Virus Gendarmerie/Police Nationale/Virus Hadopi/Virus Interpol

Le ransomware/rançon logiciel Virus gendarmerie (voir la page sur les virus fake police) dans un nouveau design : Ce blocage de l’ordinateur sert à la prevetion de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la deorgation de lois de la Republique.

Ce ransomware propage par exploits sur site WEB via des malvertising :

Mettez à jour vos programmes ! sinon votre PC est vulnérable !

Il existe maintenant deux variantes du « virus Hadopi »  :

La variante Urausy – normalement le mode sans échec ne fonctionne pas : Agence Nationale de la sécurité des systèmes d’information – Haute autorité pour la Diffusion des Oeuvres et la Protection des Droits sur Internet.
Cette variante se caractérise par la présence de l’image avec les menottes.
Cette variante empêche normalement le démarrage en mode sans échec.

Urausy_new_skin

La variante Reveton – l’image des menottes est remplacée par une WebCam.
Le démarrage en mode sans échec est possible pour cette variante :

Reveton_virus_Interpol

Attention, une autre variante « Office Central de Lutte contre la criminalité liée aux technologies de l’information et de la comunication » sans le logo HADOPI, se reporter à la page : http://www.malekal.com/2013/04/11/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/

Office_Central_Lutte_Criminalite_technologies_information_communication

Ci-dessous quelques captures d’anciennes variantes :
Ransomware Reveton : Office Central de lutte contre la criminalité

 

Autre variante avec l’Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication qui ont été diffusées par le passé :Ransomware Activite illegale demelee

Virus Police Nationale : activite illégale révélée

Activite illégale a été révélée / Activite illicite démélée :

Ransomware Activite illegale a été revélée

Désinfection

Mode sans échec (version Reveton)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Téléchargez sur le bureau : http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
  • Lancez RogueKiller.exe.
  • Attendez que le Prescan ait fini
  • Lancez un scan à partir du bouton Scan en haut à droite.
  • RogueKiller doit détecter des éléments msconfig / CTFMON comme ci-dessous :

Reveton_Urausy_Skin6

  • Une fois que le scan est terminé, cliquez sur Suppression à droite.

Redémarrez l’ordinateur, le malware doit être éradiqué.
Suivez le dernier paragraphe « Après Désinfection » pour sécuriser votre ordinateur.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Restauration du système en invite de commandes en mode sans échec (toutes versions)

Lancer une restauration en invite de commandes en mode sans échec – voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166263

http://www.youtube.com/watch?feature=player_embedded&v=bpp2x88ys7E

Si vous êtes sur Windows Seven, lancer une restauration du système à partir du menu « Réparer mon ordinateur ».
Voir second paragraphe : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

RogueKiller en invite de commandes en mode sans échec (Windows Vista/Seven – toutes variantes)

Désinfection par RogueKiller en invite de commandes en mode sans échec par clef USB.
Suivre ce tutorial : http://www.malekal.com/2012/01/10/virus-hadopi-gendarmerie-office-central-lutte/

RogueKiller_invite_commandes2

 

Regedit en invite de commandes en mode sans échec (Seulement variante Urausy)

  • Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
  • !!! Choisissez la session infectée !!!
  • Tapez Regedit et validée par entrée – Cela doit ouvrir l’Editeur du Registre.

Urausy_regedit5

  • Déroulez en cliquant sur les + HKEY_CURRENT_USER
  • Déroulez Software
  • Déroulez MicrosoftUrausy_regedit
  • Déroulez Windows NT
  • Cliquez sur Winlogon
  • A droite, vous devez avoir une clef Shell.Urausy_regedit2
  • En double cliquant dessus, vous devez avoir explorer.exe,chemin/skype.dat (si vous avez pas skype.dat, laissez tomber)
  • Effacez tout pour n’avoir que explorer.exe et Valider
    Urausy_regedit3
  • Fermer l’éditeur du registre
  • tapez la commande ci-dessous sans faute avec les mêmes espace pour redémarrer l’ordinateur
    Urausy_regedit4

Invites de commandes en mode sans échec (Seulement variante Urausy)

La variante Urausy créé un fichier %APPDATA%/skype.dat ou %APPDATA%/cache.dat soit donc :

  • Pour Windows XP : C:/Document And Settings/sessioninfectee/Application Data/cache.dat
  • Pour Windows Vista/Seven et Windows 8 : C:/Users\sessioninfectee/Roaming/cache.dat

Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
Pour cela :

  • Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
  • Choisissez la session infectée ET AUCUNE AUTRE.
  • Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/ (Vista / Seven / 8 ) ou C:/Documents and Settings/SessionInfecte/Application Data (Windows XP)
  • tapez la commande dir, vous devez voir dans la liste le fichier skype.dat OU AltShell.dat

Urausy_invites_commandes_sans_echec2

Urausy_AltShell

  • Tapez alors la commande del AltShell.dat ou del skype.dat selon celui qi est présent et entrée afin de supprimer le fichier AltShell.dat / skype.dat
  • Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat ou AltShell.dat a bien été supprimé.

Urausy_invites_commandes_sans_echec

  • tapez alors shutdown /r afin de redémarrez le PC

Urausy_invites_commandes_sans_echec3

CD Live Malekal

Démarrer le PC infecté sur le CD Live Malekal.
Lancer un scan RogueKiller, puis faire Suppression à droite.
Redémarre l’ordinateur, vous devriez être débarrassé du ransomware.

Se reporter à la page : http://www.malekal.com/2013/02/22/malekal-live-cd/

Live_CD_Malekal_RogueKiller

CD Live Kaspersky

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliqué sur la page suivante : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Cliquez sur le menu pour obtenir le Terminal

Kaspersky Windows Unlocker

Dans la fenêtre noire, saisir windowsunlocker (respecter la casse) :

Kaspersky Windows Unlocker

Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous :  C:\Documents and Settings\Mak\Application Data\flint4ytw.exe

En vidéo : http://www.youtube.com/watch?v=7Jn6yKH2r1w

Centre de sécurité et mode sans échec non fonctionnel

Si le centre de sécurité est non fonctionnel suite à ce ransomware Reveton.
Se reporter au paragraphe « Rétablir le centre de sécurité après Reveton » de la page : https://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html

Urausy supprime les clefs Safeboot qui empêche le redémarrage en mode sans échec, il est possible de remettre les clefs en suivant les instructions de cette page:  http://forum.malekal.com/mode-sans-echec-bsod-stop-0x0000007b-t36550.html

Après la désinfection – Très important

Changer vos mots de passe WEB (Facebook, Mails, SN, jeux en ligne etc), ces derniers peuvent avoir été récupérés.

Il est ensuite conseillé d’effectuer un scan Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peut infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Vous pouvez aussi installer HOSTS Anti-PUPs/Adwares qui devrait filtrer les publicités clicksor.

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Variantes étrangères

En d’autres langues (merci http://secuboxlabs.fr/kolab/) :

 

Atention ! Cuerpo Nacional de Policia :

EDITION au début février 2012 :

quelques autres captures : http://secuboxlabs.fr/kolab/api?hash=da6016eccf90097e4053c62ce7654ce6dca2674f

EDIT MI Fevrier 2012

Nouveau Skin : Office Central de la lutte contre la ciminalité liée aux technologies de l’information et de la communication : Activite illicite demelée!

EDIT MAI 2012

Le screen a été modifié : http://www.malekal.com/2012/05/12/virus-police-nationale-francaise-activite-illegale-revelee/

Virus Police Nationale : activite illégale révélée

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 716 times, 5 visits today)

159 thoughts on “Virus Gendarmerie/Police Nationale/Virus Hadopi/Virus Interpol

  1. Hello Mak,

    Les TDS ont des DNS enregistrés chez Directi qui pointent chez l’américain SoftLayer Technologies Inc sur l’IP 173.193.73.87 ( mais nos tests montrent une présence de 173.193.73.80 à 173.193.73.95 ) et sont enregistrés par les noms d’emprunts Piotr Pushkin (pppiotr88@gmail.com) alias Vasiliy Pushkin (vasili006@gmail.com) ce qui permet de réaliser une connexion avec les évènements Malvertising + FakeAV. Citons, par exemple, le billet du père Nico et les travaux de Wayne Huang :
    – (24.03.2011) http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
    – (31.08.2011) http://blog.armorize.com/2011/08/malvertising-on-yahoo-yieldmanager.html

    Ces TDS redirigent bien évidement sur plusieurs kits, ici nous n’aborderons que le BlackHole qui nous intéresse, celui-ci pointe en Ukraine chez intergenia AG (Plusserver) sur l’IP 188.138.28.175 qui appartient à Aminahost LLS géré par un individu nommé Vitaly S Dyakov. Une nouvelle fois, les fichiers délivrés par BH et téléchargés par les victimes peuvent être différents à tout moment, c’est pourquoi nous n’aborderons que les fichiers qui permettent d’afficher ce qu’il y a sur la capture d’écran de Malekal. Notez que les fichiers délivrés sont des librairies ; ce qui peut être ennuyeux car il y a moins d’outils automatisés qui prennent les DLL. Les symptômes pour l’utilisateur sont à peu près similaires, générer une gêne permanente et ainsi stimuler la personne avec une dose de peur ( scary tactics ) pour commettre une ou plusieurs actions ( payer la rançon ) dans la précipitation, l’énervement, …. Le chargeur est presque générique et l’adresse IP va déterminer l’emplacement de la charge. Quels sont les changements ? Le premier n’en est pas réellement un puisque nous avions déjà observé cette approche, le programme n’embarque plus avec lui les ressources ( les images, la page, la feuille de style, le javascript ) mais va télécharger les éléments. Le second et c’est une nouveauté sur les versions françaises, c’est que le programme ne va pas se limiter à afficher et gêner ; il va également, de manière silencieuse, télécharger un composant nommé  » images.rar  » crypté puis le décrypter et enfin l’installer. Nos analyses nous ont déjà montrés qu’en fonction du serveur distant, le fichier  » images.rar  » diffère. Pour vous illustrer le problème, le dernier échantillon que nous avons sur notre radar, une fois décrypté est celui-ci:

    http://www.virustotal.com/file-scan/report.html?id=c526f466513e33087ce4963138080989ef933b80a0956403436d51ad28d44edc-1326236049

    Seuls 3 éditeurs antivirus:
    AntiVir : TR/Spy.Gen2 ( TR: Trojan ; Spy: Espion ; Gen : Générique )
    NOD32: variant of Win32/PSW.Delf.OAS ( Plateforme Win32 ; PSW: Password ; Delf ( Delphi )
    Sophos: Mal/Banc-B ( Banc: Steals information, Records keystrokes )

    Cette librairie est un  » stealer  » et son but est de piller vos accès / comptes et par la suite, dérober vos données et accéder à vos informations personnelles ou encore utiliser votre identité, … la liste des possibilités est longue.

    Si vous avez été victime, ne vous limitez pas à seulement éliminer les symptômes visibles.
    Prenez le temps de bien vérifier vos ordinateurs et à la moindre activité suspecte, re-vérifiez la santé de votre machine. Vérifiez bien à ce que votre antivirus soit à jour, recommencez plusieurs fois, sur une durée assez longue, ne plaisantez pas, vous êtes prévenus. Contrairement à l’idée reçue, ces individus ne sont pas des enfants mais des professionnels du crime : s’ils peuvent vous voler, ils le feront sans hésiter. Lors de la dernière campagne qui a débutée lors des fêtes de fin d’année, nous avons été en mesure de suivre plusieurs zombies témoins ( machines infectées utilisées pour la recherche ) et nous savons de quoi ils sont capables. Si vous avez eu de la  » chance » , votre ordinateur a été revendu par lots à des sommes modiques pour servir à des activités criminelles. Pour les moins chanceux, vous avez quelques jours après vos achats, du avoir une mauvaise surprise sur vos relevés bancaires : un moyen pour eux de vous souhaiter la bonne année.

    Même en surfant sur des sites de confiance vous êtes potentiellement exposés ; n’oubliez pas qu’ils utilisent des régies publicitaires légitimes pour se faufiler ! Il est donc très important que vous mettiez à jour votre système d’exploitation et vos logiciels ; surtout vos navigateurs et vos clients de messagerie et bien sûr Adobe Flash, Adobe Reader, Foxit Reader, Adobe PDF, Java. Un système à jour, c’est le premier rempart avant les solutions de sécurité.

    Informez-vous sur ces menaces. Merci Malekal pour tes remontées d’informations, cette collaboration est une excellente idée, ce partenariat est efficace.

    Pour des conseils avisés, nous vous recommandons la lecture du blog personnel de l’officier de gendarmerie, Eric Freyssinet. Un jour peut-être, à force de patience, ces cybercriminels paieront pour leurs actes.

    http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/

  2. comme toujours merci malekal ,malware a fais l’affaire sous seven ,je fais suivre tes conseils de mise a jour de logiciel dorénavant 😉

  3. Salut à tous,
    pour information, le « malware » utilise internet explorer.Dans mon cas, j’utilise firefox mais étant donné qu’internet explorer est toujours installé, l’exploit à pu faire effet.Aprés quelques recherche l’adresse identifié est : 195.14.104.73 et avec un traceroute, il passe par Amsterdam puis transtelecom ,data-center.net et enfin par s01791.htc-s.ru.73.104.14.195.in-addr.arpa (surement le dns du site).

    Voilà je ne sais pas si ca sert a quelque chose mais bon voilà ce que j’ai trouvé sur le « truc ».

    Personnellement je préconise un format radical du pc. Ainsi, c’est plus sûr.

    Bonne chance à tous.

  4. @Karakzho: Vos observations sont erronées. Les navigateurs IE, Firefox, … utilisent des modules, greffons,… des couches logiciels qui viennent apporter des fonctionnalités. Les exploits de ce  » kit  » ciblent ces logiciels, peu importe le navigateur, du moment que les fonctions vulnérables sont embarquées ( vulgarisation ). Sinon pour ce qui termine en .arpa ( le TLD ) c’est le nom générique que l’on donne au domaine dit de premier niveau. Pour plus d’information, cherchez « Arpanet » sur Wikipédia. Le formatage est une action radicale mais pour cette situation c’est excessif et inadapté. Excessif car ce n’est pas suffisamment incrusté pour être une véritable nuisance, le système d’exploitation n’est pas condamné, un nettoyage avec les bons outils accompagné de contrôles sur les activités à l’aide d’un firewall par exemple et tout rentrera dans l’ordre. Tout ou presque. Pourquoi ? Quand le composant de type  » stealer  » est exécuté il commence par rechercher et collecter ce qui l’intéresse et une fois ses tâches terminées, il transfert instantanément les informations volées chez l’américain Interserver, Inc dans le New Jersey sur 64.20.38.90:443/TCP dont la range 64.20.38.88/29 a été achetée par un client privé basé en Ukraine. Conclusion ? Le mal est déjà fait. Il est donc important, quand vous êtes victime d’un malware de type stealer / spy / … de bien veiller, une fois votre système sain, de changer vos mots de passe.

  5. Comment peut on télécharger le logiciel demandé alors que dès qu’on allume l’ordinateur la page apparait (donc on ne peut rien faire)….?
    je viens de chopper ca … –‘

  6. Salut
    J ai ce put… De virus de merde et meme en mode sans echec je n accede a rien sauf a cette page gendarmerie plein ecran sans possibilite de faire quoi que ce soit…
    Need help

  7. Merci beaucoup pour ces infos ! Elles sont simples et efficaces ! G pu dézinguer c’t’abruti d’virus en un rien de temps grace a vous. Et autant vous dire que je me suis précipiter sur les mises a jour ^^

  8. Je n’ai pas l’une de ses 4 lignes … ET POURTANT j’ai bien ce virus…

    O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
    O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
    O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
    O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe

  9. Moi aussi pareil, ça fais 2 jours que je me renseigne partout . J’ai fais le démarage en mode sans échec, télécharger le logiciel mais je n’ai pas trouvé l’une des 4 lignes dont vous parlez …

  10. Bonjour,
    Merci beaucoup pour ce post qui m’a permis de me débarrasser de ce virus. J’avais vu la mise à jour d’adobe possible mais je l’ignorais 🙁

  11. Bjr a tous
    J’ai le meme soucis sauf que quand je redemarre en mode sans echec sa ne marche pas et sa redemarre automaitiquement en normal…
    Aidez moi svp
    Merci

  12. bonsoir je viens de choper le virus sur la police,gendarmerie et d un coup quand je reallume mon ,mon ecran tout noir et je n ai plus rien,je ne peux me mettre en mode sans echec ,et quand je mets un cd d installation ,je en peux rien faire on dirait que tout est bloqUE
    pourriez vous m aider merci

  13. Bonjour

    grosse panique ce matin avec cette saloperie qui me bloquait l’ordi….conseils trouvés ici apres recherche Google et probleme resolu avec Rogue killer et malware byte

    merci !

  14. Bonjour,

    Alors, mon ordi a choppé le virus en question. Problème : je n’arrive pas à accéder au mode sans echec, j’ai un écran bleu. J’ai toujours la possibilité de démarrer avec un CD linux mais je ne sais pas trop ce qu’il faut aller chercher.

    Un conseil?

    Merci beaucoup

  15. Bonjour,

    Mon ordi a attrapé ce virus, j’ai suivi vos instructions mais en mode sans echecs avec prise en charge du reseau je n’arrive pas a me connecter a internet pour telecharger rogue killer, il est marqué connectivité limitée autant en wifi qu’en prise ethernet. Comment puis je faire pour me connecter a internet s’il vous plait ?

    Merci d’avance.

  16. Bonjour
    J’ai chopée ce put*in de virus hier , je m’en suis enfin débarrassée au bout de 4h de persévérance … Sauf que depuis facebook est lent trèèèès lent ?? Ca a un rapport ou bien ça vient tout simplement de facebook ? Sinon tout marche bien ainsi qu’internet et les autres sites…

  17. Bonjour à tous. Lorsque je commande le demarrage de mon ordi en mode sans échec avec prise en charge réseau, mon ordi me propose, avant l’ouverture de windows, de choisir soit entre administrateur soit entre Bureau. En choisissant l’un ou l’autre je retombe inévitablement sur la page du virus!!! Je suis donc incapable de télécharger quoi que ce soit!!! Que faire? Merci

  18. COMMENT S’EN DEBARRASSER DEFINITIVEMENT? Car depuis mon message du début de cet après-midi, 2 fois qu’il revient et que je le contre avec le démarrage sans échec! On a l’impression d’être entré sans savoir comment dans quelque cauchemar de science fiction!

  19. Il suffit de suivre les instructions à la lettre, tout est expliqué. Après avoir téléchargé roguekiller, lance un scann et supprime les éléments détectés depuis le mode sans échec. Puis redémarre normalement et le problème est réglé. En profiter pour mettre à jour les programmes défaillants vecteurs du virus ( adobe notamment, pour moi ct ça en tout cas )
    Merci pour la clarté et l’utilité de vos infos !

  20. Merci à vous, ma copine s’est retrouvée bloquée en 2 sec par ce truc, grâce à vous PB réglé en 2 sec également.

    Merci beaucoup.

  21. Merci beaucoup pour cette aide FOOORRRRRMIDABLE!!! 😀 Heureusement que vous êtes là!!! Simple, rapide et efficace!!! Surtout quand on ne s’y connait pas vraiment en informatique!! 😉

  22. Boujours voila j’ai eux se probleme ! et j’ai trouver une solution sette page ! Faire f12 … Et je clique sur la disquette pour enregistrer les modification … Et je clique droit sur Exemple … image ouvrire … Avec un autre onglet ! Et Je vais dans les panneau … et je fait restaurer le systeme !

  23. Merci tout plein pour l’aide !

    J’ai passé Roguekiller et il me l’a supprimé. Par contre en repassant Malwarebytes Antimalware il me l’a retrouvé ! ( et du coup effacé de nouveau ).

    Pour l’instant il n’est pas revenu …. Je croise les doigts !

  24. Bjrs j’ai eu ce virus récemment , ( variante 2012 ) plus coriace lol et pour le résoudre j’ai tout simplement fait une restauration système . l’avantage c’est que vous gardez tout ce qui était auparavant sur le disc dur ainsi qu’avec les pilotes . solution ( menu demarer – tout les programme – accessoire – outils système et restauration système ensuite choisissais une restauration 24h00 avant ou 3 jours avant peu importe et le virus n’est plus . salut

  25. J’ai eu ce virus cette nuit … Ce n’est pas le premier qui agit de la sorte et bloque toute opération sous Windows.

    Une restauration système m’a permis de supprimer ce virus.

    Mais ce ne fut pas simple. Les invites en ms dos ne fonctionnait pas, Windows en mode sans échec non plus…

    Marre de ces virus sans intérêt si ce n’est vous pourrir la vie …. déjà compliquée!!

  26. bonjour, je viens de me faire coincé par ce virus… et impossible de démarrer en mode sans echec… sous XP pro. çà boucle avec un écran bleu très rapidement et çà repart en mode page démarrage à choix multiple… puis je faire autrement que de formater tout mon systeme?
    merci

  27. Bonjour,
    Idem au dessus sans réponse, je ne peux télécharger roguekiller car le pc sous vista ne trouve pas de connection internet en mode sans échec (normalement je suis en wifi), bref je tourne en rond depuis midi grrr…
    ou bien suis je trop nulle? (c’est possible!!!)

  28. Bonjour,
    J’ai essayé de redémarrer en invites de commandes mon PC (Windows Vista). J’ai suivi les instructions mais la page est toujours là. Je n’ai accès à rien d’autre.
    Comment faire pour télécharger quoi que ce soit. Que puis-je faire d’autre???
    Merci de m’aider!!

  29. un grand merci a vous j’ai suivi les instructions a la lettre et mon virus a été stopper je peux réutiliser mon ordi merci !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  30. bonjour à tous
    j’ai chopé ce virus ce matin sur mon ordi professionnel
    j’ai essayé de faire les manipulations ci dessus mais ça ne marche pas
    je fais invite commande en mode sans echec puis
    regedit puis
    je remplace shell : explorer.exe par iexplore.exe
    je redemarre l’ordi en mode normal et là j’ai toujours l’image gendarmerie nationale ça n’a rien changé !!!
    j’ai un pc acer et je travaille sous xp pro

    merci de votre aide

  31. Complétement désinfecté par antimalwarebyte.
    rogue killer n’avait rien trouvé et donc rien oté…
    Fait à distance sur le micro d’une amie.
    Pour ceux qui auraient le soucis.
    Amicalement

  32. j’ai un problème je voudrais surpprimer la ligne startup mais je n’ai pas celles que vous ditent j’en n’ai 3 autres

  33. Bonjour,
    Je suis xp et j’ai ce virus. J’ai essayer RogueKiller, sa a rien donner. J’ai essayer HijackThis, j’ai eu aucune des ligne à supprimer. J’ai aussi renommer explorer.exe mais je n’ai pas trouvé twexx32.dll.

    Merci de votre aide

  34. Bonsoir,
    J’ai eu l’attaque de cette saleté de virus !mais moi je ne sais pas comment j’ai fais j’ai pu acceder a internet et a tout le reste de mon pc… le virus étais sur une page réduite dans ma barre menu …jai lancer un scan anti virus (le nom je ne sais plus) et bisarement la page du virus est parti! depuis hier soir il n’est plus réaparu je pence et j’espere m’en etre débarassé !
    Si quelqun a le cas que j’ai eu je suis la 😉
    Et merci pour ces info sa ma soulagé !
    bye 🙂

  35. Merci beaucoup, a vous tous escellent travail je ne peu faire de don vus ke j’ai 14 ans mais j’en aurai volontier fait 1 !!!

  36. un grand merci a vous tous pour ce sujet ….
    j ai reussi grace a « roguekiller « et SURTOUT GRACE A VOTRE AIDE a me debarrasser de cette m…..
    bon courage a tous ceux qui ont ce probleme

  37. Hello,

    tuto pour la version light sous seven:

    1- démarrage de l’invite dos sans échec par F8 au boot du PC
    2- taper explorer : non je suis pas un clown ça marche vraiment puisque explorer.exe pas touché
    3- chercher dans c:\programdata\local settings\temp un répertoire à une date et heure proches de l’infection
    4-dedans juste un fichier .exe : le supprimer
    5-lancer regedit
    6-se rendre à HKLM\software\microsoft\windows\currentversion\policies\explorer\run et o miracle on retrouve une valeur qui contient le même nom de fichier que celui trouvé à l’étape 4
    msbfol.exe pour moi.
    7-faire un clic droit sur Run dans la partie de gauche de regedit et choisir autorisations
    8-cocher controle total pour tout le monde
    9-suprimer la valeur en question
    10-redémarrer

    Merci à tous, les commentaires m’ont étaient très utiles,
    il est 01h35, bebete chopée à 23h17 en faisant mes majs critiques…. lol !
    seven récupéré!
    petite astuce : durant l’affichage du fake, la manip « touche windows » + tab fonctionne, on peut voir ses programmes fonctionnaient. Ce n’est que de l’affichage. Du moins pour la version que j’ai chopé

    Bonne nuit !

    SeB

  38. Bonjour, merci pour vos posts ! ! grâce à eux, je pense m’être aussi sortie de ce virus.
    Mais je continue à craindre pour mes données …J’ai utilisé roguekiller, fait fonctionné mon antivirus, mis a jour toutes mes applications sur chacune de mes sessions (même si une seule était infectée). Mais je ne sais pas comment être parfaitement sûre que le virus a disparu ?
    En tout cas, plus de fenêtre de blocage avec l’image « office central de luttre contre la criminialité…. » avec le loup ! en ouvrant une autre session et en téléchargeant roguekiller, j’ai pu me débarasser de l’image ! Puis j’ai fait tout ce que j’ai compris des différents post.
    J’espère que cela servira à d’autres.
    Merci encore

  39. Salut a toi Malekal!

    jai utiliser ta methode via « regedit » mais jai plus d’icone sur mon bureau ni de menu demarrer. j’ai juste un ecran noir, et je ne peux qu’executer des applis que via le gestionnaire des taches!
    tu peux m’aider?

  40. après redémarrage en mode sans échec, j’ai sélectionné l’option restauration du système à une date antérieure et pour l’instant ca marche

  41. Les autorités ne peuvent pas arreter et mettre en prison les auteurs de ces virus
    qui nous empoisonnent la vie et notre travail?

  42. Merci,merci,merci et encore merci, grace a vos explications j’ai put sauver mon ordinateur et mes études peut être aussi.

  43. Le PC de mon fils a été infecté par la dernière version du virus. Nous avons utilisé RogueKiller.
    Un seul trouvé: c’était le bon !

  44. Punaise, dire que j’étais à deux doigts de reformater…
    Merci Roguekiller et Malekal pour toutes ces précieuses infos !

  45. Je suis sous XP et j’ ai Antivir pro comme antivirus et j’ ai attrapé ce virus , j’ ai essayé de suivre vos conseil mais quand je redemarre en mode sans echec sa ne marche pas et sa redémarre automatiquement en normal…que dois je faire . Merci de vos conseil .

  46. Bonsoir, j’ai eu ce virus et j’ai réussi à régler le probleme, apparement il fonctionne comme cela:
    – Il ouvre internet explorer avec cette page
    – il met la page en plein écran
    – il vous enleve ensuite le « explorer.exe »

    Du coup si on ne sait pas la procédure, on ne sait pas comment faire.

    Donc pour vous aidez:

    – Enlevez le mode plein ecran à l’aide de la touche raccourci (f10 ou f11)
    – Ouvrez le gestionnaire de tache
    – Dans « nouvelle tache » faites « explorer.exe »

    Et normalement vous pouvez a nouveau voir votre ordinateur en entier sans le bloquage.

    – Ensuite telechargez Autoruns, c’est un logiciel qui permet de voir les logiciels qui s’ouvrent au demarrage de Windows.
    – Puis chercher un logiciel qui est publié par « Ghisler » quelques chose comme ça.
    – Desactivez/Supprimez le

    Faites un nettoyage avec Malwares bits et le tour est joué, redemarrez votre ordi est c’est bon.
    Pour fini, faites vos mises à jours Java et Acrobat Reader car personnelement, après avoir eu ce virus j’ai eu des difficultés à lire des .pdf, enfin je sais pas si pour vous c’est pareil ^^.

    Enfin voilà, en esperant avoir pu vous aidez.

  47. J’ai une infection police & gendarmerie j’ai suivi vos conseils, j’ai lancé roguekiller dont l’analyse m’a donné des résultats, ne voyant pas option 2 marqué nulle part, j’ai cliqué sur suppression et l’analyse ne donne plus de résultat, j’ai relancé windows (XP) en mode normal et l’infection est toujours là, j’ai donc essayé avec Hijackthis, mais les résultats ne correspondent pas aux lignes que vous indiquez :
    O4 – HKCU..Run: [Smad] C:UsersMuratAppDataLocalSanctionedMediaSmadSmad.exe
    O4 – Startup: 0.06341666119046385.exe.lnk = C:WindowsSystem32rundll32.exe
    O4 – Startup: 0.9297235573927787.exe.lnk = C:WindowsSystem32rundll32.exe
    O4 – Startup: wpbt0.dll.lnk = C:WindowsSystem32rundll32.exe
    Ces lignes n’apparaissent pas, je ne sais pas quoi faire, HELP!!! Grand MERCI d’avance.

  48. Bonjour,

    Et bien voila c’est mon tour, J’en ai attrapé un aussi mais pas comme ceux que l’on peut trouver au dessus En entête, il y a Police Nationale et Gendarmerie et plein d’autre petit logo et toujours la demande de payer une amande a l’aide de Paysafecard et Ukash.

    Je suis sous XP, J’ai essayé en mode commande MS Dos mais ça ne démarre pas sous ce mode, ça revient au mode normal.
    J’ai trouvé la possibilité d’ouvrir une fenêtre (CRLT + O) pour aller chercher le fichier twexx32.dll mais il n’y est pas dans le répertoire Windows, j’ai quand même essayé de renommer explorer.exe mais sans succès.
    J’ai essayé de lancer mon antimalware toujours en passant par crtl + O mais rien ne se passe.
    J’ai essayé aussi de lancer l’exécutable de restauration système mais rien là non plus.

    J’ai pas de LiveCD pour faire d’autres tests (sauf une vieille version de kubuntu mais il n’arrive pas a lire mon disque dur (formatage NTFS non supporter)

    Bref là je ne sais plus quoi faire, donc si vous avez les moyens de m’aider ca serait super.
    Merci

  49. MERCI!!!!
    je vous remercie pour ce site qui ma beaucoup aider

    j’ai eu vraiment tres peurt quand j’ai vu ce virus j’ai que c’etait un vrai avertisement de la gendarmie je vous remercie du font du coeur merci merci.

    ps : dsl pour les fautes d’hortographe

  50. slt ca etait mon tour, et oui ukash a squaté mon ordi : hijackthis n’a pas fonctionner , par contre roguekiller l’a déboité en 2 temps 3 mouvements.

    merci pour l’astuce. merci beaucoup

  51. Bonjour,

    je sous XP et le mode sans echec ne fonctionne pas.
    Pouvez-vous me proposer une solution???

    Merci pour votre aide, j’en ai vraiment besoin….

  52. Merci pour la méthode de dévirussage (sous XP : mode sans échec + 4 commandes console + restauration)

    Un de mes étudiants a été attaqué aussi et il a trouvé mieux : débrancher puis rebtancher le modem, l’adresse IP étant (non fixe) changée son virus avait disparu

  53. Bonjour,

    Merci pour toutes ces informations qui ne m’ont hélas pas pu résoudre le blocage d’un PC sous XP par ce « virus ».

    Je pense qu’il s’agit d’une variante (le bandeau est légèrement différent), c’est pourquoi je vous indique la façon dont on peut s’en débarrasser :

    – c’est un exécutable qui se trouve dans %WINDIR% \ system32 avec un nom composé de chiffres (0.8….exe) créé à la date de l’infection (21/03/12)

    – il se lance automatiquement à la fin de l’ouverture de session :
    H_L_M \ SOFTWARE \ Microsoft \ CurrentVersion \ Run : clef Update : 0.8….exe

    Il suffit de démarrer avec un Live CD (Ubuntu dans mon cas) et de supprimer/renommer l’exécutable pour débloquer la machine (on enleve la clef du registre ensuite).

  54. Vous pouvez tout aussi bien faire scanner votre dd ( avec avira par exemple )

    moi javais un autre dd sous la main, j’ai réinstaller windows , scanné le dd infecter , j’ai récupe les données que je voulais puis j’ai formater mon dd qui était infecter pour plus de sécurité .

    Juste pour dire qu’il n’y a pas de risque d’infection d’un dd à l’autre en fesant un scan 😉

  55. bonjour,
    j’adore votre site
    pour ce qui est de cette cochonnerie de malware, combofix fait tres bien le boulot
    quand le demarrage en mode sans echec est possible
    merci a vous pour votre aide en general

  56. Bonjour,
    Comment faut t’il faire? Je ne comprend pas !
    Dès que j’allume mon ordinateur le virus apparaît et je ne peux plus rien faire.

  57. Nickel
    Alors moi j’ai fait control+alt+sup
    j’ai fermé ma session
    j’ai ouvert sur celle de ma femme , sans soucis
    j’ai executer roguekiller , qui m’a trouvé une entrée suspecte que j’ai éliminé
    retour sur ma session , nickel

    Merci à tous , et merci au devellopeur de roguekilleur

  58. Un tout grand merci, j’ai été attient de la version Belge si cela vous interesse j’ai une capture de l’ecrant.

    Merci a vous et a Roguekilleur

  59. Merci Mec! Vraiment super! Rapides, simples et efficaces, tes explications m’ont permis de me sortir d’un vrai faux pas! A bas ces virus à la con!

  60. Bonjour,
    J’ai eu ce virus tout à l’heure et j’ai lancé rogue et antimalware. Tout refonctionne correctement.
    J’ai 2 questions :
    1) Je nettoies mon pc systématiquement avec ccleaner une fois que je quitte mon pc (soit plusieurs fois par jour.. minimum 2 fois). Mes mots de passe et identifiants ne sont normalement plus dans le pc ? donc à priori pas besoin de les changer ?
    2) Une fois nettoyé et que le virus n’apparait plus, peut on aller sur les sites et rentrer nos mdp et identifiants sans crainte ?
    merci d’avance

  61. En réponse à atch:
    Normalement CCleaner fait bien son travail et aucun MDP ne devrait se trouver sur votre PC après nettoyage. Pour ce qui est du 2) j’imagine que c’est OK mais on n’est jamais trop sûrs. Je conseille de changer de MDP de temps en temps.

    Pour ma part, j’ai été infecté par le scareware avec la bannière de l’OCLCTC il y a 2 semaines. Avant même d’essayer RogueKiller (que je conservais sur un clé USB), j’ai redémarré mon ordinateur en mode sans échec (mon ordi tourne sous Win7) et j’ai lancé une analyse en ligne de commande avec AVG -Je n’ai pas conservé le rapport donc je ne me souvient plus exactement du fichier en cause, mais en tout cas il venait de Temp- ; à la fin de l’analyse j’ai redémarré mon PC et le message avait disparu.

    Une semaine plus tard, j’ouvre ma session quand l’écran apparaît à nouveau! Je m’apprêtais à recommencer la manip exécutée auparavent, quand le message a disparu et une fenêtre d’AVG s’est affiché, signalant un virus. Après la mise en quarantaine et le redémarrage du PC, le message n’est plus apparu.

    Selon AVG la menace venait d’un fichier MSUFLF.cmd:
    http://i.imgur.com/2Rz08.jpg

    Ce scarware n’est donc peut-être pas si tenace que ça. Un coup de chance?

  62. Moi,j’ai eu la 2eme edition de la page,mais grace a advanced system care et ccleanner ja’i suprimer le fichier malveillant.

  63. Merci pour le post de F2lt
    En versions XP Pro, je n’arrivais pas à ouvrir quoi que ce soit même en mode sans echec. Pas moyen non plus de restaurer une ancienne version.
    Avec kerspersky CD rescue, j’ai pu supprimer le fichier. Facile à trouver et à détruire avec le File Explorer.
    Par contre winpatrol n’a rien détecté et encore moins Windows. Le vrai virus c’est Windows qui permet de créer de telles données dans la base de registre (qui est d’ailleurs un vrai foutoir) sans autorisation!!!!!

  64. Bonjour,

    sur la version « Office Central de la Lutte contre la Criminalité liée aux Technologies de l’information et de la Communication – contenu illicite demelee »

    Windows XP Pro – Impossible de démarrer en mode sans echec – BSOD à chaque fois.
    Demarrage sur une distribution Linux USB
    Explorateur de fichier :OS\Documents and Settings\xxxxx\Local Settings\Temp
    On trouve des fichier du type ggdgoikljupzsrobtux.exe créés au moment de l’infection il a suffit de les supprimer pour que tout revienne dans l’ordre.

    un fois revenu sous Windows, un petit coup de RogueKiller et ça tourne…

    Merci pour vos informations.

  65. hey!!!
    un petit truk ou deux qui on marcher pour moi sans etre passer par un mod sans echec
    (j’ai pas dit que sa marche forcement avec toute les version) :

    tester et aprouver sur celui la : http://www.malekal.com/fichiers/spywares/Ransomware_Ordinateur_bloque.png

    debrancher internet (quoique je pance que sur sette version ses inutile)
    si le pc ram un peu il y a moyen d’allumez votre pc normalement. fair crtl alt supp le plus rapidement possible dès laffichage du bureau pour atteindre le gestionnair des tache. Chercher dans l’onglets processus, « system » et cliquer sur arreter le processus (vous aurez peu etre besoin de cocher la case « afficher le processus de tout les utilisateurs » pour le voir).

    sa va areter tou le system de fichier, bureau exetera, vos icone vont disparetre. vous allez vous retrouverez avec un vieu bureau inutilisable, le gestionnair des tache reste neanmoin ouvert.

    vous allez donc dans l’onglet application du gestionnair des tache et cliquer sur « nouvel tache » entrez-y « system »

    vou allez y voir tou votre foutoir reaparetre sur votre bureau et je sai pas pourquoi mais le viruse ne fonctionnera pas. il n’y a plus cas suivre la prosedur pour l’eradiquer. toute foi si votre pc ne rame pas du tout, ne vou l’aissan pas le temp d’aficher le gestionnair, je vien de m’imaginer qu’il serai posible d’enlever toute vo barette de ram pour y remedier… pancer ce que vous voulez….

    pour celui ci : http://www.malekal.com/wp-content/uploads/virus_gendarmerie_new_design.png
    il m’a sufi juste de debrancher internet, la page web (ouioui ses bien une page web enfet) ne se charge pas. et du cou elle ne se met pas en plaine ecran, elle est donc reduisable mais pas fermable.
    ne jamais brancher internet avan d’avoir fumer ce truck.
    suivre la procedure de desinfection…

    encor une autre mais je ne sai plus avec quel version sa a marcher maleureusement…

    pour cette petite bidouille il vou faut avoir au moin deux session sur votre ordi… genre la votre et celle de votre arrier grand pere adettons…

    allumer le pc normalement sur votre session, laisser fair le virus puis le metre en veille.
    (la j’esperes que vous avez le bouton veille sur votre tour ou clavier car je ne connai pas d’otre asstuce pour metre un ordi en veille sans bouton si ce n’est d’atendre 2h… Si ses un ordi portable, juste rabatre l’ecran sufira a le metre en veille si toute foi vou n’avez pas changer vos options)

    fétes sortire de veille, votre machine et choisiser l’autre session, celle de votre arrier grand pere, session que vou n’avez pas encor utiliser. bref avec de la chanche, le virus sera inactif sur cette cession et vous serez libre d’entamer la procedure de d’esintox….

    ces petite astuce on marcher pour moi jesper qu’il vous serons utiles. toute foi je suis pas un dieux de l’informatique et je n’afirme pas qu’elle marcheron chez vous…. tout depand des cas de figure de chacun.
    aussi j’ajouterai que il y a moyen d’utiliser ses astuce pour d’autre version avec de la chance sa donnera quelque chose. bonne chance et vraiment desoler pour mon ortographe.

  66. Merci pour les explications , heureusement que des forums comme celui ci existent , et pensez vous qu’il soit possible de trouver qui poste ces arnaques et de les faires arretter !?!
    En tous les cas merci beaucoup pour votre aide !

  67. même en sans echec le virus apparait (au démarage de windows) du coup aucune action possible.

    seule solution : plus qu’a formater

  68. un grand merci au programateur, je vous racompte pas la sueur froide que j’ai eu.

    je tien juste signalé un petit détail, une foit rogurkiller installer j’ai ésité un petit moment avent de suprimé car j’etait pas sur de la manip, un peutit tuto avec roguekille serrai la bienvenu pour les novice.

    enore merci.

  69. Un très grand merci pour l’aide sur win7 résolue rapidos avec l’installation de « Roquekiller »
    Scan du registre en une minute et suppression de 3 fichiers cochés.
    Merci encore,

  70. N’ayant pas reussi avec les methodes proposé, j’ai reussi a m’en debarrasser differement.
    J’ai demarré via l’invite de commande en mode sans echec puis j’ai activé le compte grand administrateur sous windows 7.
    J’ai demarré sur le compte grand administrateur puis installé malwarebyte anti-malware, fais mon scan puis tout supprimés
    Quelle belle merde quand meme grr

  71. personnellement sous XP j’ai été confronté a une version qui ne bloquai pas le pc en mode sans echec
    Je n’ai pas essayé RogueKiller uniquement malwarebyte qui a détécté et suprimé PUP.Radmin et Exploit.Drop.UR.2, mais après redémarrage en mode normal le message bloquant était toujours là

    Si ça peu en aider d’autres :
    En fait ce message blocant se lançais simplement par un run c:\windows\rbxekied.exe dans le registre je l’ai désactivé avec Msconfig et j’ai suprimé le fichier c:\windows\rbxekied.exe (je supose que l’executable peut avoir des nom diférents)
    plus de problèmes depuis

    personellement je connais très bien le système (Expert en maintenance) donc je suis allé directement sur cet executable vu le nom exotique ^^ mais Pour ceux qui auraient cette variante avec un autre nom d’éxécutable et ne sauraient lequel ça peut être :
    on peu tester en mode sans echec en lançant manuellement les executables indiqué dans msconfig pour trouver le bon, et quand on l’a trouvé (message bloque le pc) rebooter de nouveau en mode sans échec et le suprimer.

    une fois l’executable suprimé plus d blocage en mode normal et on peut sécuriser son PC en toute quiétude avec les très bons conseils de ce site 😉

  72. vu que les antislash ne sont pas passé sur mon poste je precise que le fichier s’appelais rbxekied.exe (pas windowsrbxekied.exe ) et ce trouvait a la base du répertoire Windows c:\windows\rbxekied.exe

  73. Pour ma part sur un micro pc xp (sans disque) et n’ayant accès ni au mode sans échec ni au disque de récupération… ce virus m’a énervée.

    Au final avant que la page ne s’affiche j’ai ouvert une fenêtre. J’ai éteint l’ordi mais en empêchant les programmes de se fermer. Au bout d’un moment j’ai eu accès à une invite de commande dans laquelle j’ai entré explorer.exe l’ordi s’est emballé et ne pouvant plus rien faire j’ai redemarré. Au redémarrage plus de message. J’ai toutefois téléchargé RK qui m’a détruit quelques fichiers .exe et maintenant retour à la normale.

    Une méthode pas du tout conventionnelle d’éradiquer un virus… mais faute de moyens j’m’en sors pas trop mal.

  74. Un grand merci pour ce site que je connaissais pas et que google m a sorti sur la recherche virus police.

    Pour ma part, j avais deux profils, donc methode de zigoto (post laissé plus haut ),

    Le truc de dingue c’est le profil de ma femme qui a ete verolé, et cote sites porno, non merci, le truc c est affiché sur son ecran alors qu elle etait sur l inofensif site d une mairie pour une recherche d emploi ! !

    Par contre, j ai lance dans un 1er temps seulemnt roquekiller, qui m avais trouvé quatre fichiers veroles, mais pas suffisant, la bete etait tjs vivante , donc j ai installe Malawerbytes, et la, ça marche , apres suppression de 14 autres . . .

    Merci, je fonce sur paypal pour un don bien merite.

    Stephane, 39 ans.

  75. Cette version du tuto n’est plus à jour. Pour ma part, le mode sans echec (prise en charge ou non reseau) tout était bloqué. Seul le mode en ligne de commande fonctionnait.
    J’ai du me servir de mon dual boot (Dieu merci…) et passer un coup de Malwaresbytes sur la partition infectée. Un scan complet (~30min pour 60Go) de la partoche et c’était réglé.

  76. Hello à tous.
    Deja merci malekal. J’ai eu le mm virus et en 15min le probleme etait resolu.
    Et pour info, Jeremy desole mais tu te trompes. J’ai exactement suivi les instructions de malekal et probleme reglé rapidement.
    Donc pour les suivants ce tuto est toujour d’actualité. Voila
    A+
    Lat

  77. Bonjour !
    Est ce que ça fonctionne sous vista?
    Et pas de risque pour les photos musique et autre fichiers?

    Merci pour la futur réponse !

  78. Bonjour, moi le problème c’est quand j’allume en mode sans échec avec prise en charge réseau mon ordinateur s’éteint et se relance tout seul avec la page du virus !! Que dois je faire ? Merci beaucoup

  79. vous allez rigoler mais j’ai eu le même virus et j’ai repris la main sur mon ordi en « feintant » un arret du systeme
    je m’explique :
    j’ai ouvert des logiciels grâce aux touches raccourci de mon clavier et j’ai demander l’arret du systeme donc la page du virus s’est eteinte normalement et mon ordi m’a afficher le message comme quoi le systeme va s’eteindre mais qu’il y a encore des applications en cours là j’ai cliqué sur annuler et non pas sur forcer l’arret et voilà de nouveau mon bureau accessible
    (je précise que dans mon cas le mode sans echec et sans echec prise en charge du reseau ne marchais pas a chaque fois mon ordi redemarrais)

  80. Bonjour, je n’arrive pas à démarrer en mode sans echec avec prise en charge du réseau mon PC se redemarre à chaque fois comment faire svp

  81. j’ai été infecté hier par ce virus de hadopi, pour rétablir le pc les manip passer en mode sans echec ne marchais pas.
    J’ai donc fait une restauration du systeme en appuyant sur f11 et plus aucun problème
    j’ai juste fait un scan antivirus, un ccleaner et aussi utilisé rogue killer.

  82. Comme pampam, j’ai suivi la méthode de zigoto et hop, 2 mn de rogue killer et le pb était réglé.
    Grand merci à tous (RogueKiller, Zigoto et bien sur malekal.

  83. Merci pour les démarches proposées dans cette page. Elles m’ont permis de sortir de ce mauvais pas.
    Conditions :
    Sous XP Home avec une variante Urausy du malware (le mode sans échec aboutissait sur la page fatidique).
    Particularités par rapport à la méthode proposée :
    – la clé de la base de registre « HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon » contenait bien « explorer.exe »
    – Dans %APPDATA%, le fichier « skype.dat » n’existait pas.
    Solution mise en œuvre :
    – Démarrage à partir d’un live CD possédant une version allégée de Windows (type « Hiren » ou équivalent).
    – Connexion au réseau et téléchargement de RogueKiller
    – Désinfection à partir de cette même session (mêmes principes que Zigoto) et redémarrage.

  84. Merci MILLE FOIS à Malekal pour ce site et pour ces solutions!

    Mais aussi, ENORME MERCI à « big_bucket_KFC » dans son commentaire posté le 2 juillet 2012 à 11:21, car j’étais dans l’impossibilité de démarrer en mode sans échec (le maleware forçait le redémarrage de l’ordinateur, malgré le fait que je lançais windows normalement et dans le mode sans échec).

    Comme il l’a conseillé, j’ai appuyé sur Ctrl+Alt+Suppr pour ouvrir le gestionnaire des tâches DÈS que j’ouvrais la session (je n’avais qu’une seule session, donc je ne pouvais pas faire comme certains commentateurs de cette page qui ont pu venir à bout de la bête par une seconde session)…
    J’ai trouvé un fichier en cours de fonctionnement nommé « Skype.dat » et l’ai forcé à s’arrêter AVANT que la page blanche du faux Hadopi/gendarme n’apparaisse (bon, ça m’a demandé de recommencer au moins 15 fois en redémarrant l’ordinateur à chaque fois, car il fallait être plus rapide que le maleware…). Et là, il n’y a pas de blocage, j’ai donc retrouvé le contrôle de mon ordinateur, et m’a permis d’installer RogueKiller (ainsi que de faire un scan avec MalewareByte). J’espère en avoir fini avec ce monstre! Et surtout, je penserai à faire un point de sauvegarde des données, dorénavant (on ne sait jamais)!

    Comme je ne sais pas ce que le maleware a bien pu collecter comme informations sur moi, j’ai préféré modifier quelques uns de mes mots de passe (c’est peut-être inutile mais on est jamais trop prudents!)

    Donc, bonne chance à tous ceux confrontés à ces malewares. Si j’ai réussi à m’en débarrasser, alors vous aussi. 🙂

  85. Bonjour, le seul problème que je rencontre est le fait que « del skype.dat » m’affiche accès refusé je suis désolé mais le forum ne m’avance à rien.
    Merci beaucoup

  86. Salut !!!!
    Merci à malekalmorte,
    ça vous laisse sans voix ce p….n de virus, écran fixe avec ma photo prise par ma web cam,
    j’ai essayer le mode sans échec (nada), le mode sans échec avec réseau (nada), rebooter (nada), impossible de redemarrer l’ordi normalement sous w7, du coup j’ai essayer l’invite de commande sans échec et au surprise ça fonctionne, suivez bien ces instructions comme expliqué au début de ce topic, car moi c’était bien la variante Urausy mais avec ma photo à la place des menottes.

    Invites de commandes en mode sans échec (Seulement variante Urausy)

    La variante Urausy créé un fichier %APPDATA%/skype.dat soit donc :
    •Pour Windows XP : C:Document And SettingssessioninfecteeApplication Dataskype.dat
    •Pour Windows Vista/Seven et Windows 8 : C:UserssessioninfecteeRoamingskype.dat

    Il est possible aussi de supprimer ce dernier en invites de commandes en mode sans échec.
    Pour cela :
    •Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
    •Choisissez la session infectée ET AUCUNE AUTRE.
    •Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/
    •tapez la commande dir, vous devez voir dans la liste le fichier skype.dat
    •Tapez alors la commande del skype.dat et entrée afin de supprimer le fichier skype.dat
    •Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier skype.dat a bien été supprimé.
    •tapez alors shutdown /r afin de redémarrez le PC

    Ensuite j’ai téléchargé roguekiller et Malwarebyte, j’ai scanné en premier avec roquekiller qui ma trouvé quelques virus dont hadopi, j’ai supprimé et j’ai fait un autre scan avec malwarebyte, lui aussi m’a trouvé encore deux virus, donc j’ai supprimé et mon ordi fonctionne à nouveau et fait une image disque car ça faisait un moment que je l’avait fait.
    Et encore merci à tous !!!
    Thierry !!!!!!!!!!!!!!!!!!

  87. Une belle frayeur avec Vereton qui n’est, grâce à votre site, plus qu’un lointain souvenir … Un grand MERCI !!!!!

  88. Merci beaucoup pour cette aide j’ai réussit a neutraliser , ayant 14 ans , je suis vite entré en état de panique , mais ayant aussi un peu d’experience en informatique j’ai trouvé une autre petite faille pour voir que c’était un virus et(il m’indiquait que j’étais dans une ville qui n’était pas la bonne et que je ne connaissais meme pas) pouvoir redemarrer l’ordinateur et neutraliser le message jusqu’au au prochain demarrage/redemarrage de la machine.
    J’ai trouvé ça de moi meme mais pour cette methode il faut etre un peu rapide :
    Tout d’abord une fois connecté a la session , précipitez vous sur la barre d’outil , click droit dessus et ouvrir le gestionnaire des taches et allez dans l’onglet processus , une fois dedans repérez au plus vite les processus contenant des descriptions du genre « Processus de tache Windows… »et arretez les , ce n’est pas la méthode la plus simple mais n’ayant acces qu’a mon ordinateur , je n’ai pas eu d’autre choix mais je doute que de ce fait cet méthode sois utile a beaucoup de personnes qui ont ce probleme.
    Mais j’en ai finis avec ce virus grace a ce site , donc merci beaucoup.

  89. Un immense merci à tous ceux qui ont enrichi ce site de leur expérience et de leurs compétences, en aidant des néophytes comme moi à pouvoir « réparer » leur ordinateur.

  90. Quand on attrape un virus pour la première fois, (tout en sachant que c’en est un) ça fait très très peur. On se dit que le mec qui a créé ça est 10 000 fois plus intelligent que nous, qu’on n’arrivera jamais à s’en défaire. Merci beaucoup à tous pour avoir partagé votre savoir-faire, j’ai battu le virus! 🙂
    Pour moi ça a été la restauration du système par le menu qu’on obtient avec f8 (les autres méthodes n’avaient rien donné). J’ai choisis « réparer l’ordinateur » puis il m’a proposé la restauration. Ensuite il faut vite mettre à jour ses logiciels et ne plus jamais ô grand jamais les négliger!! J’ai retenu la leçon.

  91. Mille merci enfin dépégé de ce virus de m…. Nécité pas a installé rogue killer et anti-malware et surtout a faire f8 et commande sans echec avec … de toute facon tout est expliqué ici .Franchement bravo ca evite d aller au réparateur ki morrai pri des sous que g pas .
    Bref je regardai un clip rap américain sur you tube et va si débarque cette page de flics jme suis di ca i est le rappeur a du dire fuc the police et ca i est on me bloque le pc mai ou va ton la liberté exprétion g failli me rendre au commissaria avec mon pc mais heuresement en cherchan un peut jme suis apercu que ct un virus . Quelle logiciel pourai men protégé a l avenir ?

  92. bonjour,
    merci de m’aider j’ai comme vous tous la fameuse fenetre « La variante Reveton » avec la cam.
    je suis sur XP et rien y fait….
    apres :
    F8 / mode sans echec prise en charge réseau/ clic sur ma session/Valid mode sans echec/
    et la j’ai la fameuse page qui s’affiche…
    j’ai pas le temps d’acceder à quoique ce soit ou de telecharger un pgm…

    SVP merci de m’aider je sais plus quoi faire!!!!!

  93. hello
    je suis depanneur informatique on va dire pour simplifier
    ce soir j ai voulu un peu m amuser avec ce malware avant de le degommer
    j ai remplace sethc.exe par process explorer
    au redemarrage plus de virus
    j ai donc pensé a un remplacement de sethc + un script visual basic genre automatisation de séquence de touche rémannente au démarrage
    Malekal qu en penses tu?

  94. AU SECOURS!!! A L’aide !!!!! je vais finir par jeter mon ordi par la fenetre!!!!
    je suis au bord du goufre avec ce virus…
    merci de m’aider

  95. Merci à Thierry Grâce a toi j’ai pu réglé on problème par contre le nom n’est plus skype.dat mais des . (point)
    donc j’ai fait:
    •Redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, invites de commandes en mode sans échec puis appuyez sur la touche entrée du clavier.
    •Choisissez la session infectée ET AUCUNE AUTRE.
    •Saisissez la commande cd %APPDATA% puis tapez sur entrée, cela doit vous déplacer dans le dossier C:/Users/sessioninfectee/Roaming/
    •tapez la commande dir, vous devez voir dans la liste le fichier . (c’est un point)
    •Tapez alors la commande del . (c’est un point) et entrée afin de supprimer ce fichier( si vous trouvé pas ce nom taper le nom du fichier qui date du jour ou vous avez eu ce virus, )
    •Eventuellement, tapez dir à nouveau afin de s’assurer que le fichier nommé . a bien été supprimé.
    •tapez alors shutdown /r afin de redémarrez le PC

  96. Victime de Reveton, j’ai suivi à la lettre la procédure de désinfection, et tout est rentré dans l’ordre.

    MALEKAL… C’EST VRAIMENT PAS MAL ! ;o)

  97. Merci c’est tres detaillé, merci, merci encore. Et merci a Thierry de Cannet qui a exposé le meme probleme que moi. Mon ordi est sauvé

  98. Merci à Malekal et à tous de vos commentaires sur ce très bon forum. J’ai été confronté lundi 22 juillet 2013 à ce fameux virus du gendarme dans la version Hadopi avec la webcam à la place des menottes.
    Après plusieurs tentatives et 3 jours de galère, voici comment je m’en suis sorti :
    – Gravure du Live CD Malekal
    – Modification dans le bios afin de pouvoir booter sur le Live CD Malekal
    – Remote Regedit (trouvé par hasard dans le Live CD Malekal) et recherche dans toutes les sessions de la clé HKEY_USERS/nomdelasession/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon
    Celle ci comportait la valeur « explorer.exe, c:/documents and settings/nomdelasession/security/mscs.dat »
    – suppression dans la clé ci-dessus de « , c:/documents and settings/nomdelasession/security/mscs.dat » pour ne laisser que « explorer.exe »
    – suppression du fichier caché mscs.dat dans le répertoire caché c:/documents and settings/nomdelasession/security.
    – J’ai effectué les deux opérations ci-dessus pour toutes les sessions y compris celle qui ne semblaient pas infectées.
    – Arrêter le systéme avec l’icone Shutdown sur le bureau du Live CD Malekal
    – Reboot en mode normal sous Windows XP
    – Le bureau est enfin accessible (merci encore Malekal et à tous vos commentaires)
    – RogueKiller et Malwarebytes pour tout vérifier
    – Mise à jour Java et Adobe Reader

  99. Je souhaitais juste vous remercier pour ce site vraiment très utile
    Je suis administrateur Info dans une société de 50 personnes.

    Je peux simplement vous confirmer que toutes les informations que vous donnez sont précieuses …

    … MERCI

    D. Ribau

  100. Bonjour,
    Je vais me taper la tête contre le mur !
    Comme tt le monde j’ai attrapé ce satané virus.
    J’ai celui avec les menottes et ne peux donc pas démarrer en mode sans échec.
    Pourriez-vous m’aider svp ? Je ne comprends pas comment faire…
    Merci d’avance.

  101. Bonjour, mon pc etait infecte par la version urausy. La methode de la modification de la base de registre est impeccable et rapide. Merci beaucoup.

  102. je veux copier le contenu d’une disquette dans un PC infecter par un virus, quelles précautions à prendre pour que ma disquette reste saine?
    SVP AIDEZ MOI

  103. ça vaut ce que ça vaut : rien ne marchant, j’ai tatonné tout l’apres-midi pour parvenir à faire apparaitre la barre des taches avec ctl + esc, facile, puis ouvrir une page word avec un raccourci clavier et en combinant des touches : win + espace + 4 et 5. Et sur cette page j’ai pu ouvrir le panneau de configuration et faire une restauration du systeme à une date anterieure. Sacré truc ce virus !

  104. je viens d’essayer toutes les solutions proposées et maleureusement aucune ne fonctionne.
    Je suis sous XP 3.
    j’ai tjs cette page qui s’affiche !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *