Le ransomware/rançon logiciel Virus gendarmerie (voir la page sur les virus fake police) dans un nouveau design : Ce blocage de l’ordinateur sert à la prevetion de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la deorgation de lois de la Republique.
Ce ransomware propage par exploits sur site WEB via des malvertising :
- Malvertising clicksor : Ransomware « Activite illicite Démélée »
- Malvertising : delivery.trafficbroker.com délivre ransomware « Activite illicite demelée »
- pornerbros.com conduit à des infections via des exploits
Mettez à jour vos programmes ! sinon votre PC est vulnérable !
Il existe maintenant deux variantes du « virus Hadopi » :
La variante Urausy – normalement le mode sans échec ne fonctionne pas.
Cette variante se caractérise par la présence de l’image avec les menottes.
Cette variante empêche normalement le démarrage en mode sans échec.
La variante Reveton – l’image des menottes est remplacé par une WebCam.
Le démarrage en mode sans échec est possible pour cette variante :
Attention, une autre variante « Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication » sans le logo HADOPI, se reporter à la page : http://www.malekal.com/2013/04/11/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/
Ci-dessous quelques captures d’anciennes variantes :
Autre variante avec l’Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication qui ont été diffusées par le passé :
Activite illégale a été révélée / Activite illicite démélée :
Désinfection
Mode sans échec (version Reveton)
- Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
- !!! Choisissez la session infectée !!!
- Téléchargez sur le bureau : http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
- Lancez RogueKiller.exe.
- Attendez que le Prescan ait fini
- Lancez un scan à partir du bouton Scan en haut à droite.
- RogueKiller doit détecter des éléments msconfig / CTFMON comme ci-dessous :
- Une fois que le scan est terminé, cliquez sur Suppression à droite.
Redémarrez l’ordinateur, le malware doit être éradiqué.
Suivez le dernier paragraphe « Après Désinfection » pour sécuriser votre ordinateur.
Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Restauration du système en invites de commandes en mode sans échec (toutes versions)
Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263
Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Regedit en invites de commandes en mode sans échec (Seulement variante Urausy)
- Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
- !!! Choisissez la session infectée !!!
- Tapez Regedit et validée par entrée – Cela doit ouvrir l’Editeur du Registre.
- Déroulez en cliquant sur les + HKEY_CURRENT_USER
- Déroulez Software
- Déroulez Microsoft
- Déroulez Windows NT
- Cliquez sur Winlogon
- A droite, vous devez avoir une clef Shell.
- En double cliquant dessus, vous devez avoir explorer.exe,chemin/skype.dat (si vous avez pas skype.dat, laissez tomber)
- Effacez tout pour n’avoir que explorer.exe et Valider
- Fermer l’éditeur du registre
- tapez la commande ci-dessous sans faute avec les mêmes espace pour redémarrer l’ordinateur
Invites de commandes en mode sans échec (Seulement variante Urausy)
La variante Urausy créé un fichier %APPDATA%/skype.dat soit donc :
- Pour Windows XP : C:Document And SettingssessioninfecteeApplication Dataskype.dat
- Pour Windows Vista/Seven et Windows 8 : C:UserssessioninfecteeRoamingskype.dat
Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
Pour cela :
- Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
- Choisissez la session infectée ET AUCUNE AUTRE.
- Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/ (Vista / Seven / 8 ) ou C:/Documents and Settings/SessionInfecte/Application Data (Windows XP)
- tapez la commande dir, vous devez voir dans la liste le fichier skype.dat OU AltShell.dat
- Tapez alors la commande del AltShell.dat ou del skype.dat selon celui qi est présent et entrée afin de supprimer le fichier AltShell.dat / skype.dat
- Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat ou AltShell.dat a bien été supprimé.
- tapez alors shutdown /r afin de redémarrez le PC
CD Live Malekal
Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.
Se reporter à la page : http://www.malekal.com/2013/02/22/malekal-live-cd/
CD Live Kaspersky
Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliqué sur la page suivante : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.
Cliquez sur le menu pour obtenir le Terminal
Dans la fenêtre noire, saisir windowsunlocker (respecter la casse) :
Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous : C:Documents and SettingsMakApplication Dataflint4ytw.exe
En vidéo : http://www.youtube.com/watch?v=7Jn6yKH2r1w
Centre de sécurité et mode sans échec non fonctionnel
Si le centre de sécurité est non fonctionnel suite à ce ransomware Reveton.
Se reporter au paragraphe « Rétablir le centre de sécurité après Reveton » de la page : https://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html
Urausy supprime les clefs Safeboot qui empêche le redémarrage en mode sans échec, il est possible de remettre les clefs en suivant les instructions de cette page: http://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html
Après la désinfection – Très important
Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.
Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.
Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)
Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.
Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
Variantes étrangères
En d’autres langues (merci http://secuboxlabs.fr/kolab/) :
Atention ! Cuerpo Nacional de Policia :
EDITION au début février 2012 :
quelques autres captures : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f
EDIT MI Fevrier 2012
Nouveau Skin : Office Central de la lutte contre la ciminalité liée aux technologies de l’information et de la communication : Activite illicite demelée!
EDIT MAI 2012
Le screen a été modifié : http://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/
Hello Mak,
Les TDS ont des DNS enregistrés chez Directi qui pointent chez l’américain SoftLayer Technologies Inc sur l’IP 173.193.73.87 ( mais nos tests montrent une présence de 173.193.73.80 à 173.193.73.95 ) et sont enregistrés par les noms d’emprunts Piotr Pushkin (pppiotr88@gmail.com) alias Vasiliy Pushkin (vasili006@gmail.com) ce qui permet de réaliser une connexion avec les évènements Malvertising + FakeAV. Citons, par exemple, le billet du père Nico et les travaux de Wayne Huang :
- (24.03.2011) http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
- (31.08.2011) http://blog.armorize.com/2011/08/malvertising-on-yahoo-yieldmanager.html
Ces TDS redirigent bien évidement sur plusieurs kits, ici nous n’aborderons que le BlackHole qui nous intéresse, celui-ci pointe en Ukraine chez intergenia AG (Plusserver) sur l’IP 188.138.28.175 qui appartient à Aminahost LLS géré par un individu nommé Vitaly S Dyakov. Une nouvelle fois, les fichiers délivrés par BH et téléchargés par les victimes peuvent être différents à tout moment, c’est pourquoi nous n’aborderons que les fichiers qui permettent d’afficher ce qu’il y a sur la capture d’écran de Malekal. Notez que les fichiers délivrés sont des librairies ; ce qui peut être ennuyeux car il y a moins d’outils automatisés qui prennent les DLL. Les symptômes pour l’utilisateur sont à peu près similaires, générer une gêne permanente et ainsi stimuler la personne avec une dose de peur ( scary tactics ) pour commettre une ou plusieurs actions ( payer la rançon ) dans la précipitation, l’énervement, …. Le chargeur est presque générique et l’adresse IP va déterminer l’emplacement de la charge. Quels sont les changements ? Le premier n’en est pas réellement un puisque nous avions déjà observé cette approche, le programme n’embarque plus avec lui les ressources ( les images, la page, la feuille de style, le javascript ) mais va télécharger les éléments. Le second et c’est une nouveauté sur les versions françaises, c’est que le programme ne va pas se limiter à afficher et gêner ; il va également, de manière silencieuse, télécharger un composant nommé » images.rar » crypté puis le décrypter et enfin l’installer. Nos analyses nous ont déjà montrés qu’en fonction du serveur distant, le fichier » images.rar » diffère. Pour vous illustrer le problème, le dernier échantillon que nous avons sur notre radar, une fois décrypté est celui-ci:
http://www.virustotal.com/file-scan/report.html?id=c526f466513e33087ce4963138080989ef933b80a0956403436d51ad28d44edc-1326236049
Seuls 3 éditeurs antivirus:
AntiVir : TR/Spy.Gen2 ( TR: Trojan ; Spy: Espion ; Gen : Générique )
NOD32: variant of Win32/PSW.Delf.OAS ( Plateforme Win32 ; PSW: Password ; Delf ( Delphi )
Sophos: Mal/Banc-B ( Banc: Steals information, Records keystrokes )
Cette librairie est un » stealer » et son but est de piller vos accès / comptes et par la suite, dérober vos données et accéder à vos informations personnelles ou encore utiliser votre identité, … la liste des possibilités est longue.
Si vous avez été victime, ne vous limitez pas à seulement éliminer les symptômes visibles.
Prenez le temps de bien vérifier vos ordinateurs et à la moindre activité suspecte, re-vérifiez la santé de votre machine. Vérifiez bien à ce que votre antivirus soit à jour, recommencez plusieurs fois, sur une durée assez longue, ne plaisantez pas, vous êtes prévenus. Contrairement à l’idée reçue, ces individus ne sont pas des enfants mais des professionnels du crime : s’ils peuvent vous voler, ils le feront sans hésiter. Lors de la dernière campagne qui a débutée lors des fêtes de fin d’année, nous avons été en mesure de suivre plusieurs zombies témoins ( machines infectées utilisées pour la recherche ) et nous savons de quoi ils sont capables. Si vous avez eu de la » chance » , votre ordinateur a été revendu par lots à des sommes modiques pour servir à des activités criminelles. Pour les moins chanceux, vous avez quelques jours après vos achats, du avoir une mauvaise surprise sur vos relevés bancaires : un moyen pour eux de vous souhaiter la bonne année.
Même en surfant sur des sites de confiance vous êtes potentiellement exposés ; n’oubliez pas qu’ils utilisent des régies publicitaires légitimes pour se faufiler ! Il est donc très important que vous mettiez à jour votre système d’exploitation et vos logiciels ; surtout vos navigateurs et vos clients de messagerie et bien sûr Adobe Flash, Adobe Reader, Foxit Reader, Adobe PDF, Java. Un système à jour, c’est le premier rempart avant les solutions de sécurité.
Informez-vous sur ces menaces. Merci Malekal pour tes remontées d’informations, cette collaboration est une excellente idée, ce partenariat est efficace.
Pour des conseils avisés, nous vous recommandons la lecture du blog personnel de l’officier de gendarmerie, Eric Freyssinet. Un jour peut-être, à force de patience, ces cybercriminels paieront pour leurs actes.
http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
comme toujours merci malekal ,malware a fais l’affaire sous seven ,je fais suivre tes conseils de mise a jour de logiciel dorénavant
Salut à tous,
pour information, le « malware » utilise internet explorer.Dans mon cas, j’utilise firefox mais étant donné qu’internet explorer est toujours installé, l’exploit à pu faire effet.Aprés quelques recherche l’adresse identifié est : 195.14.104.73 et avec un traceroute, il passe par Amsterdam puis transtelecom ,data-center.net et enfin par s01791.htc-s.ru.73.104.14.195.in-addr.arpa (surement le dns du site).
Voilà je ne sais pas si ca sert a quelque chose mais bon voilà ce que j’ai trouvé sur le « truc ».
Personnellement je préconise un format radical du pc. Ainsi, c’est plus sûr.
Bonne chance à tous.
@Karakzho: Vos observations sont erronées. Les navigateurs IE, Firefox, … utilisent des modules, greffons,… des couches logiciels qui viennent apporter des fonctionnalités. Les exploits de ce » kit » ciblent ces logiciels, peu importe le navigateur, du moment que les fonctions vulnérables sont embarquées ( vulgarisation ). Sinon pour ce qui termine en .arpa ( le TLD ) c’est le nom générique que l’on donne au domaine dit de premier niveau. Pour plus d’information, cherchez « Arpanet » sur Wikipédia. Le formatage est une action radicale mais pour cette situation c’est excessif et inadapté. Excessif car ce n’est pas suffisamment incrusté pour être une véritable nuisance, le système d’exploitation n’est pas condamné, un nettoyage avec les bons outils accompagné de contrôles sur les activités à l’aide d’un firewall par exemple et tout rentrera dans l’ordre. Tout ou presque. Pourquoi ? Quand le composant de type » stealer » est exécuté il commence par rechercher et collecter ce qui l’intéresse et une fois ses tâches terminées, il transfert instantanément les informations volées chez l’américain Interserver, Inc dans le New Jersey sur 64.20.38.90:443/TCP dont la range 64.20.38.88/29 a été achetée par un client privé basé en Ukraine. Conclusion ? Le mal est déjà fait. Il est donc important, quand vous êtes victime d’un malware de type stealer / spy / … de bien veiller, une fois votre système sain, de changer vos mots de passe.
Comment peut on télécharger le logiciel demandé alors que dès qu’on allume l’ordinateur la page apparait (donc on ne peut rien faire)….?
je viens de chopper ca … –’
Salut,
Mode sans échec : http://www.malekal.com/2010/11/15/mode-sans-echec/
Vais préciser.
Merci beaucoup pour ces infos !! Simple rapide et efficace !!
Salut
J ai ce put… De virus de merde et meme en mode sans echec je n accede a rien sauf a cette page gendarmerie plein ecran sans possibilite de faire quoi que ce soit…
Need help
Bonsoir,
Je viens de m’en sortir avec votre aide, grand merci.
Merci beaucoup pour ces infos ! Elles sont simples et efficaces ! G pu dézinguer c’t'abruti d’virus en un rien de temps grace a vous. Et autant vous dire que je me suis précipiter sur les mises a jour ^^
Je n’ai pas l’une de ses 4 lignes … ET POURTANT j’ai bien ce virus…
O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe
Moi aussi pareil, ça fais 2 jours que je me renseigne partout . J’ai fais le démarage en mode sans échec, télécharger le logiciel mais je n’ai pas trouvé l’une des 4 lignes dont vous parlez …
Faire RogueKiller http://forum.malekal.com/roguekiller-t29444.html
En option 2 en mode sans échec.
Si vous avez toujours des problèmes, allez sur le forum partie Virus.
Ca sert à rien de poster ici, vous n’aurez pas d’aide.
bonsoir, merci malekal et merci a tous ,
merci beaucoup.
Avec roguekiller nickel.
merci merci merci
.
Bonjour,
Merci beaucoup pour ce post qui m’a permis de me débarrasser de ce virus. J’avais vu la mise à jour d’adobe possible mais je l’ignorais
Merci beaucoup.
J’ai utilisé Malwarebytes, et plus rien…
J’ai mis à jour Java et augmenter la sécurité de Firefox…
Merci pour votre topic !! Tout remarche chez moi grâce à RogueKiller. Merci !!
Merci beaucoup pour tes astuce
Merci a votre avis ca marche avec avast ou ad-aware ??
Ca a marchéééé je c pas qui a fabriqué RogueKiller mais trop fort le type
Bjr a tous
J’ai le meme soucis sauf que quand je redemarre en mode sans echec sa ne marche pas et sa redemarre automaitiquement en normal…
Aidez moi svp
Merci
Merci infiniment de votre aide. Mon PC est debloqué.
bonsoir je viens de choper le virus sur la police,gendarmerie et d un coup quand je reallume mon ,mon ecran tout noir et je n ai plus rien,je ne peux me mettre en mode sans echec ,et quand je mets un cd d installation ,je en peux rien faire on dirait que tout est bloqUE
pourriez vous m aider merci
Bonjour
grosse panique ce matin avec cette saloperie qui me bloquait l’ordi….conseils trouvés ici apres recherche Google et probleme resolu avec Rogue killer et malware byte
merci !
Bonjour,
Alors, mon ordi a choppé le virus en question. Problème : je n’arrive pas à accéder au mode sans echec, j’ai un écran bleu. J’ai toujours la possibilité de démarrer avec un CD linux mais je ne sais pas trop ce qu’il faut aller chercher.
Un conseil?
Merci beaucoup
Bonjour,
Mon ordi a attrapé ce virus, j’ai suivi vos instructions mais en mode sans echecs avec prise en charge du reseau je n’arrive pas a me connecter a internet pour telecharger rogue killer, il est marqué connectivité limitée autant en wifi qu’en prise ethernet. Comment puis je faire pour me connecter a internet s’il vous plait ?
Merci d’avance.
Bonjour
J’ai chopée ce put*in de virus hier , je m’en suis enfin débarrassée au bout de 4h de persévérance … Sauf que depuis facebook est lent trèèèès lent ?? Ca a un rapport ou bien ça vient tout simplement de facebook ? Sinon tout marche bien ainsi qu’internet et les autres sites…
Bonjour à tous. Lorsque je commande le demarrage de mon ordi en mode sans échec avec prise en charge réseau, mon ordi me propose, avant l’ouverture de windows, de choisir soit entre administrateur soit entre Bureau. En choisissant l’un ou l’autre je retombe inévitablement sur la page du virus!!! Je suis donc incapable de télécharger quoi que ce soit!!! Que faire? Merci
COMMENT S’EN DEBARRASSER DEFINITIVEMENT? Car depuis mon message du début de cet après-midi, 2 fois qu’il revient et que je le contre avec le démarrage sans échec! On a l’impression d’être entré sans savoir comment dans quelque cauchemar de science fiction!
Il suffit de suivre les instructions à la lettre, tout est expliqué. Après avoir téléchargé roguekiller, lance un scann et supprime les éléments détectés depuis le mode sans échec. Puis redémarre normalement et le problème est réglé. En profiter pour mettre à jour les programmes défaillants vecteurs du virus ( adobe notamment, pour moi ct ça en tout cas )
Merci pour la clarté et l’utilité de vos infos !
Merci à vous, ma copine s’est retrouvée bloquée en 2 sec par ce truc, grâce à vous PB réglé en 2 sec également.
Merci beaucoup.
Merci beaucoup pour cette aide FOOORRRRRMIDABLE!!!
Heureusement que vous êtes là!!! Simple, rapide et efficace!!! Surtout quand on ne s’y connait pas vraiment en informatique!! 
merci. avec roguekiller en mode sans echec tout semble reparti normal…
Boujours voila j’ai eux se probleme ! et j’ai trouver une solution sette page ! Faire f12 … Et je clique sur la disquette pour enregistrer les modification … Et je clique droit sur Exemple … image ouvrire … Avec un autre onglet ! Et Je vais dans les panneau … et je fait restaurer le systeme !
Merci tout plein pour l’aide !
J’ai passé Roguekiller et il me l’a supprimé. Par contre en repassant Malwarebytes Antimalware il me l’a retrouvé ! ( et du coup effacé de nouveau ).
Pour l’instant il n’est pas revenu …. Je croise les doigts !
Bjrs j’ai eu ce virus récemment , ( variante 2012 ) plus coriace lol et pour le résoudre j’ai tout simplement fait une restauration système . l’avantage c’est que vous gardez tout ce qui était auparavant sur le disc dur ainsi qu’avec les pilotes . solution ( menu demarer – tout les programme – accessoire – outils système et restauration système ensuite choisissais une restauration 24h00 avant ou 3 jours avant peu importe et le virus n’est plus . salut
J’ai eu ce virus cette nuit … Ce n’est pas le premier qui agit de la sorte et bloque toute opération sous Windows.
Une restauration système m’a permis de supprimer ce virus.
Mais ce ne fut pas simple. Les invites en ms dos ne fonctionnait pas, Windows en mode sans échec non plus…
Marre de ces virus sans intérêt si ce n’est vous pourrir la vie …. déjà compliquée!!
J’ai suivi la procédure Windows XP : Procédure avec clef Shell, j’ai tout fait comme il disait, malheureusement je n’arrive pas à me connecter en wifii comment faire à ce stade alors que je dois télécharger Windows XP SP2 : http://www.malekal.com/download/explorer_XP_SP2.exe
Quelqu’un peut-il m’aider ?
bonjour, je viens de me faire coincé par ce virus… et impossible de démarrer en mode sans echec… sous XP pro. çà boucle avec un écran bleu très rapidement et çà repart en mode page démarrage à choix multiple… puis je faire autrement que de formater tout mon systeme?
merci
Bonjour,
Idem au dessus sans réponse, je ne peux télécharger roguekiller car le pc sous vista ne trouve pas de connection internet en mode sans échec (normalement je suis en wifi), bref je tourne en rond depuis midi grrr…
ou bien suis je trop nulle? (c’est possible!!!)
bonjours a tous,
gros probleme avec ce virus, impossible de redemarer meme en mode sans echec …que dois-je faire
merci
Bonjour,
J’ai essayé de redémarrer en invites de commandes mon PC (Windows Vista). J’ai suivi les instructions mais la page est toujours là. Je n’ai accès à rien d’autre.
Comment faire pour télécharger quoi que ce soit. Que puis-je faire d’autre???
Merci de m’aider!!
un grand merci a vous j’ai suivi les instructions a la lettre et mon virus a été stopper je peux réutiliser mon ordi merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
bonjour à tous
j’ai chopé ce virus ce matin sur mon ordi professionnel
j’ai essayé de faire les manipulations ci dessus mais ça ne marche pas
je fais invite commande en mode sans echec puis
regedit puis
je remplace shell : explorer.exe par iexplore.exe
je redemarre l’ordi en mode normal et là j’ai toujours l’image gendarmerie nationale ça n’a rien changé !!!
j’ai un pc acer et je travaille sous xp pro
merci de votre aide
y a t’il quelqu’un ici en ce moment qui pourais maider merci
» Scareware Locks Down Computer Due To Child Porn and Terrorism »
- http://www.abuse.ch/?p=3610
Bonsoir,
Complétement désinfecté pa
Complétement désinfecté par antimalwarebyte.
rogue killer n’avait rien trouvé et donc rien oté…
Fait à distance sur le micro d’une amie.
Pour ceux qui auraient le soucis.
Amicalement
excellent merci pour votre travail
cordialement
j’ai un problème je voudrais surpprimer la ligne startup mais je n’ai pas celles que vous ditent j’en n’ai 3 autres
Bonjour,
Je suis xp et j’ai ce virus. J’ai essayer RogueKiller, sa a rien donner. J’ai essayer HijackThis, j’ai eu aucune des ligne à supprimer. J’ai aussi renommer explorer.exe mais je n’ai pas trouvé twexx32.dll.
Merci de votre aide
Bonsoir,
J’ai eu l’attaque de cette saleté de virus !mais moi je ne sais pas comment j’ai fais j’ai pu acceder a internet et a tout le reste de mon pc… le virus étais sur une page réduite dans ma barre menu …jai lancer un scan anti virus (le nom je ne sais plus) et bisarement la page du virus est parti! depuis hier soir il n’est plus réaparu je pence et j’espere m’en etre débarassé !
Si quelqun a le cas que j’ai eu je suis la
Et merci pour ces info sa ma soulagé !
bye
Merci beaucoup, a vous tous escellent travail je ne peu faire de don vus ke j’ai 14 ans mais j’en aurai volontier fait 1 !!!
un grand merci a vous tous pour ce sujet ….
j ai reussi grace a « roguekiller « et SURTOUT GRACE A VOTRE AIDE a me debarrasser de cette m…..
bon courage a tous ceux qui ont ce probleme
Hello,
tuto pour la version light sous seven:
1- démarrage de l’invite dos sans échec par F8 au boot du PC
2- taper explorer : non je suis pas un clown ça marche vraiment puisque explorer.exe pas touché
3- chercher dans c:programdatalocal settingstemp un répertoire à une date et heure proches de l’infection
4-dedans juste un fichier .exe : le supprimer
5-lancer regedit
6-se rendre à HKLMsoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun et o miracle on retrouve une valeur qui contient le même nom de fichier que celui trouvé à l’étape 4
msbfol.exe pour moi.
7-faire un clic droit sur Run dans la partie de gauche de regedit et choisir autorisations
8-cocher controle total pour tout le monde
9-suprimer la valeur en question
10-redémarrer
Merci à tous, les commentaires m’ont étaient très utiles,
il est 01h35, bebete chopée à 23h17 en faisant mes majs critiques…. lol !
seven récupéré!
petite astuce : durant l’affichage du fake, la manip « touche windows » + tab fonctionne, on peut voir ses programmes fonctionnaient. Ce n’est que de l’affichage. Du moins pour la version que j’ai chopé
Bonne nuit !
SeB
oups faute de frappe : fonctionnaient : bouh
plutot fonctionner
dsl
Bonjour, merci pour vos posts ! ! grâce à eux, je pense m’être aussi sortie de ce virus.
Mais je continue à craindre pour mes données …J’ai utilisé roguekiller, fait fonctionné mon antivirus, mis a jour toutes mes applications sur chacune de mes sessions (même si une seule était infectée). Mais je ne sais pas comment être parfaitement sûre que le virus a disparu ?
En tout cas, plus de fenêtre de blocage avec l’image « office central de luttre contre la criminialité…. » avec le loup ! en ouvrant une autre session et en téléchargeant roguekiller, j’ai pu me débarasser de l’image ! Puis j’ai fait tout ce que j’ai compris des différents post.
J’espère que cela servira à d’autres.
Merci encore
Salut a toi Malekal!
jai utiliser ta methode via « regedit » mais jai plus d’icone sur mon bureau ni de menu demarrer. j’ai juste un ecran noir, et je ne peux qu’executer des applis que via le gestionnaire des taches!
tu peux m’aider?
après redémarrage en mode sans échec, j’ai sélectionné l’option restauration du système à une date antérieure et pour l’instant ca marche
Les autorités ne peuvent pas arreter et mettre en prison les auteurs de ces virus
qui nous empoisonnent la vie et notre travail?
Merci,merci,merci et encore merci, grace a vos explications j’ai put sauver mon ordinateur et mes études peut être aussi.
Enorme merci!!!! cela vient de me sauver la vie!! lol
Le PC de mon fils a été infecté par la dernière version du virus. Nous avons utilisé RogueKiller.
Un seul trouvé: c’était le bon !
Punaise, dire que j’étais à deux doigts de reformater…
Merci Roguekiller et Malekal pour toutes ces précieuses infos !
Je suis sous XP et j’ ai Antivir pro comme antivirus et j’ ai attrapé ce virus , j’ ai essayé de suivre vos conseil mais quand je redemarre en mode sans echec sa ne marche pas et sa redémarre automatiquement en normal…que dois je faire . Merci de vos conseil .
Bonsoir, j’ai eu ce virus et j’ai réussi à régler le probleme, apparement il fonctionne comme cela:
- Il ouvre internet explorer avec cette page
- il met la page en plein écran
- il vous enleve ensuite le « explorer.exe »
Du coup si on ne sait pas la procédure, on ne sait pas comment faire.
Donc pour vous aidez:
- Enlevez le mode plein ecran à l’aide de la touche raccourci (f10 ou f11)
- Ouvrez le gestionnaire de tache
- Dans « nouvelle tache » faites « explorer.exe »
Et normalement vous pouvez a nouveau voir votre ordinateur en entier sans le bloquage.
- Ensuite telechargez Autoruns, c’est un logiciel qui permet de voir les logiciels qui s’ouvrent au demarrage de Windows.
- Puis chercher un logiciel qui est publié par « Ghisler » quelques chose comme ça.
- Desactivez/Supprimez le
Faites un nettoyage avec Malwares bits et le tour est joué, redemarrez votre ordi est c’est bon.
Pour fini, faites vos mises à jours Java et Acrobat Reader car personnelement, après avoir eu ce virus j’ai eu des difficultés à lire des .pdf, enfin je sais pas si pour vous c’est pareil ^^.
Enfin voilà, en esperant avoir pu vous aidez.
Merciiiiiiii ! Ca a marché pour ma part et je suis rassurée !
J’ai une infection police & gendarmerie j’ai suivi vos conseils, j’ai lancé roguekiller dont l’analyse m’a donné des résultats, ne voyant pas option 2 marqué nulle part, j’ai cliqué sur suppression et l’analyse ne donne plus de résultat, j’ai relancé windows (XP) en mode normal et l’infection est toujours là, j’ai donc essayé avec Hijackthis, mais les résultats ne correspondent pas aux lignes que vous indiquez :
O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe
Ces lignes n’apparaissent pas, je ne sais pas quoi faire, HELP!!! Grand MERCI d’avance.
Bonjour,
Et bien voila c’est mon tour, J’en ai attrapé un aussi mais pas comme ceux que l’on peut trouver au dessus En entête, il y a Police Nationale et Gendarmerie et plein d’autre petit logo et toujours la demande de payer une amande a l’aide de Paysafecard et Ukash.
Je suis sous XP, J’ai essayé en mode commande MS Dos mais ça ne démarre pas sous ce mode, ça revient au mode normal.
J’ai trouvé la possibilité d’ouvrir une fenêtre (CRLT + O) pour aller chercher le fichier twexx32.dll mais il n’y est pas dans le répertoire Windows, j’ai quand même essayé de renommer explorer.exe mais sans succès.
J’ai essayé de lancer mon antimalware toujours en passant par crtl + O mais rien ne se passe.
J’ai essayé aussi de lancer l’exécutable de restauration système mais rien là non plus.
J’ai pas de LiveCD pour faire d’autres tests (sauf une vieille version de kubuntu mais il n’arrive pas a lire mon disque dur (formatage NTFS non supporter)
Bref là je ne sais plus quoi faire, donc si vous avez les moyens de m’aider ca serait super.
Merci
MERCI!!!!
je vous remercie pour ce site qui ma beaucoup aider
j’ai eu vraiment tres peurt quand j’ai vu ce virus j’ai que c’etait un vrai avertisement de la gendarmie je vous remercie du font du coeur merci merci.
ps : dsl pour les fautes d’hortographe
Vous me sauvez la vie !! j’alait me faire tuer sinon ^^
ps : dsl pour le double post
UN grand MERCIII!!!!
slt ca etait mon tour, et oui ukash a squaté mon ordi : hijackthis n’a pas fonctionner , par contre roguekiller l’a déboité en 2 temps 3 mouvements.
merci pour l’astuce. merci beaucoup
Bonjour,
je sous XP et le mode sans echec ne fonctionne pas.
Pouvez-vous me proposer une solution???
Merci pour votre aide, j’en ai vraiment besoin….
Merci pour la méthode de dévirussage (sous XP : mode sans échec + 4 commandes console + restauration)
Un de mes étudiants a été attaqué aussi et il a trouvé mieux : débrancher puis rebtancher le modem, l’adresse IP étant (non fixe) changée son virus avait disparu
J’avais omis de citer mon étudiant plus malin que moi : Mehdi Benbadis (en Sup PCSI 1 à St Etienne)
merci rogue killer tip top sinon j’était mal
merci encore
Bonjour,
Merci pour toutes ces informations qui ne m’ont hélas pas pu résoudre le blocage d’un PC sous XP par ce « virus ».
Je pense qu’il s’agit d’une variante (le bandeau est légèrement différent), c’est pourquoi je vous indique la façon dont on peut s’en débarrasser :
- c’est un exécutable qui se trouve dans %WINDIR% system32 avec un nom composé de chiffres (0.8….exe) créé à la date de l’infection (21/03/12)
- il se lance automatiquement à la fin de l’ouverture de session :
H_L_M SOFTWARE Microsoft CurrentVersion Run : clef Update : 0.8….exe
Il suffit de démarrer avec un Live CD (Ubuntu dans mon cas) et de supprimer/renommer l’exécutable pour débloquer la machine (on enleve la clef du registre ensuite).
Vous pouvez tout aussi bien faire scanner votre dd ( avec avira par exemple )
moi javais un autre dd sous la main, j’ai réinstaller windows , scanné le dd infecter , j’ai récupe les données que je voulais puis j’ai formater mon dd qui était infecter pour plus de sécurité .
Juste pour dire qu’il n’y a pas de risque d’infection d’un dd à l’autre en fesant un scan
dsl pour le spam , mais …. dsl pour les fautes ^^’
Merci beaucoup pour toutes ces informations qui ont pu resoudre mon probleme de virus
Merciii bcp pour votre ce merdier ma fait peur j’ai cru que mon ordi allé y rester merrcii ^^
Une restauration du système a un point d’une heure antérieure à l’infection a résolu le problème.
bonjour,
j’adore votre site
pour ce qui est de cette cochonnerie de malware, combofix fait tres bien le boulot
quand le demarrage en mode sans echec est possible
merci a vous pour votre aide en general
Bonjour,
Comment faut t’il faire? Je ne comprend pas !
Dès que j’allume mon ordinateur le virus apparaît et je ne peux plus rien faire.
Nickel
Alors moi j’ai fait control+alt+sup
j’ai fermé ma session
j’ai ouvert sur celle de ma femme , sans soucis
j’ai executer roguekiller , qui m’a trouvé une entrée suspecte que j’ai éliminé
retour sur ma session , nickel
Merci à tous , et merci au devellopeur de roguekilleur
Un tout grand merci, j’ai été attient de la version Belge si cela vous interesse j’ai une capture de l’ecrant.
Merci a vous et a Roguekilleur
Un virus bloque les mises a jour.
Merci Mec! Vraiment super! Rapides, simples et efficaces, tes explications m’ont permis de me sortir d’un vrai faux pas! A bas ces virus à la con!
Bonjour,
J’ai eu ce virus tout à l’heure et j’ai lancé rogue et antimalware. Tout refonctionne correctement.
J’ai 2 questions :
1) Je nettoies mon pc systématiquement avec ccleaner une fois que je quitte mon pc (soit plusieurs fois par jour.. minimum 2 fois). Mes mots de passe et identifiants ne sont normalement plus dans le pc ? donc à priori pas besoin de les changer ?
2) Une fois nettoyé et que le virus n’apparait plus, peut on aller sur les sites et rentrer nos mdp et identifiants sans crainte ?
merci d’avance
En réponse à atch:
Normalement CCleaner fait bien son travail et aucun MDP ne devrait se trouver sur votre PC après nettoyage. Pour ce qui est du 2) j’imagine que c’est OK mais on n’est jamais trop sûrs. Je conseille de changer de MDP de temps en temps.
Pour ma part, j’ai été infecté par le scareware avec la bannière de l’OCLCTC il y a 2 semaines. Avant même d’essayer RogueKiller (que je conservais sur un clé USB), j’ai redémarré mon ordinateur en mode sans échec (mon ordi tourne sous Win7) et j’ai lancé une analyse en ligne de commande avec AVG -Je n’ai pas conservé le rapport donc je ne me souvient plus exactement du fichier en cause, mais en tout cas il venait de Temp- ; à la fin de l’analyse j’ai redémarré mon PC et le message avait disparu.
Une semaine plus tard, j’ouvre ma session quand l’écran apparaît à nouveau! Je m’apprêtais à recommencer la manip exécutée auparavent, quand le message a disparu et une fenêtre d’AVG s’est affiché, signalant un virus. Après la mise en quarantaine et le redémarrage du PC, le message n’est plus apparu.
Selon AVG la menace venait d’un fichier MSUFLF.cmd:
http://i.imgur.com/2Rz08.jpg
Ce scarware n’est donc peut-être pas si tenace que ça. Un coup de chance?
moi j’ai juste désactiver se prog au démarrage PLFsetI.exe et sa marche!!!!!!
Moi,j’ai eu la 2eme edition de la page,mais grace a advanced system care et ccleanner ja’i suprimer le fichier malveillant.
Merci pour le post de F2lt
En versions XP Pro, je n’arrivais pas à ouvrir quoi que ce soit même en mode sans echec. Pas moyen non plus de restaurer une ancienne version.
Avec kerspersky CD rescue, j’ai pu supprimer le fichier. Facile à trouver et à détruire avec le File Explorer.
Par contre winpatrol n’a rien détecté et encore moins Windows. Le vrai virus c’est Windows qui permet de créer de telles données dans la base de registre (qui est d’ailleurs un vrai foutoir) sans autorisation!!!!!
Merciiiiiiiiiiiiii!!!!!!!!!!!!! Vous faîtes vraiment un bon boulot, et noble!
Bonjour,
sur la version « Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication – contenu illicite demelee »
Windows XP Pro – Impossible de démarrer en mode sans echec – BSOD à chaque fois.
Demarrage sur une distribution Linux USB
Explorateur de fichier :OSDocuments and SettingsxxxxxLocal SettingsTemp
On trouve des fichier du type ggdgoikljupzsrobtux.exe créés au moment de l’infection il a suffit de les supprimer pour que tout revienne dans l’ordre.
un fois revenu sous Windows, un petit coup de RogueKiller et ça tourne…
Merci pour vos informations.
Quel site utilise-t’il pour l’ip et la location?
Salut,
En général, aucun, je fais un whois sur tux.
Sinon un site de geoip vite fait.
hey!!!
un petit truk ou deux qui on marcher pour moi sans etre passer par un mod sans echec
(j’ai pas dit que sa marche forcement avec toute les version) :
tester et aprouver sur celui la : http://www.malekal.com/fichiers/spywares/Ransomware_Ordinateur_bloque.png
debrancher internet (quoique je pance que sur sette version ses inutile)
si le pc ram un peu il y a moyen d’allumez votre pc normalement. fair crtl alt supp le plus rapidement possible dès laffichage du bureau pour atteindre le gestionnair des tache. Chercher dans l’onglets processus, « system » et cliquer sur arreter le processus (vous aurez peu etre besoin de cocher la case « afficher le processus de tout les utilisateurs » pour le voir).
sa va areter tou le system de fichier, bureau exetera, vos icone vont disparetre. vous allez vous retrouverez avec un vieu bureau inutilisable, le gestionnair des tache reste neanmoin ouvert.
vous allez donc dans l’onglet application du gestionnair des tache et cliquer sur « nouvel tache » entrez-y « system »
vou allez y voir tou votre foutoir reaparetre sur votre bureau et je sai pas pourquoi mais le viruse ne fonctionnera pas. il n’y a plus cas suivre la prosedur pour l’eradiquer. toute foi si votre pc ne rame pas du tout, ne vou l’aissan pas le temp d’aficher le gestionnair, je vien de m’imaginer qu’il serai posible d’enlever toute vo barette de ram pour y remedier… pancer ce que vous voulez….
pour celui ci : http://www.malekal.com/wp-content/uploads/virus_gendarmerie_new_design.png
il m’a sufi juste de debrancher internet, la page web (ouioui ses bien une page web enfet) ne se charge pas. et du cou elle ne se met pas en plaine ecran, elle est donc reduisable mais pas fermable.
ne jamais brancher internet avan d’avoir fumer ce truck.
suivre la procedure de desinfection…
encor une autre mais je ne sai plus avec quel version sa a marcher maleureusement…
pour cette petite bidouille il vou faut avoir au moin deux session sur votre ordi… genre la votre et celle de votre arrier grand pere adettons…
allumer le pc normalement sur votre session, laisser fair le virus puis le metre en veille.
(la j’esperes que vous avez le bouton veille sur votre tour ou clavier car je ne connai pas d’otre asstuce pour metre un ordi en veille sans bouton si ce n’est d’atendre 2h… Si ses un ordi portable, juste rabatre l’ecran sufira a le metre en veille si toute foi vou n’avez pas changer vos options)
fétes sortire de veille, votre machine et choisiser l’autre session, celle de votre arrier grand pere, session que vou n’avez pas encor utiliser. bref avec de la chanche, le virus sera inactif sur cette cession et vous serez libre d’entamer la procedure de d’esintox….
ces petite astuce on marcher pour moi jesper qu’il vous serons utiles. toute foi je suis pas un dieux de l’informatique et je n’afirme pas qu’elle marcheron chez vous…. tout depand des cas de figure de chacun.
aussi j’ajouterai que il y a moyen d’utiliser ses astuce pour d’autre version avec de la chance sa donnera quelque chose. bonne chance et vraiment desoler pour mon ortographe.
Merci pour les explications , heureusement que des forums comme celui ci existent , et pensez vous qu’il soit possible de trouver qui poste ces arnaques et de les faires arretter !?!
En tous les cas merci beaucoup pour votre aide !
bonjour je me suis chopé le virus ce matin sur window xp comment puis je faire pour le supprimer.
merci
Ca a marché avec RogueKiller !
Merci les gens !
RogueKiller a fait tout le boulot, ouf!
Merci beaucoup pour ces explications, ce site est vraiment génial!
même en sans echec le virus apparait (au démarage de windows) du coup aucune action possible.
seule solution : plus qu’a formater
un grand merci au programateur, je vous racompte pas la sueur froide que j’ai eu.
je tien juste signalé un petit détail, une foit rogurkiller installer j’ai ésité un petit moment avent de suprimé car j’etait pas sur de la manip, un peutit tuto avec roguekille serrai la bienvenu pour les novice.
enore merci.
Probleme résolu en moins de cinq minutes. Formidable….et merci
Un très grand merci pour l’aide sur win7 résolue rapidos avec l’installation de « Roquekiller »
Scan du registre en une minute et suppression de 3 fichiers cochés.
Merci encore,
slt mercii a ton information c trée gentille
N’ayant pas reussi avec les methodes proposé, j’ai reussi a m’en debarrasser differement.
J’ai demarré via l’invite de commande en mode sans echec puis j’ai activé le compte grand administrateur sous windows 7.
J’ai demarré sur le compte grand administrateur puis installé malwarebyte anti-malware, fais mon scan puis tout supprimés
Quelle belle merde quand meme grr
personnellement sous XP j’ai été confronté a une version qui ne bloquai pas le pc en mode sans echec
Je n’ai pas essayé RogueKiller uniquement malwarebyte qui a détécté et suprimé PUP.Radmin et Exploit.Drop.UR.2, mais après redémarrage en mode normal le message bloquant était toujours là
Si ça peu en aider d’autres :
En fait ce message blocant se lançais simplement par un run c:windowsrbxekied.exe dans le registre je l’ai désactivé avec Msconfig et j’ai suprimé le fichier c:windowsrbxekied.exe (je supose que l’executable peut avoir des nom diférents)
plus de problèmes depuis
personellement je connais très bien le système (Expert en maintenance) donc je suis allé directement sur cet executable vu le nom exotique ^^ mais Pour ceux qui auraient cette variante avec un autre nom d’éxécutable et ne sauraient lequel ça peut être :
on peu tester en mode sans echec en lançant manuellement les executables indiqué dans msconfig pour trouver le bon, et quand on l’a trouvé (message bloque le pc) rebooter de nouveau en mode sans échec et le suprimer.
une fois l’executable suprimé plus d blocage en mode normal et on peut sécuriser son PC en toute quiétude avec les très bons conseils de ce site
vu que les antislash ne sont pas passé sur mon poste je precise que le fichier s’appelais rbxekied.exe (pas windowsrbxekied.exe ) et ce trouvait a la base du répertoire Windows c:windowsrbxekied.exe
Merci infiniment pour ce topic très très bien fait et facile d’utilisation !
Bravo a vous !
Pour ma part sur un micro pc xp (sans disque) et n’ayant accès ni au mode sans échec ni au disque de récupération… ce virus m’a énervée.
Au final avant que la page ne s’affiche j’ai ouvert une fenêtre. J’ai éteint l’ordi mais en empêchant les programmes de se fermer. Au bout d’un moment j’ai eu accès à une invite de commande dans laquelle j’ai entré explorer.exe l’ordi s’est emballé et ne pouvant plus rien faire j’ai redemarré. Au redémarrage plus de message. J’ai toutefois téléchargé RK qui m’a détruit quelques fichiers .exe et maintenant retour à la normale.
Une méthode pas du tout conventionnelle d’éradiquer un virus… mais faute de moyens j’m'en sors pas trop mal.
Un grand merci pour ce site que je connaissais pas et que google m a sorti sur la recherche virus police.
Pour ma part, j avais deux profils, donc methode de zigoto (post laissé plus haut ),
Le truc de dingue c’est le profil de ma femme qui a ete verolé, et cote sites porno, non merci, le truc c est affiché sur son ecran alors qu elle etait sur l inofensif site d une mairie pour une recherche d emploi ! !
Par contre, j ai lance dans un 1er temps seulemnt roquekiller, qui m avais trouvé quatre fichiers veroles, mais pas suffisant, la bete etait tjs vivante , donc j ai installe Malawerbytes, et la, ça marche , apres suppression de 14 autres . . .
Merci, je fonce sur paypal pour un don bien merite.
Stephane, 39 ans.
Cette version du tuto n’est plus à jour. Pour ma part, le mode sans echec (prise en charge ou non reseau) tout était bloqué. Seul le mode en ligne de commande fonctionnait.
J’ai du me servir de mon dual boot (Dieu merci…) et passer un coup de Malwaresbytes sur la partition infectée. Un scan complet (~30min pour 60Go) de la partoche et c’était réglé.
Hello à tous.
Deja merci malekal. J’ai eu le mm virus et en 15min le probleme etait resolu.
Et pour info, Jeremy desole mais tu te trompes. J’ai exactement suivi les instructions de malekal et probleme reglé rapidement.
Donc pour les suivants ce tuto est toujour d’actualité. Voila
A+
Lat
Bonjour !
Est ce que ça fonctionne sous vista?
Et pas de risque pour les photos musique et autre fichiers?
Merci pour la futur réponse !
merci beaucoup pour votre aide
Aucune aide informatique ne sera donnée (désinfection etc) en commentaire, cela ne sert à rien d’exposer vos problèmes ici, allez sur le forum pour obtenir de l’aide : http://forum.malekal.com
Bonjour, moi le problème c’est quand j’allume en mode sans échec avec prise en charge réseau mon ordinateur s’éteint et se relance tout seul avec la page du virus !! Que dois je faire ? Merci beaucoup
Idem que mon predecesseur Alan au-dessus, le mode sans echec ne fonctionne pas de la meme facon: que faire???
OTLPE ou CD Live Kaspersky :
http://forum.malekal.com/otlpe-live-t23453.html
http://forum.malekal.com/kaspersky-live-rescue-t12133.html
Faire une recherche de fichiers sur wgsdgsdgdsgsd et skype.dat
et supprimer tout ce qui est trouvé.
Redémarrer le PC et faire RogueKiller.
Pour une aide personnalisée, allez sur le forum, partie Virus : http://forum.malekal.com/
vous allez rigoler mais j’ai eu le même virus et j’ai repris la main sur mon ordi en « feintant » un arret du systeme
je m’explique :
j’ai ouvert des logiciels grâce aux touches raccourci de mon clavier et j’ai demander l’arret du systeme donc la page du virus s’est eteinte normalement et mon ordi m’a afficher le message comme quoi le systeme va s’eteindre mais qu’il y a encore des applications en cours là j’ai cliqué sur annuler et non pas sur forcer l’arret et voilà de nouveau mon bureau accessible
(je précise que dans mon cas le mode sans echec et sans echec prise en charge du reseau ne marchais pas a chaque fois mon ordi redemarrais)
Bonjour, je n’arrive pas à démarrer en mode sans echec avec prise en charge du réseau mon PC se redemarre à chaque fois comment faire svp
bizarement pour moi rien ne marche et la page sur laquelle le pc est bloqué ma carrément prise en photo avec ma web cam^^
j’ai été infecté hier par ce virus de hadopi, pour rétablir le pc les manip passer en mode sans echec ne marchais pas.
J’ai donc fait une restauration du systeme en appuyant sur f11 et plus aucun problème
j’ai juste fait un scan antivirus, un ccleaner et aussi utilisé rogue killer.
Merci beaucoup pour votre aide…voues êtes très efficaces et pro !
Comme pampam, j’ai suivi la méthode de zigoto et hop, 2 mn de rogue killer et le pb était réglé.
Grand merci à tous (RogueKiller, Zigoto et bien sur malekal.
Merci pour les démarches proposées dans cette page. Elles m’ont permis de sortir de ce mauvais pas.
Conditions :
Sous XP Home avec une variante Urausy du malware (le mode sans échec aboutissait sur la page fatidique).
Particularités par rapport à la méthode proposée :
- la clé de la base de registre « HKEY_LOCAL_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon » contenait bien « explorer.exe »
- Dans %APPDATA%, le fichier « skype.dat » n’existait pas.
Solution mise en œuvre :
- Démarrage à partir d’un live CD possédant une version allégée de Windows (type « Hiren » ou équivalent).
- Connexion au réseau et téléchargement de RogueKiller
- Désinfection à partir de cette même session (mêmes principes que Zigoto) et redémarrage.
Merci MILLE FOIS à Malekal pour ce site et pour ces solutions!
Mais aussi, ENORME MERCI à « big_bucket_KFC » dans son commentaire posté le 2 juillet 2012 à 11:21, car j’étais dans l’impossibilité de démarrer en mode sans échec (le maleware forçait le redémarrage de l’ordinateur, malgré le fait que je lançais windows normalement et dans le mode sans échec).
Comme il l’a conseillé, j’ai appuyé sur Ctrl+Alt+Suppr pour ouvrir le gestionnaire des tâches DÈS que j’ouvrais la session (je n’avais qu’une seule session, donc je ne pouvais pas faire comme certains commentateurs de cette page qui ont pu venir à bout de la bête par une seconde session)…
J’ai trouvé un fichier en cours de fonctionnement nommé « Skype.dat » et l’ai forcé à s’arrêter AVANT que la page blanche du faux Hadopi/gendarme n’apparaisse (bon, ça m’a demandé de recommencer au moins 15 fois en redémarrant l’ordinateur à chaque fois, car il fallait être plus rapide que le maleware…). Et là, il n’y a pas de blocage, j’ai donc retrouvé le contrôle de mon ordinateur, et m’a permis d’installer RogueKiller (ainsi que de faire un scan avec MalewareByte). J’espère en avoir fini avec ce monstre! Et surtout, je penserai à faire un point de sauvegarde des données, dorénavant (on ne sait jamais)!
Comme je ne sais pas ce que le maleware a bien pu collecter comme informations sur moi, j’ai préféré modifier quelques uns de mes mots de passe (c’est peut-être inutile mais on est jamais trop prudents!)
Donc, bonne chance à tous ceux confrontés à ces malewares. Si j’ai réussi à m’en débarrasser, alors vous aussi.
Bonjour, le seul problème que je rencontre est le fait que « del skype.dat » m’affiche accès refusé je suis désolé mais le forum ne m’avance à rien.
Merci beaucoup
Salut !!!!
Merci à malekalmorte,
ça vous laisse sans voix ce p….n de virus, écran fixe avec ma photo prise par ma web cam,
j’ai essayer le mode sans échec (nada), le mode sans échec avec réseau (nada), rebooter (nada), impossible de redemarrer l’ordi normalement sous w7, du coup j’ai essayer l’invite de commande sans échec et au surprise ça fonctionne, suivez bien ces instructions comme expliqué au début de ce topic, car moi c’était bien la variante Urausy mais avec ma photo à la place des menottes.
Invites de commandes en mode sans échec (Seulement variante Urausy)
La variante Urausy créé un fichier %APPDATA%/skype.dat soit donc :
•Pour Windows XP : C:Document And SettingssessioninfecteeApplication Dataskype.dat
•Pour Windows Vista/Seven et Windows 8 : C:UserssessioninfecteeRoamingskype.dat
Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
Pour cela :
•Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
•Choisissez la session infectée ET AUCUNE AUTRE.
•Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/
•tapez la commande dir, vous devez voir dans la liste le fichier skype.dat
•Tapez alors la commande del skype.dat et entrée afin de supprimer le fichier skype.dat
•Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat a bien été supprimé.
•tapez alors shutdown /r afin de redémarrez le PC
Ensuite j’ai téléchargé roguekiller et Malwarebyte, j’ai scanné en premier avec roquekiller qui ma trouvé quelques virus dont hadopi, j’ai supprimé et j’ai fait un autre scan avec malwarebyte, lui aussi m’a trouvé encore deux virus, donc j’ai supprimé et mon ordi fonctionne à nouveau et fait une image disque car ça faisait un moment que je l’avait fait.
Et encore merci à tous !!!
Thierry !!!!!!!!!!!!!!!!!!
Merci beaucoup, grâce à vous je peux désormais re-utiliser mon ordinateur
!
Une belle frayeur avec Vereton qui n’est, grâce à votre site, plus qu’un lointain souvenir … Un grand MERCI !!!!!
Un GRAND merci pour votre aide !
Merci beaucoup pour cette aide j’ai réussit a neutraliser , ayant 14 ans , je suis vite entré en état de panique , mais ayant aussi un peu d’experience en informatique j’ai trouvé une autre petite faille pour voir que c’était un virus et(il m’indiquait que j’étais dans une ville qui n’était pas la bonne et que je ne connaissais meme pas) pouvoir redemarrer l’ordinateur et neutraliser le message jusqu’au au prochain demarrage/redemarrage de la machine.
J’ai trouvé ça de moi meme mais pour cette methode il faut etre un peu rapide :
Tout d’abord une fois connecté a la session , précipitez vous sur la barre d’outil , click droit dessus et ouvrir le gestionnaire des taches et allez dans l’onglet processus , une fois dedans repérez au plus vite les processus contenant des descriptions du genre « Processus de tache Windows… »et arretez les , ce n’est pas la méthode la plus simple mais n’ayant acces qu’a mon ordinateur , je n’ai pas eu d’autre choix mais je doute que de ce fait cet méthode sois utile a beaucoup de personnes qui ont ce probleme.
Mais j’en ai finis avec ce virus grace a ce site , donc merci beaucoup.
Un immense merci à tous ceux qui ont enrichi ce site de leur expérience et de leurs compétences, en aidant des néophytes comme moi à pouvoir « réparer » leur ordinateur.
Quand on attrape un virus pour la première fois, (tout en sachant que c’en est un) ça fait très très peur. On se dit que le mec qui a créé ça est 10 000 fois plus intelligent que nous, qu’on n’arrivera jamais à s’en défaire. Merci beaucoup à tous pour avoir partagé votre savoir-faire, j’ai battu le virus!
Pour moi ça a été la restauration du système par le menu qu’on obtient avec f8 (les autres méthodes n’avaient rien donné). J’ai choisis « réparer l’ordinateur » puis il m’a proposé la restauration. Ensuite il faut vite mettre à jour ses logiciels et ne plus jamais ô grand jamais les négliger!! J’ai retenu la leçon.
Mille merci enfin dépégé de ce virus de m…. Nécité pas a installé rogue killer et anti-malware et surtout a faire f8 et commande sans echec avec … de toute facon tout est expliqué ici .Franchement bravo ca evite d aller au réparateur ki morrai pri des sous que g pas .
Bref je regardai un clip rap américain sur you tube et va si débarque cette page de flics jme suis di ca i est le rappeur a du dire fuc the police et ca i est on me bloque le pc mai ou va ton la liberté exprétion g failli me rendre au commissaria avec mon pc mais heuresement en cherchan un peut jme suis apercu que ct un virus . Quelle logiciel pourai men protégé a l avenir ?