Virus Gendarmerie [Résolu]

Bonjour Yann,


Un de mes pc, sous seven, est bloqué par le virus "gendarmerie".


Comment dois je procéder sachant que tout est bloqué ?


Cordialement.

Réponses

  • Bonjour leyonnais,


    Vous n'avez pas posté au bon endroit, je déplace votre topic.


    Une première question, que faites vous avez Bitdefender 2010 sur Windows 7 ?


    Vous auriez dû migré au moins à la 2011 et au mieux à la 2012 sur ce système?


    Concernant ce virus Gendarmerie, est-ce qu'il vous annonce avoir crypter vos données ou bloque-t-il juste votre système ?


    Cordialement,


    Yann

  • Merci pour votre prise en charge.


    Alors, il est indiqué que l'ordinateur a été verrouillé "pour activité illégale". Il n'est pas fait allusion à un cryptage quelconque.


    Pour ma version de BD, elle se termine dans 40 jours et il ne m'a jamais été indiqué qu'elle n'était pas adéquate. J'ai d'ailleurs acheté la version "total security 2012" en début de semaine dans le but de procéder au remplacement à l'expiration de la licence, fin aôut.


    Cordialement.

  • Yann A.
    Yann A. mod
    Modifié (juillet 2012)

    Bonjour leyonnais,


    Attention je n'ai pas dis que la version 2010 n'était pas compatible, elle est bien compatible. C'est juste que sur un système aussi récent que Windows 7 vous aviez la possibilité (gratuitement) d'installer une version plus récente, comme la 2011 ou la 2012.


    Concernant cette infection, veuillez trouver ci-dessous une procédure qui va normalement vous permettre d'éradiquer ce ransomware (choisissez la méthode selon le type d'infection que vous subissez) :


    1) forme simple non active en mode sans échec :


    Si vous arrivez à démarrer Windows en mode sans échec, suivez cette procédure.


    Téléchargez l'outil roguekiller au lien ci-dessous :


    http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe


    Lors du premier affichage des écritures en blanc sur fond noir appuyez sur la touche F5 ou F8 de manière successive sans vous arrêter jusqu'à obtention d'un menu d'options avancées.Choisissez avec les flèches haut et bas du clavier le mode sans échec (ou mode sans échec avec prise en charge réseau si vous n'avez pas pu télécharger plus haut Roguekiller, vous le ferez depuis cette session) puis appuyez sur entrée.


    À l'ouverture de session prenez la session administrateur (ou votre session Windows qui dispose des privilèges administrateur). Faites oui sur le message de confirmation d'utilisation du mode sans échec. Le programme va également tuer les processus infectieux,


    mais aussi supprimer les clés de registre permettant au ransomware de se relancer au démarrage.


    2) Méthode de suppression forme 2


    Méthode à suivre si l'ouverture de session de Windows est impossible en mode sans échec.


    Plusieurs solutions en invite de commande en mode sans échec :


    Lors du premier affichage des écritures en blanc sur fond noir appuyez sur la touche F5 ou F8 de manière successive sans vous arrêter jusqu’à obtention d'un menu d'options avancées. Choisissez avec les flèches haut et bas du clavier "l'invite de commandes en mode sans échec" et validez par Entrée.


    a)Restaurer explorer


    Sur la fenêtre cmd.exe – tapez la commande copy :


    copy c:\Windows\twexx32.dll C:\windows\explorer.exe


    puis valider par entrée. Si un message vous demande de remplacer le fichier, acceptez. Vous devez avoir un message 1 fichier(s) copié(s).


    Saisir exit pour redémarrer l’ordinateur, redémarrez l’ordinateur et vérifiez si l’infection continue à se lancer.


    B) Sur la fenêtre cmd.exe tapez la commande SFC /scannow


    c) Restauration du système


    Sur la fenêtre cmd.exe saisir les commandes suivantes en validant par


    entrée :


    cd %windir%


    cd system32


    cd restore


    rstrui.exe


    La fenêtre de restauration système apparaîtra afin de choisir une date antérieure à l'infection.


    Cordialement,


    Yann

  • J'ai exécuté roguekiller mais je n'avais pas accès au choix 2 (remove). J'ai fait un scan qui m'indique:


    processus malicieux: 0


    clés de registre: 5


    Sur le bureau, il y a un rapport nommé: RK -Quarantine avec cinq lignes à l'intérieur.


    N'ayant pas accès au choix "remove", je ne sais pas quoi faire...


    Cordialement.

  • Bonjour leyonnais,


    Désolé, en fait l'interface de RogueKiller a changé, il n'y a plus de menu d'options, il procède directement à l'analyse et à la désinfection si nécessaire. En revanche il est étrange que RogueKiller n'ait rien trouvé, vous l'avez bien exécuté en mode sans échec ?


    Faites moi parvenir les fichiers demandés ci-dessous également afin que j'analyse ce qui se passe sur votre système :


    1. Rendez vous sur notre site au lien ci-dessous :


    http://logs.supportbd.com


    Cliquez sur le bouton "Cliquez ici pour générer le rapport" puis exécuter le fichier "Infralogs" qui sera proposé.


    Une fenêtre s'ouvrira où un bouton vous proposera d'envoyer automatiquement les éléments, ceci fait un numéro de dossier vous sera donné qu'il faudra nous communiquer en réponse. Si l'envoi du rapport échoue, faites nous parvenir le fichier rapports-bitdefender.zip qui aura été normalement créé sur le bureau.


    2. Veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :


    ftp://ftp.editions-profil.fr/support/runscanner1-6.exe


    - Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".


    - Cliquez en haut sur le bouton "Start full scan".


    - Un écran s'affichera pour vous proposer l'enregistrement d'un fichier qu'il faudra ensuite nous faire parvenir en pièces jointes


    3. Rapport bdsyslog :


    - Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :


    http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe


    - Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées


    - Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.


    Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.


    Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.


    4. Faites nous parvenir le rapport Gmer comme indiqué ci-dessous :


    - Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :


    http://www.gmer.net/gmer.zip


    - Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque


    - Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:


    - Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite.


    - Une analyse va démarrer, attendez qu'elle se termine.


    - A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log


    (Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)).


    - Faites nous parvenir le fichier gmer.log


    Pour me faire parvenir l'ensemble des fichiers demandés, utilisez le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.com/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichier sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.

  • Si, il a bien trouvé quelque chose puisqu'il a généré un rapport de quarantaine sur le bureau, dans lequel il y a les éléments suivants:


    debug


    eula


    glom0-og.exe.vir


    physicaldrive0-user.dat


    quarantine report


    Je fais donc ce que vous m'avez demandé précédemment.


    Cordialement.

  • Bonjour leyonnais,


    Ok faites moi parvenir ce rapport s'il vous plaît.


    Cordialement,


    Yann

  • Yann A.
    Yann A. mod
    Modifié (juillet 2012)

    Bonjour leyonnais,


    Arrivez-vous à démarrer normalement Windows suite au passage de Rogue Killer ?


    Sinon il faudrait suivre la méthode de suppression 2 indiquée plus haut.


    Cordialement,


    Yann

  • Non, je n'y arrive pas. Il y a toujours la fenêtre "gendarmerie".


    Je passe donc à la méthode 2.


    Est ce que je dois démarrer "en mode sans échec" ou "mode sans echec réseau avec prise en charge réseau" ou "invite de commande en mode sans echec" ?


    Cordialement.

  • Bonjour leyonnais,


    Il faut choisir "invite de commande en mode sans echec".


    Cordialement,


    Yann

  • Je viens de relire votre post et je suppose que c'est le mode avec "invite de commande".


    Par contre, vous devez savoir que je n'avais plus accès à la restauration du système...depuis l'installation de la version BD 2010.


    Que dois je faire ?


    Cordialement.

  • Bonjour leyonnais,


    Bitdefender 2010 ne gênera pas la restauration système depuis le menu de dépannage de Windows.


    Cordialement,


    Yann

  • Je suis bloqué à le 1ère étape le petit "a".


    Lorsque je tape les lignes de commande, cela me dit que "c: documents" n'est pas reconnu en tant que commande interne ou externe...


    Est ce que les minuscules et majuscules doivent être respectées ?


    Cordialement.

  • Bonjour leyonnais,


    Il faut surtout ne pas oublier l'anti slash (\) dans le chemin.


    Si vous avez trop de difficulté à suivre les manipulations ou si elles n'aboutissent pas, je vous conseille de contacter notre assistance technique afin d'être assisté par téléphone ou qu'éventuellement un technicien fasse une prise à distance afin de faire les opérations de désinfection à votre place (si c'est possible, le mode sans échec avec prise en charge réseau doit fonctionner)


    Comment contacter l'assistance technique :


    http://forum.bitdefender.com/index.php?showtopic=29058


    Cordialement,


    Yann

  • J'ai envoyé un mail à l'assistance technique.


    J'ai fait plusieurs essais avec à chaque fois la même réponse: "invite de commande" non reconnue.


    Merci pour votre aide.


    Cordialement.

  • Bonjour leyonnais,


    Tentez d'abord la restauration système, car elle peut être efficace (toujours en invité de commande, pas sous Windows).


    Ensuite si cela ne fonctionne pas, il y avait une erreur dans la procédure, tentez de nouveau l'opération de copie de fichier (procédure corrigée plus haut) :


    copy c:\Windows\twexx32.dll C:\windows\explorer.exe


    Cordialement,


    Yann

  • Yann A.
    Yann A. mod
    Modifié (juillet 2012)

    Bonjour leyonnais,


    Nous allons procéder autrement.


    Suivez la manipulation ci-dessous, toujours en passant par "l'invité de commandes en mode sans échec" :


    - Tapez la commande suivante : regedit


    - Validez par Entrée afin d’ouvrir l’éditeur du registre


    - Une fois dans l'éditeur de registre, déroulez l’arborescence comme indiqué ci-dessous en cliquant sur les + :


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon


    - Dans la partie droite de la fenêtre, cherchez Shell qui devrait avoir comme valeur explorer.exe


    - Double-cliquez sur la valeur Shell, effacez explorer.exe et retapez explorer.exe (oui il faut remettre la même chose)


    - Validez par OK et fermez l’éditeur du registre


    - Toujours sur la fenêtre noire cmd.exe saisissez la commande suivante :


    shutdown /r


    - Validez par la touche Entrée (la commande va fair redémarrer l'ordinateur)


    Si cela fonctionne pas ou même si cela fonctionne, je vous conseille de lancer une analyser depuis le cd de secours de Bitdefender, voici la procédure (il vous faudra pourvoir graver un cd) :


    ftp://ftp.editions-profil.fr/support/BitD...-secours-v2.pdf (attention le lien de téléchargement dans le pdf n'est pas bon, voici le bon lien http://download.bitdefender.com/rescue_cd/...0_5_10_2010.iso] )


    Cordialement,


    Yann

  • Bonjour Yann,


    J'ai contacté l'assitance BD comme vous me l'aviez conseillé, et leur ai envoyé les fichiers demandés.


    Entre temps, en mode sans échec, j'ai tenté une restauration du système qui n'a pas abouti (erreur 0x0000022). Mais étrangement, j'ai récupéré la main sur mon pc. J'ai de suite fait une analyse complète et un virus a été supprimé, un autre bloqué.


    Depuis, tout semble normal.


    Q'en pensez vous ?


    Cordialement.

  • Bonjour leyonnais,


    Si vous arrivez à démarrer en mode normal de Windows, c'est que les opérations ont permis de supprimer les menaces et la restauration a peut-être fonctionné en réalité. Maintenant, vérifiez bien que votre système est bien à jour ainsi que vos principaux programmes connectés, comme les navigateurs, Flash, Java, etc...Ensuite relancez Roguekiller puis si quelque chose est découvert, lancez une nouvelle analyse avec Bitdefender.


    Cordialement,


    Yann

  • Bonjour yann,


    J'ai fait ce que vous m'avez dit. RogueKiller n'a rien découvert. Rien non plus avec l'analyse de BD. Par contre j'étais très en retard avec mes mises à jour Java.


    Tout semble être normal.


    Je vous remercie pour votre aide et le temps passé à me conseiller.


    Le sujet peut donc être clos.


    Cordialement.