Téléchargement
illégal
Posez votre question Signaler

Faux message de la gendarmerie ordi bloqué

fredmar - Dernière réponse le 31 janv. 2012 à 17:20
Bonjour,
je viens d'être infecté comme la plupart des internautes par un faux message de la gendarmerie me demandant de débourser la somme de 200 euros pour remedier à ce pb!!!
en lisant certains fiches explicatives je viens de telecharger Roguekiller et je viens d'obtenir le rapport suivant:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci de bien vouloir m'aider
Lire la suite 

Faux message de la gendarmerie ordi bloqué »

4 réponses
Réponse
+1
moins plus
Fish66 6623Messages postés 24 juillet 2011Date d'inscription 30 mai 2012Dernière intervention 17 déc. 2011 à 11:40
Bonjour,
1/
Relance RogueKiller puis tapes 2 et poste le rapport stp

2/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
http://www.malwarebytes.org/mwb-download.php
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

@+

Ajouter un commentaire
fredmar - 17 déc. 2011 à 12:29
1) voici le rapport sur rogue killer
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: dary [Droits d'admin]
Mode: Suppression -- Date : 17/12/2011 11:48:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] b81b58c900715902f49c5fe3091e649f
[BSP] 972659cdbd4de4e09c971937be7b5b9b : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 627244 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

et pour le point 2
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8384

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17/12/2011 12:28:47
mbam-log-2011-12-17 (12-27-35).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 341752
Temps écoulé: 30 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\dary\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\PZNSR7WW\readme[1].exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Local\Temp\wpbt0.dll (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\AppData\Roaming\w25zxz84.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\dary\Desktop\rk_quarantine\w25zxz84.exe.vir (Trojan.FakeAlert) -> No action taken.
Ajouter un commentaire
Réponse
+3
moins plus
Fish66 6623Messages postés 24 juillet 2011Date d'inscription 30 mai 2012Dernière intervention 17 déc. 2011 à 18:56
Re,

No action taken. ===> Les infections ne sont pas supprimées!

Relance Malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" puis sur "Supprimer la sélection" et poste le rapport stp

@+

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Baz 31 janv. 2012 à 17:20
Bonjour,

La solution est simple pour desactiver ce trojan :

Demarer en mode sans echec avec F8 au démarrage
Aller dans executer et taper « msconfig »
Aller dans l'onglet démarrage
Dans la colone « Commande », decocher la case : « C:Users/.../AppData/Roaming/6fghxa4b.exe

Appliquer - OK et redemarrer

Et le trojan démontré plus haut ne se montre plus

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « faux message de la gendarmerie ordi bloqué » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?