Un billet pour faire suite de ce billet sur les ransomware imitant des messages de la police : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
J’ai enfin pu mettre la main sur la version Française via ce topic sur le forum (merci pour l’upload) : http://forum.malekal.com/virus-non-detecte-t35043.html
Le message d’alerte ci-dessous :
Opérations sur les activités illégales ont été détectées sur votre ordinateur
Votre système d’exploitation a été verrouillé pour cette infractions. Vos actions sont considérées comme illégales en France et dans l’Union européenne. Votre adresse : xxxx
Cette Adresse IP a été détectée et signalée aux autorités policières. L’utilisateur de cette IP pour utiliser cet ordinateur pour voir pornographique contenant des éléments vidematerialov de la pornographie enfantine, la bestialité et la violence contre les enfants. En outre, ces fichiers ont été trouvés par nos scanners sur votre disque dur de votre e-mail personnelle ont été trouvés, a envoyé des e-mails comme spam, et à également constaté des e-mails avec un caractère terroriste. Nos serveurs ont l’ordinateur d’arrếter vos activités illégales. Nous vous faisons un avertissement officiel et définitif.
Comme on peux le constater le message est vraiment mal redirigé, très certainement à cause de l’utilisation d’un traducteur (l’auteur du malware ne doit pas être français).
Pour ce qui est d’un avertissement officiel, on repassera, les logos Symantec, McAfee, Kaspersky et Microsoft pour soit disant légitimer l’avertissement, c’est vraiment léger.
Les ransomwares allemands ont l’air plus réalistes.
Le sample récupéré est bien détecté :
http://www.virustotal.com/file-scan/report.html?id=761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899-1323357485 File name: mahmud.exe Submission date: 2011-12-08 15:18:05 (UTC) Current status: finished Result: 23/ 43 (53.5%) VT Community Print results Antivirus Version Last Update Result AhnLab-V3 2011.12.08.02 2011.12.08 Trojan/Win32.Obfuscated AntiVir 7.11.19.28 2011.12.08 TR/Offend.kdv.460046 AVG 10.0.0.1190 2011.12.08 Pakes.KZE Comodo 10885 2011.12.08 TrojWare.Win32.Trojan.Agent.Gen DrWeb 5.0.2.03300 2011.12.08 Trojan.Winlock.4018 Emsisoft 5.1.0.11 2011.12.08 Trojan-Spy.Win32.SpyEyes!IK F-Secure 9.0.16440.0 2011.12.08 Trojan:W32/Ransom.P GData 22.301/22.560 2011.12.08 Trojan.Generic.KDV.460046 Ikarus T3.1.1.109.0 2011.12.08 Trojan-Spy.Win32.SpyEyes Kaspersky 9.0.0.837 2011.12.08 Trojan-Dropper.Win32.Dapato.qqh McAfee 5.400.0.1158 2011.12.08 Artemis!B2B12C18DD26 McAfee-GW-Edition 2010.1E 2011.12.08 Artemis!B2B12C18DD26 Microsoft 1.7903 2011.12.08 Trojan:Win32/Ransom.DU NOD32 6691 2011.12.07 a variant of Win32/Kryptik.WVB Norman 6.07.13 2011.12.07 W32/Zbot.YFP Panda 10.0.3.5 2011.12.08 Trj/CI.A PCTools 8.0.0.5 2011.12.08 Trojan.Gen Sophos 4.71.0 2011.12.08 Mal/Zbot-EZ Symantec 20111.2.0.82 2011.12.08 Trojan.Gen TrendMicro-HouseCall 9.500.0.1008 2011.12.08 TROJ_GEN.R3EC7L8 VBA32 3.12.16.4 2011.12.08 Malware-Cryptor.ImgChk VIPRE 11219 2011.12.08 Trojan.Win32.Generic!BT ViRobot 2011.12.8.4815 2011.12.08 - VirusBuster 14.1.104.0 2011.12.07 - Additional information Show all MD5 : b2b12c18dd26e30d69b64518ea074637 SHA1 : b2bdbb2f27dbe9f46cc9bd070fc16ad37fb5c01c SHA256: 761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899
Désinfection
Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.
Windows Seven
Pour Windows Seven, vous pouvez faire une restauration du système au démarrage via l’option Réparer l’ordinateur.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez : Réparer l’ordinateur.
Pour plus d’informations, se reporter à la page : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Windows XP/Vista
Essayez de démarrer en mode sans échec avec prise en charge du réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez mode sans échec avec prise en charge du réseau.
Si Windows est accessible, téléchargez et faire un scan Malwarebyte’s Anti-Malware, mettez le bien à jour et bien faire supprimer selection une fois le scan terminé : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Via l’invite de commande en mode sans échec
Si pas mieux, il faut aller en invite de commande en mode sans échec.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec
Sur la fenêtre cmd.exe, tapez regedit et validez
Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINESoftWareMicrosoftWindows NTCurrentVersionWinlogon
A droite, chercher Shell, il doit y avoir la valeur malicieuse avec mahmud.exe (si mahmud.exe n’est pas présent, c’est que vous avez la version Gendarmerie Nationale : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ ).
Double-cliquez dessus.
Effacez tout et mettez explorer.exe à la place.
Validez par OK. Fermez toutes les fenêtres et tapez exit pour redémarrer l’ordinateur.
Avec un CD Live (toutes versions de Windows)
Dernière solution avec un CDLive,
Du coup, le malware est chargé très tôt et en même mode sans échec.
Vous pouvez le faire depuis OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
ou Ultimate Boot CD : http://www.malekal.com/download/UBCD4WinBuilder.iso
Voici un exemple avec Ultimate Boot CD, allez dans le menu Démarrer / Programs puis Registry Browser
Les clefs du registre sont celles de l’OS du CD Live et non celui de votre Windows.
Il faut charger la ruche du registre de votre Windows afin d’avoir accéder au clef.
Pour cela, positionnez vous sur HKEY_LOCAL_MACHINE
Cliquez sur le menu File et Load Hive
En bas positionnez Files of Type sur All files, puis naviguez dans vos dossier pour aller dans C:WindowsSystem32config
Vous devez avoir une liste de fichiers comme ci-dessous, double-cliquez sur SOFTWARE (celui sans extension à la fin).
Un nom vous sera donné, ce sera le nom du dossier contenant la ruche de votre Windows, donnez par exemple le nom SOFTWARE AVEC VIRUS.
Déroulez l’arborescence de SOFTWARE AVEC VIRUS puis SOFTWARE puis Microsoft puis Windows NT puis CurrentVersion puis Winlogon
A droite chercher la clef Shell, double-cliquez dessus et mettez explorer.exe à la place.
Validez et redémarrez l’ordinateur
Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
http://xylibox.blogspot.com/2011/12/fakepolicealert-new-winlock.html
Hello,
Très bonne explication, mais le malware peut il être ailleurs car quand je fais le chemin jusqu’à winlogon j’ai bien explorer.exe
Du coup je ne sais pas où le trouver
Merci d’avance pour les conseils
Salut XRI,
regarde au niveau des clefs HKEY_USERS pour chaque sous dossiers, tu vas dans la clef Winlogon voir la clef Shell.
Sinon c’est dans la clef Run mais tu dois avoir accès au bureau en mode sans échec.
Salut,
C’est une bonne explication mais une fois que je suis arrivé dans « Shell », surprise il y avait déjà écrit « explorer.exe » alors je me demande comment je vais réussir à débloquer mon Pc sous xp ??
Sur regedit (l’éditeur du registre), faites une recherche sur mahmud.exe
ca donne quoi ?
Merci d’avoir répondu, alors après avoir effectuée la recherche « mahmud.exe » je ne trouve rien .
Et je ne pas accéder mon bureau malgré le mode sans échec
Par curiosité j’ai recherché « malware » dans regedit et j’ai trouvé un fichier appelé « help present malware for access your computer » c’est normal ??
Je pense qu’il ya une version qui remplace carremment explorer.exe
Donc ce que tu peux faire c’est remplacer dans la clef Shell explorer.exe par iexplore.exe
et redémarrer en mode normal.
Tu auras Internet Explorer tout seul lancé, mais pas de malware.
Lance pas explorer.
Essaye d’uploader C:WindowsExplorer.exe vers http://upload.malekal.com
Si malicieux :
Je t’ai mis un explorer.exe en zip pour Windows XP SP2 (ça doit marcher sur Windows XP SP3).
http://www3.malekal.com/explorer.zip
Le prendre, le dézipper et le mettre à la place de C:Windowsexplorer.exe
Ensuite tu lances Explorer (genre CTRL+ALT+Suppr et Menu Fichier / Nouvelle tâche et explorer.exe et OK).
Si ça lance Exploreur sans virus, c’est gagné.
Lancer regedit et remettre explorer.exe dans la clef Shell.
Je vais essayer
adam, la manip fonctionne, quelqu’un s’est déjà fait désinfecté.
Check ça : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
Donc après avoir remplacée la clé par iexplorer.exe et redémarré en mode normal ma session c’est ouverte et il y avait seulement mon bureau avec aucune icône seulement mon fond d’écran et pas d’explorer .
J’ai réussi a ouvrir firefox via le gestionnaire de tâches.Mais ensuite je ne trouve pas le fichier a uploader .
Non c’est bon pour l’upload, j’ai récup le fichier malicieux par un autre billet.
Ton Explorer.exe est malicieux, faut le remplacer par celui donné dans mon commentaire précédent.
Sinon c’est mieux expliqué là : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
Hi Mak,
La partie JavaScript du Rançongiciel.
http://pastebin.com/gYYsNLmc
Je suis persuadé que certains y trouveront un grand intérêt.
Bonjour à tous,
Un des ordinateurs familiaux sous XP est touché par le virus ‘Gendarmerie nationale’.
Le symptôme est l’affichage du message indésirable sans que l’on puisse avoir accès au gestionnaire de tâches.
J’ai donc penser que j’étais en présence de la version qui remplace le shell.
J’ai essayé de procéder à un lancement sans échec mais j’arrive sur une ‘fenêtre de connexion Windows’ qui reste inerte.
J’ai alors tenté de passer à via l’invite de commande mais une fois encore, je débouche sur la même fenêtre Windows inerte. Dans ce cas, l’apparition de cette écran est précédé par une fênêtre noire qui indique en bas ‘loading D467bus.sys’.
Avez-vous des pistes pour sortir cette situation ?
Merci à tous.
@Philippe A pour la version Gendarmerie c’est là : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
Mais si tu veux de l’aide c’est sur le forum : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
Moi sous Windows Seven il etait caché ici :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Il etait appelé mahmud.exe
j’appui sr la touche F8 mais ca ne fait rien
de l’aide please ?
Bonjour,
J’ai été victime de l’escroquerie Gendarmerie nationale…
De part les fautes j’ai vite compris que c’était bidon, mais là où j’ai eu des doutes c’est qu’en redémarrant mon ordi mon bureau (avec uniquement la corbeille visible et non cliquable) est devenu noir et un message de restriction.
Apparemment il y a 3 types d’escroquerie:
Une forme qui créé une clef Run
Une autre forme qui modifie la clef Shell
Et la dernière variante qui remplace Explorer.exe
Laquelle ais-je été victime ?
ou puis je télécharger ce virus ?
salut,
quand je suis dans « shell » je trouve déjà « explorer.exe » pour windows xp.
merci de me donner un peu d’aide
Victime du fameux virus « gendarmerie nationale »
J’ai essayé le mode sans echec, mais en arrivant sur l’interface windows, c’est comme si mon mot de passe avait changé, je ne peux donc pas aller sur le bureau et me connecter. Que faire ??
Bonjour,
J’ai le notebook infesté par le virus « gendarmerie » depuis hier. Je suis sous XP. La page « gendarmerie » me prend tout, je n’ai plus de bureau.
J’ai essayé la méthode que vous préconisiez (invite au commande en mode sans echec). J’ai fait « regedit », l’editeur de registre s’est ouvert. Si sur la fenetre de gauche, je trouve bien Hkey local machine (mais pas de SoftwaremicrosoftwindowsNTcurrentversionWinlogon), sur la fenetre de droite, il n’y a rien, pas d’arborescence et pas de Schell.
Je ne connais pas grand chose dans tout cela.
Auriez vous une autre solution pas à pas pour me débarasser de ce virus ?
Je vous remercie par avance
Rekha
Bonjour à tt le mode
Je n’arrive pas à démarrer le PC en mode sans échec ou invite de commande en mode sans échec => le pc exige un mot de passe mais il ne veut pas démarrer alors que le user et mot de passe sont correct (il s’agit d’un PC d’entreprise)
Merci d’avance pour votre aide
bonjours je lance le mode invité de commande et je ne peux pas y avoir accès que faire???
Attention, maintenant ils rajoutent le logo officiel de la gendarmerie ainsi qu’un logo marqué RF (pour République Française) mais non officiel.
Hello, pfou, bah j’ai aussi choppé cette m**** et ce truc désactive le gestionnaire des tâches, les commandes type windows et tout…
Bref, je ne vais pas détailler tout le pourquoi du comment mais effectivement, la solution radicale avec LiveCD fonctionne. Plus qu’à nettoyer les débris et à remettre à niveau. Comme quoi, beaucoup seraient des Sebs dans ce genre de billet : http://sebsauvage.net/rhaa/index.php?2011/02/01/08/05/40-malekal (thanks)
Comme beaucoup de monde je suis moi aussi victime du virus gendarmerie j’ai donc suivit les conseils donnes mais en lançant invite de commande j’ai a peine le temps d’entrevoir la fenêtre que mon ordi s’éteint automatiquement je ne sais donc pas quoi faire…si vous avez des solutions .. Merci d’avance
Bonsoir,
Ce soir, je viens de me faire aussi avoir par le virus. Remplacement de mon bureau par un bureau virtuel et impossible de faire quoi que ce soit.
J’ai appliquer la solution téléchargement de malwarebytes. Le trojan a été trouvé et supprimé.
Par contre maintenant à chaque démarrage j’ai une petit fenêtre rundll qui m’indique que le fichier supprimé (le trojan) n’est pas disponible.
Question : comment je peux faire en sorte que windows arrete de chercher à lancer le virus ?
Merci
malheureusement mes disques dur ne sont pas détectés donc impossible de remplacer explorer.exe
je vais tenter avec OTLPE ….
YEEEEEEEEEEEEEEEES !!
ça a marché
MERCI BEAUCOUP
( Mon moteur favori ma suggérait de formater le disque dur ;-DDDDD
bonjour
bon bin moi aussi j’y ai eu droit
je suis tout de suite allée à la gendarmerie de Tréguier (22220)
ils m’ont confirmés que c’est un virus et mon transmis cette adresse http:/
en me disant que j’aurais 1 programme exécutif à enregistrer sur une clé USB
que je fixe après sur mon ordi contaminé pour nettoyage automatique
le problème c’est que là y’a rien qui me correspond
car j’ai 1 tout petit ordi de poche
1 Eee PC asus avec windows 7 édition Strater
et à la page noire y’a pas l’option réparer les erreurs
en + je suis vraiment une grosse
mais alors très grosse nule en informatique
pouvez-vous me venir au secours
en + c’est mon ordi de boulot
au secours
Bonjour à tous,
Je suis pas très doué en informatique, mais j’ai essayé et là je plante gravement… : pour virer ce virus Gendarmerie, j’ai donc suivi les étapes préconisées. En mode sans échec simple, ça ne change rien. En mode sans échec invite de commande, j’ai changé la Shell par « explore.exe », validé, fenêtre fermées, mais impossible de redémarer en faisant « exit ». Ca ne marche pas.
J’ai donc arrêté le pc avec le bouton arrêter.
Quand il a redémaré, ca ne s’est ouvert que sur une page bleue ! Plus de fond d’écran !!
QUE FAIRE ??? J’ai besoin de mon ordi, et là je sature de passer des heures à tenter vainement de faire ces bricolages qui ne marchent pas. Je lis partout que ça marche pour les autres, alors pourquoi je n’y arrive pas ?
Merci d’avance pour votre aide !
Mathieu.
Bonsoir… J’ai tout essayé pour me débarrasser de ce virus mais rien à faire.
Lorsque je demande un démarrage sans echec ou invite de commande, mon ordi me demande systématiquement de choisir le système d’exploitation, et comme je n’en ai qu’un (windows xp) je le selectionne et donc le démarrage se fait sous la page du virus ….
J’ai même essayé al solution montrée en vidéo avec clic droit > enregristrer l’image, rien ne se passe avec le clic droit.
Je desespère … C’est l’ordi pro de mon copain et il a tout dessus !
Merci d’avance pour votre aide…
Moi aussi ! j’y ai eu droit ….
Un bel encart de la « police » avec tout le baratin.
Et pour l’enlever …
Déjà j’ai dû couper l’alimentation électrique, ensuite j’ai fait un démarrage sans échec
Là dessus j’ai fait fonctionner mon antivirus, à savoir microsoft security essentials, j’ai lancé une analyse complète … qui a duré 2 heures quand même. Résultat : nickel !
Bonne chance
bonsoir,
Voila , j’ai suivie toute les étapes a la lettre et sans succès la fenêtre malicieuse reviens a chaque fois m’empêchent d’accéder au gestionnaire de tache et tt le reste , et la valeur » Shell » est : » cmd.exe /k start cmd.exe » au lieu de celle citées ci-dessus. je ne sais pas si se virus infestes les fichers ( music film etc …) stocker sur le disque car au pires des cas je formaterais et passerai sous linux
merci d’avance de votre aide
Cordialement AngryDuck
ah euh j’ai oublier de préciser je suis sous windows 7 home premium
Cordialement AngryDuck
Bonsoir,
Quelle m… ce truc.
Je viens de passer la journée sur un PC infesté avec cette chose et rien à faire sinon réinstaller en doublon un autre système d’exploitation pour pouvoir au moins ouvrir une session et accèder à un bureau.
Mais ce n’est pas encore gagné car maintenant, il faut refaire toute la configuration.
J’ai tout tenté: la clef, malware, CD live, changement de explorer.exe … et rien n’a fonctionné
Grrrrrrrrrrrrrrrrrrrrrrrrrrr
Bon courage
DG
PS: et je suis dans l’informatique !!!
Bonjour
Depuis le 12 janvier j’ai été victime 3 fois de ce virus ( je ne sais pas laquelle des 3 formes m’a infecté mais passons) et à chaque fois ce qui a résolu le problème a été une restauration système ( faites à partir de la réparation du système affichable au démarrage avec F8).
En tout cas merci pour cet article qui m’a permis de savoir d’où venaient ces virus et comment m’en protéger.
Salut,
L’infection se propage par des exploits sur site WEB via des publicités malicieuses (malvertising) qui visent les sites de streaming.
Un exploit sur site WEB ( voir http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html ) permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
Exemple avec un Exploit Java : http://www.malekal.com/2011/06/17/java-exploit-en-augmentation-tdss-hiloti/
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.
Maintiens tes logiciels à jour c’est important, utilise ce programme : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
Absolument à faire.
je ne suis pas très doué en informatique et j’ai bien galéré pour me débarrasser du virus, je n’arrivais pas à accéder à internet, taper iexplore. ex ne donnais rien non plus, puis en mode « invite de commande en mode sans échec », j’ai tenté cd restore, puis cd system32 (si je me rappelle bien) et j’ai pu restaurer mon système comme il était avant le virus, avec tous mes fichiers. Je précise que je suis sur Vista version familiale. Peu après avoir retrouvé mon ordi comme avant, je me suis retrouvé sur une page où je ne pouvais plus rien faire (page affichant avast ou de norton, je ne sais plus). Là, j’ai fait CTRL+ALT+Suppr et j’ai redémarré. Je n’ai plus eu de soucis par la suite.
Désolé de mon imprécision, mais peut être que ça pourra servir à quelqu’un qui comme moi galère.
Merci de votre aide à tous.
en fait, il faut restaurer le système, comme le dit Wrandral juste avant moi, si c’est possible de le faire directement à partir du menu de démarrage, encore mieux!
JE SUIS PAS TRES CALE EN INFO ? JAI TELECHARGER KAPERSKY RESCUE DISK POUR BOOTER ET SCANNER VIA UNE CLE USB CAR MON NOTE BOOK A PAS DE CD ROOM JAI LANCE UN SCAN COMPLET DU PC CELA VA IL MARCHER? MERCI BEAUCOUP POUR VOS REPONSES
Pas si gros que ça le virus, un petit demarrage en mode sans echec, puis un tour dans la base de registre, et lancer l’analyse anti virus. Réglé en 5minute.Je créais ce genre de virus quand j’avais 15ans.
Enfin bon quelques conseils en cas similaire(pour être sur la bonne voie):
Demarrage en mode sans echec ou sous live cd(methode plus radicale).
Regedit => HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun désactivez les clés qui vous parraissent suspectes.
Services windows => Mettez en demarrage>désactivez ce qui vous parrait suspect.
un tour dans le dossier demarrage du menu démarrer pour voir s’il n ‘y a pas de raccourcis vers le virus.
Et une bonne analyse anti-virus avec bases à jour.(n’oubliez pas d’analyser aussi vos support amovibles et de faire gaffe voir désactiver les autorun sur vos systèmes.)
En esperant avoir mis sur le chemin de la guérison de nombreux internautes.
Cordialement,
Un chef d’entreprise informatique qui galère sur le net ^^.
Bonjour,
J’arrive à changer la clé Shell et à mettre « explorer.exe » comme décrit ci dessus, mais l’ancienne valeur revient dès que je lance l’ordi. et je tombe alors sur mon panneau figé qui me bloque le bureau
Quid ?
Merci
Bonsoir je galère pour me débarrasser de cette saleté.
Je tourne sur vista service pack 1, des que j’essaye de remplacer l’ explorer.exe j’ai un message d’erreur me disant que c’est pas possible, et l’habituelle boîte de dialogue me demandant la permission de remplacer le fichier ne s’affiche pas. Que faire?
j’ai procéder à désinfecter mon ordi mais a chaque fois j’arrive pas à avoir la connexion pour télécharger un nouveau explorer. j’ai utilisé ‘ regedit’ mais avec mode sans échec pas de connexion.
bonjour,
j ai chopé le virus hier, je suis sous xp professionnel et j ai une session utilisateur.
Quand je démarre en mode sans échec j ai 2 sessions la mienne plus la session administrateur.
Sous la session administrateur je trouve le fichier shell explorer j ai réussis a le changer mais une redémarré je suis obliger d aller sous ma session et je ne trouve pas le fichier explorer que j’ai changé!!
j ai fais la meme manip sous ma session me je trouve pas le fichier shell … explorer !
que dois je faire!
J’ ai simplement réinstallé le système en effectuant un formatage long. Ayez toujours le réflexe de sauvegarder vos données. Ou passer a linux.
Merci IN-FI-NI-MENT Malekal pour ton aide sur ce virus/malware, si tu n’avais pas mis à disposition ta procédure sur le web, j’etais mort. Ca, et ma partition Ubuntu en dual-boot, qui m’aura sauvé les fesses une fois de plus !
Pour ma part, je suis tombé sur la version ou il faut renommer twexx32.dll, et heureusement car les modes sans échec ne marchent pas ! (font un reboot au bout d’un moment).
Je vais essayer de mettre à jour plus souvent mes logiciels, mais franchement, c’est chiant (et c’est la porte ouverte au bloatware).
Si tu passes dans le coin, je t’offre une bière mon pote !!
Bonsoir
J’ai réussi une seule fois à aller sur la page des options avancées j’ai cliqué sur mode sans echec et pas sur invite de commandes ça n’a pas fonctionné. Maintenant je n’arrive plus à aller sur la page des options en plus j’avais appuyé sur F2 et gratté dans tous les lignes ecrites en anglais(!!!!) car F8 ça ne dionne rien. Mon PC est un Packard Bell! Savez-vous ce que je peux faire?
D’avance merci
Andréa
Bonjour a tous
je possède un Vista et j’ai « réussi » à chopper une « Version OCLCTIC » (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) de ce virus. J’arrive pas a m’en défaire. Cette version a l’air beaucoup plus coriaces que les autres :s aidez moi…..
Merci pour tout!!!!!!!!
Bonjour à tous,
je viens d’être victime de ce virus j’ai contacté la Sacem (dont le sigle était affiché sur le virus) car j’avais des doutes, ils m’ont expliqué comment réagir, j’ai photographié mon écran et leur ait envoyé la photo comme ils me l’ont conseillé, puis j’ai été au commissariat de police où il m’ont fourni une marche à suivre pour relancer mon ordi, on y trouvait le lien pour cette page et une autre marche à suivre quand c’est explorer.exe que le virus à remplacé, aucune de cers solutions n’a marché, en revanche la solution proposée plus haut pour Windows Seven a fonctionné, j’ai redémarré mon ordi avec les données d’il y a trois jours en appuyant sur F8 après la première page d’acceuil puis en cliquant sur « réparer l’ordinateur » au lieu d’ »invite de commande », et sur restaurer le système dans la fenetre suivante et ça a fonctionné.
voilà le lien(toujours sur ce site): http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Pour l’instant mon ordi fonctionne normalement et je n’ai pas perdu mes données, j’ai installé en plus Malwarebytes qui est conseillé sur ce site.
Bonjour. Je rencontre le MM. Pb que vous. Je suis avec Windows xp (ordi perso) et lorsque j’arrive dans l’invite de commande, impossible d’accéder au registre.
J’ai : c:Windowssystem32 et si je tape regedit cela m’affiche « la modification du registre a été désactivée par votre administrateur. Voilà, galère…
Bonjour ,
Mon Ordinateur est assez vieux et en autres langues donc sa me donne des difficultés , il est en Window XP professional Pack 3
J’aifait invite de commande sans echec et tout le tralalala .. Puis quand je vais sur le dossier shell je double-clique sur un fichier sans nom sur le truc d’en haut on ne peut pas écrire et il n’y a rien d’écris , j’ai tout de même essayer de mettre explorer.exe mais quand je redémarre toujours le trojan qui me bloque à la vie ….. :’(
Aideeeeezzz moi j’vous en suplie