B384D24B91} - C:\Program Files\SFT_France\prxtbSFT2.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\wlsidten.exe ()
    O4 - HKLM..\Run: [Vistadrv] C:\WINDOWS\system32\vsdrv\vsdrv.exe ()
    O4 - HKU\Administrateur_ON_C..\Run: [Bubble Dock] C:\Documents and Settings\Administrateur\Application Data\Nosibay\Bubble Dock\LBubble Dock.exe (Nosibay)
    O4 - HKU\Administrateur_ON_C..\Run: [potter] C:\Program Files\diwja.vbs ()
    O4 - HKU\Administrateur_ON_C..\Run: [Update] C:\WINDOWS\system32\wlsidten.exe ()
    O4 - HKU\Administrateur_ON_C..\Run: [WinitiHelper] C:\Program Files\6PEO\Winiti\Winiti.exe ()
    O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
    O4 - HKU\NetworkService_ON_C..\RunOnce: [MPlayer2_FixUp] File not found
    O4 - HKU\NetworkService_ON_C..\RunOnce: [ShowDeskFix] File not found
    O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (Microsoft Corporation)
    O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\OfferBox.lnk = File not found
    [2012/12/14 03:16:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Application Data\Incredibar.com
    [2012/12/14 03:13:37 | 000,000,000 | ---D | C] -- C:\Program Files\Perion
    [2012/12/14 03:13:32 | 000,000,000 | ---D | C] -- C:\Program Files\Incredibar.com
    [2012/12/14 03:13:26 | 000,000,000 | ---D | C] -- C:\Program Files\IB Updater
    [2012/12/14 03:13:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\WNLT
    [2012/12/14 03:13:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ARFC
    [2012/12/14 03:13:00 | 000,000,000 | ---D | C] -- C:\Program Files\Nosibay
    [2012/12/14 03:12:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Bubble Dock
    [2012/12/14 03:12:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Application Data\Nosibay
    [1 C:\WINDOWS\system32\config\systemprofile\*.tmp files -> C:\WINDOWS\system32\config\systemprofile\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\Documents and Settings\Administrateur\*.tmp files -> C:\Documents and Settings\Administrateur\*.tmp -> ]
    [2012/12/14 03:13:20 | 001,049,456 | ---- | C] () -- C:\WINDOWS\System32\dmwu.exe
    [2012/12/14 03:13:20 | 000,028,160 | ---- | C] () -- C:\WINDOWS\System32\ImHttpComm.dll
    [2012/01/24 10:59:45 | 000,005,792 | RH-- | C] () -- C:\Program Files\diwja.vbs
    [2012/12/14 03:16:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Incredibar.com
    [2012/06/30 13:09:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\OfferBox
    [2012/12/15 03:24:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\PriceGong

    :Files
    C:\WINDOWS\system32\vsdrv
    C:\Program Files\6PEO
    C:\Documents and Settings\Administrateur\Application Data\Microsoft\Notification de cadeaux MSN

    :Commands
    [emptytemp]
    [resethosts]



  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarrer normalement suite à cette procédure, dis-moi si c’est bon ou non, puis nous poursuivrons la désinfection.

    :jap: 
    a c 548 8 Sécurité
    23 Décembre 2012 22:52:11

    Bonsoir,

    à faire en mode normal maintenant :

    1) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    a c 548 8 Sécurité
    25 Décembre 2012 15:37:19

    Bonjour et joyeux noël ;) 

    Tu as effectué qu'un examen rapide avec Malwarebyte's, refais la procédure comme je demandais avec un examen complet s'il te plait. ;) 

    Tu me diras suite à cela si tu rencontres encore des problème sur ce pc.

    :jap: 
    25 Décembre 2012 16:28:54

    Apparemment plus aucun souci !!
    a c 548 8 Sécurité
    25 Décembre 2012 21:42:27

    Re,

    Ok, on nettoie les outils alors, puis on va regarder pour mettre à jour le pc, car l'infection vient de là :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à la mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.

    ---------------

    Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Rapport à droite.
  • Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

    Ferme le programme via "Quit"

    :jap: 
    25 Décembre 2012 22:45:26

    Bonsoir,
    je viens d'avoir le même probleme. Nous avons effectué le début de la procédure. Voici le lien vers le fichier OTL.txt :

    http://security-x.fr/up/file.php?h=Rc69b365eb4765a96d5f...

    Serait-il éventuelement possible de nous envoyer le rapport pour l'étape suivante?
    Mille mercis d'avance,
    a c 548 8 Sécurité
    26 Décembre 2012 10:05:40

    Bonjour,

    @aversios : Merci de ne pas répondre dans un sujet qui n'est pas le tien, comme préciser dans les règles de cette section, un seul utilisateur par sujet en désinfection.
    Tu souhaites une prise en charge, merci de créer ton propre sujet !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS