Le ransomware/rançon logiciel Virus gendarmerie (voir la page sur les virus fake police) dans un nouveau design : Ce blocage de l’ordinateur sert à la prevetion de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la deorgation de lois de la Republique.
Si des efforts sur le graphisme, on notera l’utilisation du « vrai logo » Gendarmerie, pour la traduction c’est toujours à revoir !
ATTENTION ! ! !
Cette version vole les identifiants WEB – après désinfection il est conseillé de changer ses mots de passe (Facebook, MSN etc).
ATTENTION ! ! !
Ce ransomware propage par exploits sur site WEB via des malvertising :
- Malvertising clicksor : Ransomware « Activite illicite Démélée »
- Malvertising : delivery.trafficbroker.com délivre ransomware « Activite illicite demelée »
- pornerbros.com conduit à des infections via des exploits
Mettez à jour vos programmes ! sinon votre PC est vulnérable !
Autre variante avec l’Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication :
Activite illégale a été révélée / Activite illicite démélée :
Contrairement à la version d’avant pour le moment, exploreur.exe n’est pas patché.
Un raccourci est ajouté au Démarrage avec le nom du fichier malicieux droppé une suite de chiffre 0.06341666119046385.exe.lnk ou wpbt0.dll.lnk – il peux aussi être accompagné d’un stealer Smad.exe
- Démarrez l’ordinateur en mode sans échec avec prise en charge du réseau : http://www.malekal.com/2010/11/15/mode-sans-echec/
- Redémarrez en mode sans échec,
- Pour cela, redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.
- Téléchargez RogueKiller et passe l’option 2.
On peux aussi supprimer l’infection manuellement – Toujours en mode sans échec avec prise en charnge du réseau :
- Téléchargez HijackThis
- Cliquez sur Do a Scan Only
- Cochez les lignes du type :
O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe <= de typoe xxxx.dll.lnk ou chiffre.exe.lnk avec rundll32 O4 – HKLM..Run: [Update] C:WINDOWSsystem32ch8l0.exe <= (2 lettre, un chiffre, 2lettre .exe) O4 – HKLM..PoliciesExplorerRun: [46733] C:DOCUME~1ALLUSE~1LOCALS~1Tempmsdubmnax.exe <== tempxxxxx.exe
En cas de doute sur un fichier, soumettez le à VirusTotal : http://www.virustotal.com
- Une fois la ligne malicieuse repérée, cochez la puis cliquez sur Fix Checked
- Redémarrez l’ordinateur l’ordinateur devrait être à nouvea accessible
Le service pjjoint détecte ces lignes Startup malicieuses (pjjoint : http://pjjoint.malekal.com/presentation.php ):
Autre cas avec : O4 – HKLM..PoliciesExplorerRun: [46733] C:DOCUME~1ALLUSE~1LOCALS~1Tempmsdubmnax.exe
Après désinfection : sécuriser son PC
ATTENTION ! ! !
Cette version vole les identifiants WEB – il est conseillé de changer ses mots de passe (Facebook, MSN etc).
ATTENTION ! ! !
Important – ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
Exemple avec : Exploit Java
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
Plus globalement sur les recettes à suivre pour sécuriser son PC : http://forum.malekal.com/securiser-son-ordinateur-version-courte-t381.html
Variantes étrangères
En d’autres langues (merci http://secuboxlabs.fr/kolab/) :
Atention ! Cuerpo Nacional de Policia :
EDITION au début février 2012 :
quelques autres captures : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f
EDIT MI Fevrier 2012
Nouveau Skin : Office Central de la lutte contre la ciminalité liée aux technologies de l’information et de la communication : Activite illicite demelée!
EDIT MAI 2012
Le screen a été modifié : http://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/
Hello Mak,
Les TDS ont des DNS enregistrés chez Directi qui pointent chez l’américain SoftLayer Technologies Inc sur l’IP 173.193.73.87 ( mais nos tests montrent une présence de 173.193.73.80 à 173.193.73.95 ) et sont enregistrés par les noms d’emprunts Piotr Pushkin (pppiotr88@gmail.com) alias Vasiliy Pushkin (vasili006@gmail.com) ce qui permet de réaliser une connexion avec les évènements Malvertising + FakeAV. Citons, par exemple, le billet du père Nico et les travaux de Wayne Huang :
- (24.03.2011) http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
- (31.08.2011) http://blog.armorize.com/2011/08/malvertising-on-yahoo-yieldmanager.html
Ces TDS redirigent bien évidement sur plusieurs kits, ici nous n’aborderons que le BlackHole qui nous intéresse, celui-ci pointe en Ukraine chez intergenia AG (Plusserver) sur l’IP 188.138.28.175 qui appartient à Aminahost LLS géré par un individu nommé Vitaly S Dyakov. Une nouvelle fois, les fichiers délivrés par BH et téléchargés par les victimes peuvent être différents à tout moment, c’est pourquoi nous n’aborderons que les fichiers qui permettent d’afficher ce qu’il y a sur la capture d’écran de Malekal. Notez que les fichiers délivrés sont des librairies ; ce qui peut être ennuyeux car il y a moins d’outils automatisés qui prennent les DLL. Les symptômes pour l’utilisateur sont à peu près similaires, générer une gêne permanente et ainsi stimuler la personne avec une dose de peur ( scary tactics ) pour commettre une ou plusieurs actions ( payer la rançon ) dans la précipitation, l’énervement, …. Le chargeur est presque générique et l’adresse IP va déterminer l’emplacement de la charge. Quels sont les changements ? Le premier n’en est pas réellement un puisque nous avions déjà observé cette approche, le programme n’embarque plus avec lui les ressources ( les images, la page, la feuille de style, le javascript ) mais va télécharger les éléments. Le second et c’est une nouveauté sur les versions françaises, c’est que le programme ne va pas se limiter à afficher et gêner ; il va également, de manière silencieuse, télécharger un composant nommé » images.rar » crypté puis le décrypter et enfin l’installer. Nos analyses nous ont déjà montrés qu’en fonction du serveur distant, le fichier » images.rar » diffère. Pour vous illustrer le problème, le dernier échantillon que nous avons sur notre radar, une fois décrypté est celui-ci:
http://www.virustotal.com/file-scan/report.html?id=c526f466513e33087ce4963138080989ef933b80a0956403436d51ad28d44edc-1326236049
Seuls 3 éditeurs antivirus:
AntiVir : TR/Spy.Gen2 ( TR: Trojan ; Spy: Espion ; Gen : Générique )
NOD32: variant of Win32/PSW.Delf.OAS ( Plateforme Win32 ; PSW: Password ; Delf ( Delphi )
Sophos: Mal/Banc-B ( Banc: Steals information, Records keystrokes )
Cette librairie est un » stealer » et son but est de piller vos accès / comptes et par la suite, dérober vos données et accéder à vos informations personnelles ou encore utiliser votre identité, … la liste des possibilités est longue.
Si vous avez été victime, ne vous limitez pas à seulement éliminer les symptômes visibles.
Prenez le temps de bien vérifier vos ordinateurs et à la moindre activité suspecte, re-vérifiez la santé de votre machine. Vérifiez bien à ce que votre antivirus soit à jour, recommencez plusieurs fois, sur une durée assez longue, ne plaisantez pas, vous êtes prévenus. Contrairement à l’idée reçue, ces individus ne sont pas des enfants mais des professionnels du crime : s’ils peuvent vous voler, ils le feront sans hésiter. Lors de la dernière campagne qui a débutée lors des fêtes de fin d’année, nous avons été en mesure de suivre plusieurs zombies témoins ( machines infectées utilisées pour la recherche ) et nous savons de quoi ils sont capables. Si vous avez eu de la » chance » , votre ordinateur a été revendu par lots à des sommes modiques pour servir à des activités criminelles. Pour les moins chanceux, vous avez quelques jours après vos achats, du avoir une mauvaise surprise sur vos relevés bancaires : un moyen pour eux de vous souhaiter la bonne année.
Même en surfant sur des sites de confiance vous êtes potentiellement exposés ; n’oubliez pas qu’ils utilisent des régies publicitaires légitimes pour se faufiler ! Il est donc très important que vous mettiez à jour votre système d’exploitation et vos logiciels ; surtout vos navigateurs et vos clients de messagerie et bien sûr Adobe Flash, Adobe Reader, Foxit Reader, Adobe PDF, Java. Un système à jour, c’est le premier rempart avant les solutions de sécurité.
Informez-vous sur ces menaces. Merci Malekal pour tes remontées d’informations, cette collaboration est une excellente idée, ce partenariat est efficace.
Pour des conseils avisés, nous vous recommandons la lecture du blog personnel de l’officier de gendarmerie, Eric Freyssinet. Un jour peut-être, à force de patience, ces cybercriminels paieront pour leurs actes.
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
comme toujours merci malekal ,malware a fais l’affaire sous seven ,je fais suivre tes conseils de mise a jour de logiciel dorénavant
Salut à tous,
pour information, le « malware » utilise internet explorer.Dans mon cas, j’utilise firefox mais étant donné qu’internet explorer est toujours installé, l’exploit à pu faire effet.Aprés quelques recherche l’adresse identifié est : 195.14.104.73 et avec un traceroute, il passe par Amsterdam puis transtelecom ,data-center.net et enfin par s01791.htc-s.ru.73.104.14.195.in-addr.arpa (surement le dns du site).
Voilà je ne sais pas si ca sert a quelque chose mais bon voilà ce que j’ai trouvé sur le « truc ».
Personnellement je préconise un format radical du pc. Ainsi, c’est plus sûr.
Bonne chance à tous.
@Karakzho: Vos observations sont erronées. Les navigateurs IE, Firefox, … utilisent des modules, greffons,… des couches logiciels qui viennent apporter des fonctionnalités. Les exploits de ce » kit » ciblent ces logiciels, peu importe le navigateur, du moment que les fonctions vulnérables sont embarquées ( vulgarisation ). Sinon pour ce qui termine en .arpa ( le TLD ) c’est le nom générique que l’on donne au domaine dit de premier niveau. Pour plus d’information, cherchez « Arpanet » sur Wikipédia. Le formatage est une action radicale mais pour cette situation c’est excessif et inadapté. Excessif car ce n’est pas suffisamment incrusté pour être une véritable nuisance, le système d’exploitation n’est pas condamné, un nettoyage avec les bons outils accompagné de contrôles sur les activités à l’aide d’un firewall par exemple et tout rentrera dans l’ordre. Tout ou presque. Pourquoi ? Quand le composant de type » stealer » est exécuté il commence par rechercher et collecter ce qui l’intéresse et une fois ses tâches terminées, il transfert instantanément les informations volées chez l’américain Interserver, Inc dans le New Jersey sur 64.20.38.90:443/TCP dont la range 64.20.38.88/29 a été achetée par un client privé basé en Ukraine. Conclusion ? Le mal est déjà fait. Il est donc important, quand vous êtes victime d’un malware de type stealer / spy / … de bien veiller, une fois votre système sain, de changer vos mots de passe.
Comment peut on télécharger le logiciel demandé alors que dès qu’on allume l’ordinateur la page apparait (donc on ne peut rien faire)….?
je viens de chopper ca … –’
Salut,
Mode sans échec : http://www.malekal.com/2010/11/15/mode-sans-echec/
Vais préciser.
Merci beaucoup pour ces infos !! Simple rapide et efficace !!
Salut
J ai ce put… De virus de merde et meme en mode sans echec je n accede a rien sauf a cette page gendarmerie plein ecran sans possibilite de faire quoi que ce soit…
Need help
Bonsoir,
Je viens de m’en sortir avec votre aide, grand merci.
Merci beaucoup pour ces infos ! Elles sont simples et efficaces ! G pu dézinguer c’t'abruti d’virus en un rien de temps grace a vous. Et autant vous dire que je me suis précipiter sur les mises a jour ^^
Je n’ai pas l’une de ses 4 lignes … ET POURTANT j’ai bien ce virus…
O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe
Moi aussi pareil, ça fais 2 jours que je me renseigne partout . J’ai fais le démarage en mode sans échec, télécharger le logiciel mais je n’ai pas trouvé l’une des 4 lignes dont vous parlez …
Faire RogueKiller http://forum.malekal.com/roguekiller-t29444.html
En option 2 en mode sans échec.
Si vous avez toujours des problèmes, allez sur le forum partie Virus.
Ca sert à rien de poster ici, vous n’aurez pas d’aide.
bonsoir, merci malekal et merci a tous ,
merci beaucoup.
Avec roguekiller nickel.
merci merci merci
.
Bonjour,
Merci beaucoup pour ce post qui m’a permis de me débarrasser de ce virus. J’avais vu la mise à jour d’adobe possible mais je l’ignorais
Merci beaucoup.
J’ai utilisé Malwarebytes, et plus rien…
J’ai mis à jour Java et augmenter la sécurité de Firefox…
Merci pour votre topic !! Tout remarche chez moi grâce à RogueKiller. Merci !!
Merci beaucoup pour tes astuce
Merci a votre avis ca marche avec avast ou ad-aware ??
Ca a marchéééé je c pas qui a fabriqué RogueKiller mais trop fort le type
Bjr a tous
J’ai le meme soucis sauf que quand je redemarre en mode sans echec sa ne marche pas et sa redemarre automaitiquement en normal…
Aidez moi svp
Merci
Merci infiniment de votre aide. Mon PC est debloqué.
bonsoir je viens de choper le virus sur la police,gendarmerie et d un coup quand je reallume mon ,mon ecran tout noir et je n ai plus rien,je ne peux me mettre en mode sans echec ,et quand je mets un cd d installation ,je en peux rien faire on dirait que tout est bloqUE
pourriez vous m aider merci
Bonjour
grosse panique ce matin avec cette saloperie qui me bloquait l’ordi….conseils trouvés ici apres recherche Google et probleme resolu avec Rogue killer et malware byte
merci !
Bonjour,
Alors, mon ordi a choppé le virus en question. Problème : je n’arrive pas à accéder au mode sans echec, j’ai un écran bleu. J’ai toujours la possibilité de démarrer avec un CD linux mais je ne sais pas trop ce qu’il faut aller chercher.
Un conseil?
Merci beaucoup
Bonjour,
Mon ordi a attrapé ce virus, j’ai suivi vos instructions mais en mode sans echecs avec prise en charge du reseau je n’arrive pas a me connecter a internet pour telecharger rogue killer, il est marqué connectivité limitée autant en wifi qu’en prise ethernet. Comment puis je faire pour me connecter a internet s’il vous plait ?
Merci d’avance.
Bonjour
J’ai chopée ce put*in de virus hier , je m’en suis enfin débarrassée au bout de 4h de persévérance … Sauf que depuis facebook est lent trèèèès lent ?? Ca a un rapport ou bien ça vient tout simplement de facebook ? Sinon tout marche bien ainsi qu’internet et les autres sites…
Bonjour à tous. Lorsque je commande le demarrage de mon ordi en mode sans échec avec prise en charge réseau, mon ordi me propose, avant l’ouverture de windows, de choisir soit entre administrateur soit entre Bureau. En choisissant l’un ou l’autre je retombe inévitablement sur la page du virus!!! Je suis donc incapable de télécharger quoi que ce soit!!! Que faire? Merci
COMMENT S’EN DEBARRASSER DEFINITIVEMENT? Car depuis mon message du début de cet après-midi, 2 fois qu’il revient et que je le contre avec le démarrage sans échec! On a l’impression d’être entré sans savoir comment dans quelque cauchemar de science fiction!
Il suffit de suivre les instructions à la lettre, tout est expliqué. Après avoir téléchargé roguekiller, lance un scann et supprime les éléments détectés depuis le mode sans échec. Puis redémarre normalement et le problème est réglé. En profiter pour mettre à jour les programmes défaillants vecteurs du virus ( adobe notamment, pour moi ct ça en tout cas )
Merci pour la clarté et l’utilité de vos infos !
Merci à vous, ma copine s’est retrouvée bloquée en 2 sec par ce truc, grâce à vous PB réglé en 2 sec également.
Merci beaucoup.
Merci beaucoup pour cette aide FOOORRRRRMIDABLE!!!
Heureusement que vous êtes là!!! Simple, rapide et efficace!!! Surtout quand on ne s’y connait pas vraiment en informatique!! 
merci. avec roguekiller en mode sans echec tout semble reparti normal…
Boujours voila j’ai eux se probleme ! et j’ai trouver une solution sette page ! Faire f12 … Et je clique sur la disquette pour enregistrer les modification … Et je clique droit sur Exemple … image ouvrire … Avec un autre onglet ! Et Je vais dans les panneau … et je fait restaurer le systeme !
Merci tout plein pour l’aide !
J’ai passé Roguekiller et il me l’a supprimé. Par contre en repassant Malwarebytes Antimalware il me l’a retrouvé ! ( et du coup effacé de nouveau ).
Pour l’instant il n’est pas revenu …. Je croise les doigts !
Bjrs j’ai eu ce virus récemment , ( variante 2012 ) plus coriace lol et pour le résoudre j’ai tout simplement fait une restauration système . l’avantage c’est que vous gardez tout ce qui était auparavant sur le disc dur ainsi qu’avec les pilotes . solution ( menu demarer – tout les programme – accessoire – outils système et restauration système ensuite choisissais une restauration 24h00 avant ou 3 jours avant peu importe et le virus n’est plus . salut
J’ai eu ce virus cette nuit … Ce n’est pas le premier qui agit de la sorte et bloque toute opération sous Windows.
Une restauration système m’a permis de supprimer ce virus.
Mais ce ne fut pas simple. Les invites en ms dos ne fonctionnait pas, Windows en mode sans échec non plus…
Marre de ces virus sans intérêt si ce n’est vous pourrir la vie …. déjà compliquée!!
J’ai suivi la procédure Windows XP : Procédure avec clef Shell, j’ai tout fait comme il disait, malheureusement je n’arrive pas à me connecter en wifii comment faire à ce stade alors que je dois télécharger Windows XP SP2 : http://www.malekal.com/download/explorer_XP_SP2.exe
Quelqu’un peut-il m’aider ?
bonjour, je viens de me faire coincé par ce virus… et impossible de démarrer en mode sans echec… sous XP pro. çà boucle avec un écran bleu très rapidement et çà repart en mode page démarrage à choix multiple… puis je faire autrement que de formater tout mon systeme?
merci
Bonjour,
Idem au dessus sans réponse, je ne peux télécharger roguekiller car le pc sous vista ne trouve pas de connection internet en mode sans échec (normalement je suis en wifi), bref je tourne en rond depuis midi grrr…
ou bien suis je trop nulle? (c’est possible!!!)
bonjours a tous,
gros probleme avec ce virus, impossible de redemarer meme en mode sans echec …que dois-je faire
merci
Bonjour,
J’ai essayé de redémarrer en invites de commandes mon PC (Windows Vista). J’ai suivi les instructions mais la page est toujours là. Je n’ai accès à rien d’autre.
Comment faire pour télécharger quoi que ce soit. Que puis-je faire d’autre???
Merci de m’aider!!
un grand merci a vous j’ai suivi les instructions a la lettre et mon virus a été stopper je peux réutiliser mon ordi merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
bonjour à tous
j’ai chopé ce virus ce matin sur mon ordi professionnel
j’ai essayé de faire les manipulations ci dessus mais ça ne marche pas
je fais invite commande en mode sans echec puis
regedit puis
je remplace shell : explorer.exe par iexplore.exe
je redemarre l’ordi en mode normal et là j’ai toujours l’image gendarmerie nationale ça n’a rien changé !!!
j’ai un pc acer et je travaille sous xp pro
merci de votre aide
y a t’il quelqu’un ici en ce moment qui pourais maider merci
» Scareware Locks Down Computer Due To Child Porn and Terrorism »
- http://www.abuse.ch/?p=3610
Bonsoir,
Complétement désinfecté pa
Complétement désinfecté par antimalwarebyte.
rogue killer n’avait rien trouvé et donc rien oté…
Fait à distance sur le micro d’une amie.
Pour ceux qui auraient le soucis.
Amicalement
excellent merci pour votre travail
cordialement
j’ai un problème je voudrais surpprimer la ligne startup mais je n’ai pas celles que vous ditent j’en n’ai 3 autres
Bonjour,
Je suis xp et j’ai ce virus. J’ai essayer RogueKiller, sa a rien donner. J’ai essayer HijackThis, j’ai eu aucune des ligne à supprimer. J’ai aussi renommer explorer.exe mais je n’ai pas trouvé twexx32.dll.
Merci de votre aide
Bonsoir,
J’ai eu l’attaque de cette saleté de virus !mais moi je ne sais pas comment j’ai fais j’ai pu acceder a internet et a tout le reste de mon pc… le virus étais sur une page réduite dans ma barre menu …jai lancer un scan anti virus (le nom je ne sais plus) et bisarement la page du virus est parti! depuis hier soir il n’est plus réaparu je pence et j’espere m’en etre débarassé !
Si quelqun a le cas que j’ai eu je suis la
Et merci pour ces info sa ma soulagé !
bye
Merci beaucoup, a vous tous escellent travail je ne peu faire de don vus ke j’ai 14 ans mais j’en aurai volontier fait 1 !!!
un grand merci a vous tous pour ce sujet ….
j ai reussi grace a « roguekiller « et SURTOUT GRACE A VOTRE AIDE a me debarrasser de cette m…..
bon courage a tous ceux qui ont ce probleme
Hello,
tuto pour la version light sous seven:
1- démarrage de l’invite dos sans échec par F8 au boot du PC
2- taper explorer : non je suis pas un clown ça marche vraiment puisque explorer.exe pas touché
3- chercher dans c:programdatalocal settingstemp un répertoire à une date et heure proches de l’infection
4-dedans juste un fichier .exe : le supprimer
5-lancer regedit
6-se rendre à HKLMsoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun et o miracle on retrouve une valeur qui contient le même nom de fichier que celui trouvé à l’étape 4
msbfol.exe pour moi.
7-faire un clic droit sur Run dans la partie de gauche de regedit et choisir autorisations
8-cocher controle total pour tout le monde
9-suprimer la valeur en question
10-redémarrer
Merci à tous, les commentaires m’ont étaient très utiles,
il est 01h35, bebete chopée à 23h17 en faisant mes majs critiques…. lol !
seven récupéré!
petite astuce : durant l’affichage du fake, la manip « touche windows » + tab fonctionne, on peut voir ses programmes fonctionnaient. Ce n’est que de l’affichage. Du moins pour la version que j’ai chopé
Bonne nuit !
SeB
oups faute de frappe : fonctionnaient : bouh
plutot fonctionner
dsl
Bonjour, merci pour vos posts ! ! grâce à eux, je pense m’être aussi sortie de ce virus.
Mais je continue à craindre pour mes données …J’ai utilisé roguekiller, fait fonctionné mon antivirus, mis a jour toutes mes applications sur chacune de mes sessions (même si une seule était infectée). Mais je ne sais pas comment être parfaitement sûre que le virus a disparu ?
En tout cas, plus de fenêtre de blocage avec l’image « office central de luttre contre la criminialité…. » avec le loup ! en ouvrant une autre session et en téléchargeant roguekiller, j’ai pu me débarasser de l’image ! Puis j’ai fait tout ce que j’ai compris des différents post.
J’espère que cela servira à d’autres.
Merci encore
Salut a toi Malekal!
jai utiliser ta methode via « regedit » mais jai plus d’icone sur mon bureau ni de menu demarrer. j’ai juste un ecran noir, et je ne peux qu’executer des applis que via le gestionnaire des taches!
tu peux m’aider?
après redémarrage en mode sans échec, j’ai sélectionné l’option restauration du système à une date antérieure et pour l’instant ca marche
Les autorités ne peuvent pas arreter et mettre en prison les auteurs de ces virus
qui nous empoisonnent la vie et notre travail?
Merci,merci,merci et encore merci, grace a vos explications j’ai put sauver mon ordinateur et mes études peut être aussi.
Enorme merci!!!! cela vient de me sauver la vie!! lol
Le PC de mon fils a été infecté par la dernière version du virus. Nous avons utilisé RogueKiller.
Un seul trouvé: c’était le bon !
Punaise, dire que j’étais à deux doigts de reformater…
Merci Roguekiller et Malekal pour toutes ces précieuses infos !
Je suis sous XP et j’ ai Antivir pro comme antivirus et j’ ai attrapé ce virus , j’ ai essayé de suivre vos conseil mais quand je redemarre en mode sans echec sa ne marche pas et sa redémarre automatiquement en normal…que dois je faire . Merci de vos conseil .
Bonsoir, j’ai eu ce virus et j’ai réussi à régler le probleme, apparement il fonctionne comme cela:
- Il ouvre internet explorer avec cette page
- il met la page en plein écran
- il vous enleve ensuite le « explorer.exe »
Du coup si on ne sait pas la procédure, on ne sait pas comment faire.
Donc pour vous aidez:
- Enlevez le mode plein ecran à l’aide de la touche raccourci (f10 ou f11)
- Ouvrez le gestionnaire de tache
- Dans « nouvelle tache » faites « explorer.exe »
Et normalement vous pouvez a nouveau voir votre ordinateur en entier sans le bloquage.
- Ensuite telechargez Autoruns, c’est un logiciel qui permet de voir les logiciels qui s’ouvrent au demarrage de Windows.
- Puis chercher un logiciel qui est publié par « Ghisler » quelques chose comme ça.
- Desactivez/Supprimez le
Faites un nettoyage avec Malwares bits et le tour est joué, redemarrez votre ordi est c’est bon.
Pour fini, faites vos mises à jours Java et Acrobat Reader car personnelement, après avoir eu ce virus j’ai eu des difficultés à lire des .pdf, enfin je sais pas si pour vous c’est pareil ^^.
Enfin voilà, en esperant avoir pu vous aidez.
Merciiiiiiii ! Ca a marché pour ma part et je suis rassurée !
J’ai une infection police & gendarmerie j’ai suivi vos conseils, j’ai lancé roguekiller dont l’analyse m’a donné des résultats, ne voyant pas option 2 marqué nulle part, j’ai cliqué sur suppression et l’analyse ne donne plus de résultat, j’ai relancé windows (XP) en mode normal et l’infection est toujours là, j’ai donc essayé avec Hijackthis, mais les résultats ne correspondent pas aux lignes que vous indiquez :
O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe
Ces lignes n’apparaissent pas, je ne sais pas quoi faire, HELP!!! Grand MERCI d’avance.
Bonjour,
Et bien voila c’est mon tour, J’en ai attrapé un aussi mais pas comme ceux que l’on peut trouver au dessus En entête, il y a Police Nationale et Gendarmerie et plein d’autre petit logo et toujours la demande de payer une amande a l’aide de Paysafecard et Ukash.
Je suis sous XP, J’ai essayé en mode commande MS Dos mais ça ne démarre pas sous ce mode, ça revient au mode normal.
J’ai trouvé la possibilité d’ouvrir une fenêtre (CRLT + O) pour aller chercher le fichier twexx32.dll mais il n’y est pas dans le répertoire Windows, j’ai quand même essayé de renommer explorer.exe mais sans succès.
J’ai essayé de lancer mon antimalware toujours en passant par crtl + O mais rien ne se passe.
J’ai essayé aussi de lancer l’exécutable de restauration système mais rien là non plus.
J’ai pas de LiveCD pour faire d’autres tests (sauf une vieille version de kubuntu mais il n’arrive pas a lire mon disque dur (formatage NTFS non supporter)
Bref là je ne sais plus quoi faire, donc si vous avez les moyens de m’aider ca serait super.
Merci
MERCI!!!!
je vous remercie pour ce site qui ma beaucoup aider
j’ai eu vraiment tres peurt quand j’ai vu ce virus j’ai que c’etait un vrai avertisement de la gendarmie je vous remercie du font du coeur merci merci.
ps : dsl pour les fautes d’hortographe
Vous me sauvez la vie !! j’alait me faire tuer sinon ^^
ps : dsl pour le double post
UN grand MERCIII!!!!
slt ca etait mon tour, et oui ukash a squaté mon ordi : hijackthis n’a pas fonctionner , par contre roguekiller l’a déboité en 2 temps 3 mouvements.
merci pour l’astuce. merci beaucoup
Bonjour,
je sous XP et le mode sans echec ne fonctionne pas.
Pouvez-vous me proposer une solution???
Merci pour votre aide, j’en ai vraiment besoin….
Merci pour la méthode de dévirussage (sous XP : mode sans échec + 4 commandes console + restauration)
Un de mes étudiants a été attaqué aussi et il a trouvé mieux : débrancher puis rebtancher le modem, l’adresse IP étant (non fixe) changée son virus avait disparu
J’avais omis de citer mon étudiant plus malin que moi : Mehdi Benbadis (en Sup PCSI 1 à St Etienne)
merci rogue killer tip top sinon j’était mal
merci encore
Bonjour,
Merci pour toutes ces informations qui ne m’ont hélas pas pu résoudre le blocage d’un PC sous XP par ce « virus ».
Je pense qu’il s’agit d’une variante (le bandeau est légèrement différent), c’est pourquoi je vous indique la façon dont on peut s’en débarrasser :
- c’est un exécutable qui se trouve dans %WINDIR% system32 avec un nom composé de chiffres (0.8….exe) créé à la date de l’infection (21/03/12)
- il se lance automatiquement à la fin de l’ouverture de session :
H_L_M SOFTWARE Microsoft CurrentVersion Run : clef Update : 0.8….exe
Il suffit de démarrer avec un Live CD (Ubuntu dans mon cas) et de supprimer/renommer l’exécutable pour débloquer la machine (on enleve la clef du registre ensuite).
Vous pouvez tout aussi bien faire scanner votre dd ( avec avira par exemple )
moi javais un autre dd sous la main, j’ai réinstaller windows , scanné le dd infecter , j’ai récupe les données que je voulais puis j’ai formater mon dd qui était infecter pour plus de sécurité .
Juste pour dire qu’il n’y a pas de risque d’infection d’un dd à l’autre en fesant un scan
dsl pour le spam , mais …. dsl pour les fautes ^^’
Merci beaucoup pour toutes ces informations qui ont pu resoudre mon probleme de virus
Merciii bcp pour votre ce merdier ma fait peur j’ai cru que mon ordi allé y rester merrcii ^^
Une restauration du système a un point d’une heure antérieure à l’infection a résolu le problème.
bonjour,
j’adore votre site
pour ce qui est de cette cochonnerie de malware, combofix fait tres bien le boulot
quand le demarrage en mode sans echec est possible
merci a vous pour votre aide en general
Bonjour,
Comment faut t’il faire? Je ne comprend pas !
Dès que j’allume mon ordinateur le virus apparaît et je ne peux plus rien faire.
Nickel
Alors moi j’ai fait control+alt+sup
j’ai fermé ma session
j’ai ouvert sur celle de ma femme , sans soucis
j’ai executer roguekiller , qui m’a trouvé une entrée suspecte que j’ai éliminé
retour sur ma session , nickel
Merci à tous , et merci au devellopeur de roguekilleur
Un tout grand merci, j’ai été attient de la version Belge si cela vous interesse j’ai une capture de l’ecrant.
Merci a vous et a Roguekilleur
Un virus bloque les mises a jour.
Merci Mec! Vraiment super! Rapides, simples et efficaces, tes explications m’ont permis de me sortir d’un vrai faux pas! A bas ces virus à la con!
Bonjour,
J’ai eu ce virus tout à l’heure et j’ai lancé rogue et antimalware. Tout refonctionne correctement.
J’ai 2 questions :
1) Je nettoies mon pc systématiquement avec ccleaner une fois que je quitte mon pc (soit plusieurs fois par jour.. minimum 2 fois). Mes mots de passe et identifiants ne sont normalement plus dans le pc ? donc à priori pas besoin de les changer ?
2) Une fois nettoyé et que le virus n’apparait plus, peut on aller sur les sites et rentrer nos mdp et identifiants sans crainte ?
merci d’avance
En réponse à atch:
Normalement CCleaner fait bien son travail et aucun MDP ne devrait se trouver sur votre PC après nettoyage. Pour ce qui est du 2) j’imagine que c’est OK mais on n’est jamais trop sûrs. Je conseille de changer de MDP de temps en temps.
Pour ma part, j’ai été infecté par le scareware avec la bannière de l’OCLCTC il y a 2 semaines. Avant même d’essayer RogueKiller (que je conservais sur un clé USB), j’ai redémarré mon ordinateur en mode sans échec (mon ordi tourne sous Win7) et j’ai lancé une analyse en ligne de commande avec AVG -Je n’ai pas conservé le rapport donc je ne me souvient plus exactement du fichier en cause, mais en tout cas il venait de Temp- ; à la fin de l’analyse j’ai redémarré mon PC et le message avait disparu.
Une semaine plus tard, j’ouvre ma session quand l’écran apparaît à nouveau! Je m’apprêtais à recommencer la manip exécutée auparavent, quand le message a disparu et une fenêtre d’AVG s’est affiché, signalant un virus. Après la mise en quarantaine et le redémarrage du PC, le message n’est plus apparu.
Selon AVG la menace venait d’un fichier MSUFLF.cmd:
http://i.imgur.com/2Rz08.jpg
Ce scarware n’est donc peut-être pas si tenace que ça. Un coup de chance?
moi j’ai juste désactiver se prog au démarrage PLFsetI.exe et sa marche!!!!!!
Moi,j’ai eu la 2eme edition de la page,mais grace a advanced system care et ccleanner ja’i suprimer le fichier malveillant.