virus gendarmerie nationale

virus gendarmerie nationale - Virus/Spywares - Windows & Software

Marsh Posté le 27-09-2012 à 18:03:42    

Bonjour,    
 
J ai ete infecte par ce virus le mode sans echec ne veux pas demarrer l invite de commande nn plus impossible d acceder a mon ordi :(
 
 
Merci d avance

Reply

Marsh Posté le 27-09-2012 à 18:03:42   

Reply

Marsh Posté le 27-09-2012 à 19:00:48    

Bonjour
 
Apparemment, il existe plusieurs variantes de ce virus.
 
Malekal a fait de très bons tutos pour s'en débarrasser, même si le mode sans échec ne réussit pas.
 
Bonne chance.


---------------
«allez vous faire cuire le cul»
Reply

Marsh Posté le 27-09-2012 à 22:07:28    

Je ss sur android avec un wifi pourri tu peux me faire un debrief rapide stp ? Psk je galere a naviguer

Reply

Marsh Posté le 27-09-2012 à 22:15:10    

La seul solution qu il propose sans le mode sans echec c est l invite de commandes ir ca ne marche pas non plus chez moi

Reply

Marsh Posté le 28-09-2012 à 10:38:22    

Reyleigh a écrit :

Je ss sur android avec un wifi pourri tu peux me faire un debrief rapide stp ? Psk je galere a naviguer


 
Mais bien sûr. Tu veux aussi que je te serve un café avec le debriefing ? [:mlc]


---------------
«allez vous faire cuire le cul»
Reply

Marsh Posté le 28-09-2012 à 11:46:36    

Pourquoi tu le prends mal ? J ai pas trouve de solution sur le site de malakel, je ne peux pas demarrer lordi en mode sans echec et je ne peux pas utiliser l invite de commande non plus
Je peux le reformater? Je ne sais pas du tout comment m y prendre mais ca m arrangerait parce que mon pc est bourre de spywares

Reply

Marsh Posté le 28-09-2012 à 12:09:13    

a ta place j'accepterais le café ;)


---------------
Mieux vaut apprendre à un homme à pêcher avant de l'avoir tué.
Reply

Marsh Posté le 28-09-2012 à 12:50:23    

En attendant j ai plus acces a mes cours la :(

Reply

Marsh Posté le 28-09-2012 à 13:14:52    

Reyleigh a écrit :

Pourquoi tu le prends mal ? J ai pas trouve de solution sur le site de malakel, je ne peux pas demarrer lordi en mode sans echec et je ne peux pas utiliser l invite de commande non plus
Je peux le reformater? Je ne sais pas du tout comment m y prendre mais ca m arrangerait parce que mon pc est bourre de spywares


Pas trouvé de solution sur le site de malekal ? Tu cherche bien mal...
 
http://www.malekal.com/2011/12/11/ [...] ie-nation/
 
Bonne chance pour la suite.

Reply

Marsh Posté le 28-09-2012 à 13:26:19    

J ai vu ton lien et je comprends tjs pas. Tu parles de la solutiin avec kaspersky? Mon ordi n a pas de fente pr les cd

Reply

Marsh Posté le 28-09-2012 à 13:26:19   

Reply

Marsh Posté le 28-09-2012 à 13:50:58    

Reyleigh a écrit :

J ai vu ton lien et je comprends tjs pas. Tu parles de la solutiin avec kaspersky? Mon ordi n a pas de fente pr les cd


 
Tu n'as pas lu la suite ...
 

Citation :

Il est possible de le graver sur CD ou le mettre sur Clef USB, se reporter aux pages suivantes :
 
 http://forum.malekal.com/kaspersky [...] 12133.html
 http://forum.malekal.com/kaspersky [...] 35913.html


---------------
«allez vous faire cuire le cul»
Reply

Marsh Posté le 28-09-2012 à 14:07:32    

Merci :)
Par contre j ai pas bien compris comment transferer des donnes sur cd sur une clef usb, la clef est vendue avec ce cd ?
Aussi comment telecharger et activer les donnes de la clef alors que je suis bloque des que le bureau se charge ?
Desole je suis une nouille en info...

Reply

Marsh Posté le 28-09-2012 à 18:40:54    

Yop.
 
Sur un autre PC :  
 
• Télécharge RogueKiller (de Tigzy) sur ton bureau puis met le sur une clé Usb
• Télécharge OTLPEnet sur ton bureau
• Insère un CD vierge puis lance l'exécuteur (clic droit Executer en tant qu'administrateur sous Vista/Seven)
• Accepte la gravure puis patiente pendant ... la gravure
• Dès que c'est fini, un message apparaît pour confirmer : Operation Successfully Completed!
• Le CD est prêt !
 
• Modifie la séquence de démarrage pour que ton PC boot sur le CD : http://forum.malekal.com/booter-sur-dvd-t9447.html
• Démarre le CD sur le PC infecté, puis patiente pendant le chargement du bureau
• Lance RogueKiller (qui est sur la clé Usb) puis quand le préscan est fini, appuie sur Scan
• A la fin de ce scan, clique sur Rapport et copie/colle moi son contenu
 
++

Reply

Marsh Posté le 28-09-2012 à 21:00:59    

Sauf que, en lisant bien, tu aurais vu que reyleigh n'a pas de "fente pr les cd"
 
Donc ton explication, même si elle est bonne, n'est pas adaptée dans le cas présent.

Reply

Marsh Posté le 28-09-2012 à 21:08:30    

On peut booter sur Usb au pire :)
 
http://forum.malekal.com/petousb-eeepc-t24701.html

Reply

Marsh Posté le 28-09-2012 à 22:38:34    

Merci pour l aide je vais essayer demain a partir d un cyber, j essaye kaspersky ou rogue killer ? Sinon au pire je m y prend comment pour reformater un netlook ?
Qd j avais fait un scan avec malwarebytes j avais trouve plus de 200 spywares et j avais pas reussi a les supprimer donc mon pb est un peu delicat je pense qu une solurion comme le reformatage serait plus adaptée

Reply

Marsh Posté le 28-09-2012 à 22:51:51    

La plupart du temps, c'pas compliqué de virer le ransomware avec RogueKiller, donc si tu veux éviter le formatage, tu peux essayer ça.
 
++

Reply

Marsh Posté le 29-09-2012 à 06:57:04    

Ben en fait j avais deja essayé plusieurs logiciels dont malwaresbytes, roguekiller et zhpdiag mais j avais pas reussi, je ne tiens pas trop a mes données donc le refortafe me conviendrait puisque moins prise de tête.

Reply

Marsh Posté le 29-09-2012 à 11:35:04    

Au pire je m y prends comment pour reformater un netbook eee ?

Reply

Marsh Posté le 29-09-2012 à 17:13:05    

Yop.
 
Y'a forcément un moyen de restaurer à l'état d'usine (partition de récupération par exemple), mais c'pas vraiment mon "truc" ce genre de chose.
 
Sinon, tu avais Avast 5, faudra mettre la 7 quand tu réinstalleras.
De même pour Java, faut le maintenir à jour car c'est sûrement à cause de ça que tu as été infecté.
 
++

Reply

Marsh Posté le 29-09-2012 à 23:43:14    

Oui je ne mettais rien a jour, je pensais que ca ne servait a rien... Du coup pour reformater faut passer par le bios ?

Reply

Marsh Posté le 30-09-2012 à 14:27:17    

Voila le rapport de roguekiller :

 

RogueKiller V8.1.0 [28/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discus [...] ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur : ****** [Droits d'admin]
Mode : Recherche -- Date : 30/09/2012 14:25:13

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\WINDOWS\system32\wpbt0.dll) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : KB967715 (C:\Documents and Settings\*****\Local Settings\Application Data\KB967715\KB967715.pif) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ycuyuecgjuokgzi (C:\WINDOWS\ycuyuecg.exe) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : KB2586448-IE7 (C:\Documents and Settings\******\Application Data\KB2586448-IE7\KB2586448-IE7.exe) -> TROUVÉ
[RUN][Rans.Gendarm] HKLM\[...]\Run : Update (C:\WINDOWS\system32\wpbt0.dll) -> TROUVÉ
[RUN][Rans.Gendarm] HKUS\S-1-5-21-2481309707-2042612254-4144810424-1006[...]\Run : Update (C:\WINDOWS\system32\wpbt0.dll) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2481309707-2042612254-4144810424-1006[...]\Run : KB967715 (C:\Documents and Settings\*****\Local Settings\Application Data\KB967715\KB967715.pif) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2481309707-2042612254-4144810424-1006[...]\Run : ycuyuecgjuokgzi (C:\WINDOWS\ycuyuecg.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2481309707-2042612254-4144810424-1006[...]\Run : KB2586448-IE7 (C:\Documents and Settings\*****\Application Data\KB2586448-IE7\KB2586448-IE7.exe) -> TROUVÉ
[SHELL][SUSP PATH] HKCU\[...]\Winlogon : Shell (C:\Documents and Settings\*****\Local Settings\Application Data\64dbe4c3\X) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-2481309707-2042612254-4144810424-1006[...]\Winlogon : Shell (C:\Documents and Settings\*****\Local Settings\Application Data\64dbe4c3\X) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Infection : Rans.Gendarm ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1       localhost

 


¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS543216L9SA00 +++++
--- User ---
[MBR] 04fd081331b27c922c1e9be073c1eb55
[BSP] 92710b27dc83f01f72d41137bbcc549d : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 73790 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 151123455 | Size: 73782 Mo
2 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 302230845 | Size: 5004 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 312480315 | Size: 47 Mo
User = LL1 ... OK!
User = LL2 ... OK!

 

+++++ PhysicalDrive1:  +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>
RKreport[1].txt


Message édité par Reyleigh le 30-09-2012 à 14:28:48
Reply

Marsh Posté le 30-09-2012 à 15:09:46    

Ok, j'ai réussi à supprimer le ransomware, par contre j'ai un message qui arrête pas de s'afficher :

 

"netsh.exe point d'entrée introuvable

 

Le point d'entrée de procédure MigrateWinsockConfiguration est introuvable dans la bibliothèque de liaisons dynamique MSWSOCK.dll"

 

J'ai aussi 2 éléments que roguekiller scan mais n'arrive pas à supprimer, le type de clé est shell et le nom c'est HKCU et HKUS


Message édité par Reyleigh le 30-09-2012 à 15:12:10
Reply

Marsh Posté le 02-10-2012 à 18:40:29    

Yop, tu voulais pas formater ? x)
 
Sinon, tu peux me poster le rapport de RogueKiller avec les deux éléments ?
 
Et aussi, passe cet outil généraliste :
 
• Télécharge Malwarebytes' Anti-Malware puis intalle-le
• À la fin, laisse les deux cases cochées (Mettre à jour Malwarebytes Anti-Malware et Exécuter Malwarebytes Anti-Malware)
• Le logiciel s'ouvre, dans l'onglet Recherche choisis Exécuter un examen rapide puis clique sur Rechercher
• À la fin, s'il a trouvé des infections, clique sur Afficher les résultats  
• Coche tous les éléments puis Supprimer la sélection
• S'il te demande de redémarrer, fais-le puis poste le rapport qui devrait s'ouvrir automatiquement
Note : il se trouve aussi dans l'onglet Rapports/logs du menu principal
 
++

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed