Auteur Sujet: [Malware] Suppression virus Gendarme  (Lu 20848 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10399
[Malware] Suppression virus Gendarme
« le: décembre 16, 2011, 22:02:36 »
[Malware] Suppression virus Gendarme

Symptômes

Si ces écrans apparaissent et que vous ne pouvez plus rien faire sur votre machine, suivez ce guide pour supprimer l'infection. En aucun cas vous ne devez payer. Ceci est une escroquerie.

C'est un malware que l'on appelle Ransomware.

Sur le lien suivant, vous pouvez voir son taux de détection par les différents antivirus VirusTotal

Ce Fake Police / Gendarmerie Nationale est propagé sur certains sites de streaming sur des systèmes non à jour, notamment au niveau de Flash Player, Adobe Reader et Java.

Voici les deux écrans que vous aurez :
 


Suppression de l'infection

Pour le supprimer, redémarrez en mode sans échec avec prise en charge du réseau et suivez ce tutoriel sur l'utilisation de MalwareByte's Anti-Malware

Cette méthode ne fonctionne que sur la version la moins virulente.

Le résultat obtenu est le suivant :


Un exemple de rapport :

Citer
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8381

Windows 6.1.7600 (Safe Mode)
Internet Explorer 9.0.8112.16421

16/12/2011 18:41:12
mbam-log-2011-12-16 (18-41-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 149886
Temps écoulé: 2 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vv113nzp.exe (Trojan.Zbot.CBCGen) -> Value: vv113nzp.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\xxx\AppData\Roaming\vv113nzp.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.


Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
« Modifié: janvier 02, 2012, 21:59:14 par igor51 »

Security-X

[Malware] Suppression virus Gendarme
« le: décembre 16, 2011, 22:02:36 »

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10399
Re : [Malware] Suppression virus Gendarme
« Réponse #1 le: avril 08, 2012, 19:29:40 »
Nouvelle version  :  Cette version va chiffrer vos fichiers et les renommer ainsi :  Locked-Boot.BAK.whwn

Il semblerait qu'il se propose par les régies publicitaires.

Il n'y a pour l'instant pas d'outil pour récupérer les fichiers.

« Modifié: avril 08, 2012, 19:30:27 par igor51 »

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10399

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10399
Re : [Malware] Suppression virus Gendarme
« Réponse #3 le: avril 15, 2012, 19:16:07 »
Informations importantes :

Quelque soit la variante que vous avez, ne modifiez pas les fichiers chiffrés. Si vous voulez tenter quelque chose, travaillez sur une copie. Une des variantes utilise le nom (une partie) ainsi que le poids du fichier pour le chiffré. Si vous le modifiez, vous perdez définitivement vos fichiers.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 24538
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : [Malware] Suppression virus Gendarme
« Réponse #4 le: mai 03, 2012, 14:32:31 »
Information complémentaire :

Nouvel outil RannohDecryptor de Kaspersky pour décrypter les fichiers locked-<original_name> moins de 4 caractères aléatoires>

http://support.kaspersky.com/faq/?qid=208286527