Trojan.Winlock / Tropan.Ransomware : Virus Police (suite)

Un billet pour faire suite de ce billet sur les ransomware imitant des messages de la police : http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

J’ai enfin pu mettre la main sur la version Française via ce topic sur le forum (merci pour l’upload) : http://forum.malekal.com/virus-non-detecte-t35043.html

Le message d’alerte ci-dessous  :

Opérations sur les activités illégales ont été détectées sur votre ordinateur
Votre système d’exploitation a été verrouillé pour cette infractions. Vos actions sont considérées comme illégales en France et dans l’Union européenne. Votre adresse : xxxx
Cette Adresse IP a été détectée et signalée aux autorités policières. L’utilisateur de cette IP pour utiliser cet ordinateur pour voir pornographique contenant des éléments vidematerialov de la pornographie enfantine, la bestialité et la violence contre les enfants. En outre, ces fichiers ont été trouvés par nos scanners sur votre disque dur de votre e-mail personnelle ont été trouvés, a envoyé des e-mails comme spam, et à également constaté des e-mails avec un caractère terroriste. Nos serveurs ont l’ordinateur d’arrếter vos activités illégales. Nous vous faisons un avertissement officiel et définitif. 

Comme on peux le constater le message est vraiment mal redirigé, très certainement à cause de l’utilisation d’un traducteur (l’auteur du malware ne doit pas être français).
Pour ce qui est d’un avertissement officiel, on repassera, les logos Symantec, McAfee, Kaspersky et Microsoft pour soit disant légitimer l’avertissement, c’est vraiment léger.
Les ransomwares allemands ont l’air plus réalistes.

Le sample récupéré est bien détecté :

http://www.virustotal.com/file-scan/report.html?id=761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899-1323357485

File name: mahmud.exe
Submission date: 2011-12-08 15:18:05 (UTC)
Current status: finished
Result: 23/ 43 (53.5%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.08.02	2011.12.08	Trojan/Win32.Obfuscated
AntiVir	7.11.19.28	2011.12.08	TR/Offend.kdv.460046
AVG	10.0.0.1190	2011.12.08	Pakes.KZE
Comodo	10885	2011.12.08	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.12.08	Trojan.Winlock.4018
Emsisoft	5.1.0.11	2011.12.08	Trojan-Spy.Win32.SpyEyes!IK
F-Secure	9.0.16440.0	2011.12.08	Trojan:W32/Ransom.P
GData	22.301/22.560	2011.12.08	Trojan.Generic.KDV.460046
Ikarus	T3.1.1.109.0	2011.12.08	Trojan-Spy.Win32.SpyEyes
Kaspersky	9.0.0.837	2011.12.08	Trojan-Dropper.Win32.Dapato.qqh
McAfee	5.400.0.1158	2011.12.08	Artemis!B2B12C18DD26
McAfee-GW-Edition	2010.1E	2011.12.08	Artemis!B2B12C18DD26
Microsoft	1.7903	2011.12.08	Trojan:Win32/Ransom.DU
NOD32	6691	2011.12.07	a variant of Win32/Kryptik.WVB
Norman	6.07.13	2011.12.07	W32/Zbot.YFP
Panda	10.0.3.5	2011.12.08	Trj/CI.A
PCTools	8.0.0.5	2011.12.08	Trojan.Gen
Sophos	4.71.0	2011.12.08	Mal/Zbot-EZ
Symantec	20111.2.0.82	2011.12.08	Trojan.Gen
TrendMicro-HouseCall	9.500.0.1008	2011.12.08	TROJ_GEN.R3EC7L8
VBA32	3.12.16.4	2011.12.08	Malware-Cryptor.ImgChk
VIPRE	11219	2011.12.08	Trojan.Win32.Generic!BT
ViRobot	2011.12.8.4815	2011.12.08	-
VirusBuster	14.1.104.0	2011.12.07	-

Additional information
Show all
MD5   : b2b12c18dd26e30d69b64518ea074637
SHA1  : b2bdbb2f27dbe9f46cc9bd070fc16ad37fb5c01c
SHA256: 761528759ff705c12e6a65bbb1a98ecd8f3a76134e52aa0c1d163225bbded899

Désinfection

Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.

Windows Seven

Pour Windows Seven, vous pouvez faire une restauration du système au démarrage via l’option Réparer l’ordinateur.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez : Réparer l’ordinateur.
Pour plus d’informations, se reporter à la page : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Windows XP/Vista

Essayez de démarrer en mode sans échec avec prise en charge du réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez mode sans échec avec prise en charge du réseau.
Si Windows est accessible, téléchargez et faire un scan Malwarebyte’s Anti-Malware, mettez le bien à jour et bien faire supprimer selection une fois le scan terminé : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Via l’invite de commande en mode sans échec

Si pas mieux, il faut aller en invite de commande en mode sans échec.
Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Sur la fenêtre cmd.exe, tapez regedit et validez

Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
A droite, chercher Shell, il doit y avoir la valeur malicieuse avec mahmud.exe (si mahmud.exe n’est pas présent, c’est que vous avez la version Gendarmerie Nationale : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/ ).
Double-cliquez dessus.

Effacez tout et mettez explorer.exe à la place.
Validez par OK. Fermez toutes les fenêtres et tapez exit pour redémarrer l’ordinateur.

 Avec un CD Live (toutes versions de Windows)

Dernière solution avec un CDLive,
Du coup, le malware est chargé très tôt et en même mode sans échec.
Vous pouvez le faire depuis OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
ou Ultimate Boot CD :  http://www.malekal.com/download/UBCD4WinBuilder.iso

Voici un exemple avec Ultimate Boot CD, allez dans le menu Démarrer / Programs puis Registry Browser

Les clefs du registre sont celles de l’OS du CD Live et non celui de votre Windows.
Il faut charger la ruche du registre de votre Windows afin d’avoir accéder au clef.
Pour cela, positionnez vous sur HKEY_LOCAL_MACHINE

Cliquez sur le menu File et Load Hive
En bas positionnez Files of Type sur All files, puis naviguez dans vos dossier pour aller dans C:\\WindowsSystem32\\config
Vous devez avoir une liste de fichiers comme ci-dessous, double-cliquez sur SOFTWARE (celui sans extension à la fin).
Un nom vous sera donné, ce sera le nom du dossier contenant la ruche de votre Windows, donnez par exemple le nom SOFTWARE AVEC VIRUS.

Déroulez l’arborescence de SOFTWARE AVEC VIRUS puis SOFTWARE puis Microsoft puis Windows NT puis CurrentVersion puis Winlogon
A droite chercher la clef Shell, double-cliquez dessus et mettez explorer.exe à la place.
Validez et redémarrez l’ordinateur

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 243 times, 1 visits today)

67 thoughts on “Trojan.Winlock / Tropan.Ransomware : Virus Police (suite)

  1. Hello,
    Très bonne explication, mais le malware peut il être ailleurs car quand je fais le chemin jusqu’à winlogon j’ai bien explorer.exe
    Du coup je ne sais pas où le trouver
    Merci d’avance pour les conseils

  2. Salut XRI,

    regarde au niveau des clefs HKEY_USERS pour chaque sous dossiers, tu vas dans la clef Winlogon voir la clef Shell.

    Sinon c’est dans la clef Run mais tu dois avoir accès au bureau en mode sans échec.

  3. Salut,
    C’est une bonne explication mais une fois que je suis arrivé dans « Shell », surprise il y avait déjà écrit « explorer.exe » alors je me demande comment je vais réussir à débloquer mon Pc sous xp ??

  4. Par curiosité j’ai recherché « malware » dans regedit et j’ai trouvé un fichier appelé « help present malware for access your computer » c’est normal ??

  5. Je pense qu’il ya une version qui remplace carremment explorer.exe
    Donc ce que tu peux faire c’est remplacer dans la clef Shell explorer.exe par iexplore.exe
    et redémarrer en mode normal.

    Tu auras Internet Explorer tout seul lancé, mais pas de malware.
    Lance pas explorer.
    Essaye d’uploader C:\Windows\Explorer.exe vers http://upload.malekal.com

    Si malicieux :

    Je t’ai mis un explorer.exe en zip pour Windows XP SP2 (ça doit marcher sur Windows XP SP3).
    http://www3.malekal.com/explorer.zip
    Le prendre, le dézipper et le mettre à la place de C:\Windows\explorer.exe
    Ensuite tu lances Explorer (genre CTRL+ALT+Suppr et Menu Fichier / Nouvelle tâche et explorer.exe et OK).
    Si ça lance Exploreur sans virus, c’est gagné.

    Lancer regedit et remettre explorer.exe dans la clef Shell.

  6. Donc après avoir remplacée la clé par iexplorer.exe et redémarré en mode normal ma session c’est ouverte et il y avait seulement mon bureau avec aucune icône seulement mon fond d’écran et pas d’explorer .
    J’ai réussi a ouvrir firefox via le gestionnaire de tâches.Mais ensuite je ne trouve pas le fichier a uploader .

  7. Bonjour à tous,

    Un des ordinateurs familiaux sous XP est touché par le virus ‘Gendarmerie nationale’.
    Le symptôme est l’affichage du message indésirable sans que l’on puisse avoir accès au gestionnaire de tâches.
    J’ai donc penser que j’étais en présence de la version qui remplace le shell.
    J’ai essayé de procéder à un lancement sans échec mais j’arrive sur une ‘fenêtre de connexion Windows’ qui reste inerte.
    J’ai alors tenté de passer à via l’invite de commande mais une fois encore, je débouche sur la même fenêtre Windows inerte. Dans ce cas, l’apparition de cette écran est précédé par une fênêtre noire qui indique en bas ‘loading D467bus.sys’.
    Avez-vous des pistes pour sortir cette situation ?
    Merci à tous.

  8. Moi sous Windows Seven il etait caché ici :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    Il etait appelé mahmud.exe

  9. Bonjour,

    J’ai été victime de l’escroquerie Gendarmerie nationale…
    De part les fautes j’ai vite compris que c’était bidon, mais là où j’ai eu des doutes c’est qu’en redémarrant mon ordi mon bureau (avec uniquement la corbeille visible et non cliquable) est devenu noir et un message de restriction.
    Apparemment il y a 3 types d’escroquerie:

    Une forme qui créé une clef Run

    Une autre forme qui modifie la clef Shell

    Et la dernière variante qui remplace Explorer.exe

    Laquelle ais-je été victime ?

  10. Victime du fameux virus « gendarmerie nationale »
    J’ai essayé le mode sans echec, mais en arrivant sur l’interface windows, c’est comme si mon mot de passe avait changé, je ne peux donc pas aller sur le bureau et me connecter. Que faire ??

  11. Bonjour,

    J’ai le notebook infesté par le virus « gendarmerie » depuis hier. Je suis sous XP. La page « gendarmerie » me prend tout, je n’ai plus de bureau.

    J’ai essayé la méthode que vous préconisiez (invite au commande en mode sans echec). J’ai fait « regedit », l’editeur de registre s’est ouvert. Si sur la fenetre de gauche, je trouve bien Hkey local machine (mais pas de SoftwaremicrosoftwindowsNTcurrentversionWinlogon), sur la fenetre de droite, il n’y a rien, pas d’arborescence et pas de Schell.
    Je ne connais pas grand chose dans tout cela.
    Auriez vous une autre solution pas à pas pour me débarasser de ce virus ?

    Je vous remercie par avance

    Rekha

  12. Bonjour à tt le mode

    Je n’arrive pas à démarrer le PC en mode sans échec ou invite de commande en mode sans échec => le pc exige un mot de passe mais il ne veut pas démarrer alors que le user et mot de passe sont correct (il s’agit d’un PC d’entreprise)

    Merci d’avance pour votre aide

  13. Attention, maintenant ils rajoutent le logo officiel de la gendarmerie ainsi qu’un logo marqué RF (pour République Française) mais non officiel.

  14. Hello, pfou, bah j’ai aussi choppé cette m**** et ce truc désactive le gestionnaire des tâches, les commandes type windows et tout…
    Bref, je ne vais pas détailler tout le pourquoi du comment mais effectivement, la solution radicale avec LiveCD fonctionne. Plus qu’à nettoyer les débris et à remettre à niveau. Comme quoi, beaucoup seraient des Sebs dans ce genre de billet : http://sebsauvage.net/rhaa/index.php?2011/02/01/08/05/40-malekal (thanks)

  15. Comme beaucoup de monde je suis moi aussi victime du virus gendarmerie j’ai donc suivit les conseils donnes mais en lançant invite de commande j’ai a peine le temps d’entrevoir la fenêtre que mon ordi s’éteint automatiquement je ne sais donc pas quoi faire…si vous avez des solutions .. Merci d’avance

  16. Bonsoir,
    Ce soir, je viens de me faire aussi avoir par le virus. Remplacement de mon bureau par un bureau virtuel et impossible de faire quoi que ce soit.

    J’ai appliquer la solution téléchargement de malwarebytes. Le trojan a été trouvé et supprimé.
    Par contre maintenant à chaque démarrage j’ai une petit fenêtre rundll qui m’indique que le fichier supprimé (le trojan) n’est pas disponible.

    Question : comment je peux faire en sorte que windows arrete de chercher à lancer le virus ?

  17. Merci
    malheureusement mes disques dur ne sont pas détectés donc impossible de remplacer explorer.exe
    je vais tenter avec OTLPE ….

    YEEEEEEEEEEEEEEEES !!
    ça a marché

    MERCI BEAUCOUP
    ( Mon moteur favori ma suggérait de formater le disque dur ;-DDDDD

  18. bonjour

    bon bin moi aussi j’y ai eu droit
    je suis tout de suite allée à la gendarmerie de Tréguier (22220)
    ils m’ont confirmés que c’est un virus et mon transmis cette adresse http:/
    en me disant que j’aurais 1 programme exécutif à enregistrer sur une clé USB
    que je fixe après sur mon ordi contaminé pour nettoyage automatique
    le problème c’est que là y’a rien qui me correspond
    car j’ai 1 tout petit ordi de poche
    1 Eee PC asus avec windows 7 édition Strater
    et à la page noire y’a pas l’option réparer les erreurs
    en + je suis vraiment une grosse
    mais alors très grosse nule en informatique

    pouvez-vous me venir au secours
    en + c’est mon ordi de boulot

    au secours

  19. Bonjour à tous,
    Je suis pas très doué en informatique, mais j’ai essayé et là je plante gravement… : pour virer ce virus Gendarmerie, j’ai donc suivi les étapes préconisées. En mode sans échec simple, ça ne change rien. En mode sans échec invite de commande, j’ai changé la Shell par « explore.exe », validé, fenêtre fermées, mais impossible de redémarer en faisant « exit ». Ca ne marche pas.
    J’ai donc arrêté le pc avec le bouton arrêter.
    Quand il a redémaré, ca ne s’est ouvert que sur une page bleue ! Plus de fond d’écran !!
    QUE FAIRE ??? J’ai besoin de mon ordi, et là je sature de passer des heures à tenter vainement de faire ces bricolages qui ne marchent pas. Je lis partout que ça marche pour les autres, alors pourquoi je n’y arrive pas ?
    Merci d’avance pour votre aide !
    Mathieu.

  20. Bonsoir… J’ai tout essayé pour me débarrasser de ce virus mais rien à faire.
    Lorsque je demande un démarrage sans echec ou invite de commande, mon ordi me demande systématiquement de choisir le système d’exploitation, et comme je n’en ai qu’un (windows xp) je le selectionne et donc le démarrage se fait sous la page du virus ….
    J’ai même essayé al solution montrée en vidéo avec clic droit > enregristrer l’image, rien ne se passe avec le clic droit.
    Je desespère … C’est l’ordi pro de mon copain et il a tout dessus !
    Merci d’avance pour votre aide…

  21. Moi aussi ! j’y ai eu droit ….
    Un bel encart de la « police » avec tout le baratin.
    Et pour l’enlever …
    Déjà j’ai dû couper l’alimentation électrique, ensuite j’ai fait un démarrage sans échec
    Là dessus j’ai fait fonctionner mon antivirus, à savoir microsoft security essentials, j’ai lancé une analyse complète … qui a duré 2 heures quand même. Résultat : nickel !
    Bonne chance

  22. bonsoir,

    Voila , j’ai suivie toute les étapes a la lettre et sans succès la fenêtre malicieuse reviens a chaque fois m’empêchent d’accéder au gestionnaire de tache et tt le reste , et la valeur  » Shell  » est :  » cmd.exe /k start cmd.exe  » au lieu de celle citées ci-dessus. je ne sais pas si se virus infestes les fichers ( music film etc …) stocker sur le disque car au pires des cas je formaterais et passerai sous linux

    merci d’avance de votre aide

    Cordialement AngryDuck

  23. Bonsoir,

    Quelle m… ce truc.
    Je viens de passer la journée sur un PC infesté avec cette chose et rien à faire sinon réinstaller en doublon un autre système d’exploitation pour pouvoir au moins ouvrir une session et accèder à un bureau.
    Mais ce n’est pas encore gagné car maintenant, il faut refaire toute la configuration.
    J’ai tout tenté: la clef, malware, CD live, changement de explorer.exe … et rien n’a fonctionné

    Grrrrrrrrrrrrrrrrrrrrrrrrrrr

    Bon courage

    DG

    PS: et je suis dans l’informatique !!!

  24. Bonjour

    Depuis le 12 janvier j’ai été victime 3 fois de ce virus ( je ne sais pas laquelle des 3 formes m’a infecté mais passons) et à chaque fois ce qui a résolu le problème a été une restauration système ( faites à partir de la réparation du système affichable au démarrage avec F8).

    En tout cas merci pour cet article qui m’a permis de savoir d’où venaient ces virus et comment m’en protéger.

  25. Salut,

    L’infection se propage par des exploits sur site WEB via des publicités malicieuses (malvertising) qui visent les sites de streaming.

    Un exploit sur site WEB ( voir http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html ) permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
    Exemple avec un Exploit Java : http://www.malekal.com/2011/06/17/java-exploit-en-augmentation-tdss-hiloti/

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

    Maintiens tes logiciels à jour c’est important, utilise ce programme : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
    Absolument à faire.

  26. je ne suis pas très doué en informatique et j’ai bien galéré pour me débarrasser du virus, je n’arrivais pas à accéder à internet, taper iexplore. ex ne donnais rien non plus, puis en mode « invite de commande en mode sans échec », j’ai tenté cd restore, puis cd system32 (si je me rappelle bien) et j’ai pu restaurer mon système comme il était avant le virus, avec tous mes fichiers. Je précise que je suis sur Vista version familiale. Peu après avoir retrouvé mon ordi comme avant, je me suis retrouvé sur une page où je ne pouvais plus rien faire (page affichant avast ou de norton, je ne sais plus). Là, j’ai fait CTRL+ALT+Suppr et j’ai redémarré. Je n’ai plus eu de soucis par la suite.
    Désolé de mon imprécision, mais peut être que ça pourra servir à quelqu’un qui comme moi galère.
    Merci de votre aide à tous.

  27. en fait, il faut restaurer le système, comme le dit Wrandral juste avant moi, si c’est possible de le faire directement à partir du menu de démarrage, encore mieux!

  28. JE SUIS PAS TRES CALE EN INFO ? JAI TELECHARGER KAPERSKY RESCUE DISK POUR BOOTER ET SCANNER VIA UNE CLE USB CAR MON NOTE BOOK A PAS DE CD ROOM JAI LANCE UN SCAN COMPLET DU PC CELA VA IL MARCHER? MERCI BEAUCOUP POUR VOS REPONSES

  29. Pas si gros que ça le virus, un petit demarrage en mode sans echec, puis un tour dans la base de registre, et lancer l’analyse anti virus. Réglé en 5minute.Je créais ce genre de virus quand j’avais 15ans.
    Enfin bon quelques conseils en cas similaire(pour être sur la bonne voie):
    Demarrage en mode sans echec ou sous live cd(methode plus radicale).
    Regedit => HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run désactivez les clés qui vous parraissent suspectes.
    Services windows => Mettez en demarrage>désactivez ce qui vous parrait suspect.
    un tour dans le dossier demarrage du menu démarrer pour voir s’il n ‘y a pas de raccourcis vers le virus.

    Et une bonne analyse anti-virus avec bases à jour.(n’oubliez pas d’analyser aussi vos support amovibles et de faire gaffe voir désactiver les autorun sur vos systèmes.)
    En esperant avoir mis sur le chemin de la guérison de nombreux internautes.
    Cordialement,
    Un chef d’entreprise informatique qui galère sur le net ^^.

  30. Bonjour,
    J’arrive à changer la clé Shell et à mettre « explorer.exe » comme décrit ci dessus, mais l’ancienne valeur revient dès que je lance l’ordi. et je tombe alors sur mon panneau figé qui me bloque le bureau
    Quid ?

    Merci

  31. Bonsoir je galère pour me débarrasser de cette saleté.
    Je tourne sur vista service pack 1, des que j’essaye de remplacer l’ explorer.exe j’ai un message d’erreur me disant que c’est pas possible, et l’habituelle boîte de dialogue me demandant la permission de remplacer le fichier ne s’affiche pas. Que faire?

  32. j’ai procéder à désinfecter mon ordi mais a chaque fois j’arrive pas à avoir la connexion pour télécharger un nouveau explorer. j’ai utilisé ‘ regedit’ mais avec mode sans échec pas de connexion.

  33. bonjour,
    j ai chopé le virus hier, je suis sous xp professionnel et j ai une session utilisateur.
    Quand je démarre en mode sans échec j ai 2 sessions la mienne plus la session administrateur.
    Sous la session administrateur je trouve le fichier shell explorer j ai réussis a le changer mais une redémarré je suis obliger d aller sous ma session et je ne trouve pas le fichier explorer que j’ai changé!!
    j ai fais la meme manip sous ma session me je trouve pas le fichier shell … explorer !
    que dois je faire!

  34. J’ ai simplement réinstallé le système en effectuant un formatage long. Ayez toujours le réflexe de sauvegarder vos données. Ou passer a linux.

  35. Merci IN-FI-NI-MENT Malekal pour ton aide sur ce virus/malware, si tu n’avais pas mis à disposition ta procédure sur le web, j’etais mort. Ca, et ma partition Ubuntu en dual-boot, qui m’aura sauvé les fesses une fois de plus !
    Pour ma part, je suis tombé sur la version ou il faut renommer twexx32.dll, et heureusement car les modes sans échec ne marchent pas ! (font un reboot au bout d’un moment).
    Je vais essayer de mettre à jour plus souvent mes logiciels, mais franchement, c’est chiant (et c’est la porte ouverte au bloatware).
    Si tu passes dans le coin, je t’offre une bière mon pote !!

  36. Bonsoir
    J’ai réussi une seule fois à aller sur la page des options avancées j’ai cliqué sur mode sans echec et pas sur invite de commandes ça n’a pas fonctionné. Maintenant je n’arrive plus à aller sur la page des options en plus j’avais appuyé sur F2 et gratté dans tous les lignes ecrites en anglais(!!!!) car F8 ça ne dionne rien. Mon PC est un Packard Bell! Savez-vous ce que je peux faire?
    D’avance merci
    Andréa

  37. Bonjour a tous
    je possède un Vista et j’ai « réussi » à chopper une « Version OCLCTIC » (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) de ce virus. J’arrive pas a m’en défaire. Cette version a l’air beaucoup plus coriaces que les autres :s aidez moi…..

    Merci pour tout!!!!!!!!

  38. Bonjour à tous,
    je viens d’être victime de ce virus j’ai contacté la Sacem (dont le sigle était affiché sur le virus) car j’avais des doutes, ils m’ont expliqué comment réagir, j’ai photographié mon écran et leur ait envoyé la photo comme ils me l’ont conseillé, puis j’ai été au commissariat de police où il m’ont fourni une marche à suivre pour relancer mon ordi, on y trouvait le lien pour cette page et une autre marche à suivre quand c’est explorer.exe que le virus à remplacé, aucune de cers solutions n’a marché, en revanche la solution proposée plus haut pour Windows Seven a fonctionné, j’ai redémarré mon ordi avec les données d’il y a trois jours en appuyant sur F8 après la première page d’acceuil puis en cliquant sur « réparer l’ordinateur » au lieu d' »invite de commande », et sur restaurer le système dans la fenetre suivante et ça a fonctionné.
    voilà le lien(toujours sur ce site): http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
    Pour l’instant mon ordi fonctionne normalement et je n’ai pas perdu mes données, j’ai installé en plus Malwarebytes qui est conseillé sur ce site.

  39. Bonjour. Je rencontre le MM. Pb que vous. Je suis avec Windows xp (ordi perso) et lorsque j’arrive dans l’invite de commande, impossible d’accéder au registre.
    J’ai : c:\Windows\system32 et si je tape regedit cela m’affiche « la modification du registre a été désactivée par votre administrateur. Voilà, galère…

  40. Bonjour ,

    Mon Ordinateur est assez vieux et en autres langues donc sa me donne des difficultés , il est en Window XP professional Pack 3

    J’aifait invite de commande sans echec et tout le tralalala .. Puis quand je vais sur le dossier shell je double-clique sur un fichier sans nom sur le truc d’en haut on ne peut pas écrire et il n’y a rien d’écris , j’ai tout de même essayer de mettre explorer.exe mais quand je redémarre toujours le trojan qui me bloque à la vie ….. :'(
    Aideeeeezzz moi j’vous en suplie

  41. Bonjour,

    J’ai été victime ce matin du ransomware sacem sur un PC Windows Vista. Pas de possibilité d’aller sur mode sans echec, ni d’invite de commande, ni de restauration d’une session précédante comme sur Windows 7.

    A l’aide d’un autre PC, j’ai gravé un CD du UBCD, mais n’ai jamais réussi à charger ma base de registre avec Registery Browser. Un autre CD basé sur OTLPE plante au milieu du boot.

    Pour m’en sortir, j’ai utilisé mon UBCD pour accéder aux fichiers windows et ai supprimé tous les fichiers/répertoires se trouvant dans C:\Users\*\AppData\Local\Temp en espérant que ce répertoire porte bien son nom. A partir de là, le mode sans échec a fonctionné,et j’ai pu changer ma clef de registre où j’ai trouvé un emplacement pour Shell à C:\Users\myname\AppData\Local\Temp\soap0_pack.exe. Je ne sais pas si cette possibilité peut aider sachant qu’elle est un peu « brutale »

    Merci pour l’aide apportée par ce site

  42. Bonjour,

    pour info maintenant le mahmud.exe s’appel preshell.exe, vous pouvez le faire sauter en le remplaçant par explorer.exe

  43. Merci de votre aide grace au forum j’ai pu restaurer mon ordi j »avais choppé le virus de la gendarmerie encore merci de vos conseils …..Marc

  44. Je suis infecté mais pas facile d’aller sur le forum quand il ne reste que le téléphone pour le faire alors ce serait cool de m’aider tout de meme…

    Là je suis rapidement chez un pote pour passe ce message…
    J’ai testé la méthode en mode sans echec commande en ligne mais la ligne su shell est bonne…

    Je n’ai pas pu remplacer le explorer.exe de mon pc infecté car en mode sans echec apparemment on ne peut connecter de clé usb pour faire un copy…

    J’ai testé la méthode en remplacant la clé regedit par iexplorer .exe
    mais le virus apparait tout de meme…
    En fait j’ai constaté que si je change la clé shell regedit, après avoir relancé le pc en mode normal, le virus est toujours là, et quand je reviens en mode sans echec avec ligne de commande la clé shell est de nouveau à explorer.exe

    Me reste à tester le ultimate boot cd car l’autre j’ai rien compris à son fonctionnement…

    Voilà ou j’en suis

    si vous pouvez m’aider par mail ce serait cool,j ep eux lire les mail sur mon phone

    merci d’avance

    Dany

  45. merci je testerai pour l’instant j’en suis au live cd, j’ai pas réussis à piger comment chercher la base de registre donc du coup je passe un coup de antivir complet…
    Mais je n’arrive pas à voir d’acces reseau par ce biais là…

    SpybotSD ne veut pas se lancer non plus car il manque normaliz.dll

    alors j’attend le resultat de antivir mais je peux peut etre aussi télécharger la dernierre version de malware surun clé pour le passer sur le pc infecté puisque je peux accéder aux clés usb avec le live cd…

    J’ai remplacé le exporer.exe avec l’explorateur de fichier du live cd, on verra à la fin du test de virus…

  46. Le mode sans echec ne ffonctionne pas, je me retrouve toujours sur la page du virus…

    Actuellement j’ai lancé le live cd (ultimate boot cd) mais impossible de ce connecter au reseau

    Pour spybot il me répond qu’il manque le fichier Normaliz.dll

    Je suis en train de passer un scan antivir mais est ce que ce sera efficace si je n’ai pas la dernière mise à jour?

    J’ai essayé d’installer malware que j’ai sur une clé USB mais si je l’installe sur la clé y a pas moyen de le lancer, puis je l’installer temporairement en RAM? De toute façon n’ayant pas accès au net je ne pourrai pas faire la mise à jour…
    Existe-t-il une version portable à jour?

    j’ai copié la version explorer.exe donnée plus haut dans w:/windows avec l’explorateur du live cd…

    J’attend la fin du scanne et eventuellement vos autre id&ée…

    merci encore

  47. j’ai reussis un truc aujourd’hui sans faire expres

    il y a deux boutons sur mon pc, un pour allumer qui sert aussi à éteindre si on reste dessus lontemps
    et un bouton pour réinitialiser

    et bien lorsque la fenetre du virus était là, impossible à quitter par tous lesmoyens essayé (ctr alt sup, ctrl alt pause, alt F4, etc…)
    Et bien en appuyant un coup bref sur le bouton d’allumage la fenetre est partie et j’ai eu windows as pas entièrement chargé… Du coup j’ai pu lancer malware avec mise à jour… Là ca scanne donc je sais pas encore si ce sera ok,m ais au moins jai pu acceder à windows et faire les backups qui n’étaient pas encore faits…

  48. Bonjour,
    Mon père a eu le même problème (la fenêtre qu’il a eu n’est pas présente sur le forum, je pense), cependant, j’ai pu désinfecté le PC avec le Rescue CD de Kaspersky (que j’avais dans la version boîte de KIS 2013 [et KIS 2012 aussi]). Ce live CD est disponible en téléchargement (gratuit). Par contre, j’avais peut-être optimisé la configuration (recherche minutieuse, etc.).

    Tout ça pour dire de penser à cette solution qui est peut-être plus simple et valable même si ces malwares évoluent puisqu’on bénéficie des mises-à-jour de la base virale de Kaspersky.

    Cordialement.

  49. Merci beaucoup pour vos explications claires qui m’ont permises de nettoyer le shell en question.
    (1er virus en 12 ans sur mes ordinateurs !)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *