> Tous les forums > Forum Sécurité
 Pc infecté par virus gendarmerieSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
cyn-30
  Posté le 14/01/2013 @ 18:37 
Aller en bas de la page 
Petite astucienne

Bonjour à tous et surtout meilleurs voeux pour cette nouvelle année

Alors voilà, samdi matin mon pc à chopé un virus du type Ukach/ministère de l'interrieur, celui-ci à bloqué mon pc ainsi que le mode sans échec et la restauration, donc je suis allé sur PCA, j'y ai trouvé de quoi faire avec OTLPNet.exe et RogueKiller, j'ai fais mes nettoyage comme indiqué mais je me suis dis que je n'allais pas vous ennuyer avec mes rapports (quelle bétise d'ailleurs ) mais là soucis....

J'ai le centre de sécurité Windows qui me dit qu'il est inactif et quand je veux l'activer un fénêtre souvre, me disant que je ne peux pas l'activer...grrrrrrrrrrrrrrrrrr

Alors je viens vers vous pour vous demander de l'aide, j'ai gardé tous les rapports si ça peut vous aider.

Merci beaucoup pour votre aide.

Bonne soirée.

Publicité
xDAML
 Posté le 14/01/2013 à 18:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Applique la procédure du 2e lien de ma signature

cyn-30
 Posté le 14/01/2013 à 19:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci Ayemax17.

Dis-moi, tu veux quels rapports ???

Ceux d'hier ou je refais toute la procédure maintenant???

Evasion60
 Posté le 14/01/2013 à 19:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

Tu n'as donc pas accès au mode sans échec, c'est ça ?

Et tu as donc fait le CD de Boot avec OTLNet et RogueKiller?
Peux tu poster le rapport de RogueKIller / STP

A te lire

cyn-30
 Posté le 14/01/2013 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Evasion60 {#}

Voici mon premier rapport d'hier :

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html

Site Web : http://www.sur-la-toile.com/RogueKiller/

Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Bouriquette [Droits d'admin]

Mode : Recherche -- Date : 13/01/2013 15:35:58

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤

[STARTUP][BLACKLISTDLL] Canon IJ Status Monitor Canon MP140 series Printer.lnk @Bouriquette : C:\Windows\system32\rundll32.exe|C:\Users\BOURIQ~1\CNMSSC~1.DLL,SMStarterEntryPoint USB001;Canon MP140 series Printer;cnmss Canon MP140 series Printer (Local).dll;Canon IJ Status Monitor Canon MP140 series Printer.lnk -> TROUVÉ

[STARTUP][Rans.Gendarm] runctf.lnk @Bouriquette : -> TROUVÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> TROUVÉ

[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 7e4ab8b048e889f17f410b9a1e9bf164

[BSP] 666df265777f6585df2c90da8789565b : Windows Vista MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[1]_S_13012013_153558.txt >>

RKreport[1]_S_13012013_153558.txt

Merci pour votre aide.

Evasion60
 Posté le 14/01/2013 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, il est présent

[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> TROUVÉ

Redémarre avec ton CD OTLNet
Sous environnement ReaToGo => Relance Roque Killer
Clique sur " Suppression "
Poste son rapport / STP

Edité =>
En principe dans le tuto faut bien cliquer sur " Suppression/delete " dès le départ de RogueKiller



Modifié par Evasion60 le 14/01/2013 20:09
cyn-30
 Posté le 14/01/2013 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re {#}

Hier j'ai déjà fais cette manip', alors je pense que j'ai dût mal m'exprimé...

En fait j'ai fais toutes les procédures indiqué pour éradiquer ce virus, je ne l'ai plus (enfin je pense) j'ai les rapports de RogueKiller (4) celui de MalwareByte et celui de AdwCleaner.

En fait ce soir j'ai eut une alerte de Microsoft me disant que mon centre de sécurité était inactif et en voulant l'activer j'ai eut un message me disant qu'il ne pouvait pas l'activer.

Alors je ne sais pas si j'ai bien fais mais pour le moment j'ai pas de soucis sauf celui du centre de sécurité.

J'espère que je n'ai pas fais de bétises.

Merci beaucoup de ta part de te pencher sur mon soucis.{#}

cyn-30
 Posté le 14/01/2013 à 20:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le second rapport après avoir fait le "delete" {#}

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html

Site Web : http://www.sur-la-toile.com/RogueKiller/

Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Bouriquette [Droits d'admin]

Mode : Suppression -- Date : 13/01/2013 15:38:45

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤

[STARTUP][BLACKLISTDLL] Canon IJ Status Monitor Canon MP140 series Printer.lnk @Bouriquette : C:\Windows\system32\rundll32.exe|C:\Users\BOURIQ~1\CNMSSC~1.DLL,SMStarterEntryPoint USB001;Canon MP140 series Printer;cnmss Canon MP140 series Printer (Local).dll;Canon IJ Status Monitor Canon MP140 series Printer.lnk -> SUPPRIMÉ

[STARTUP][Rans.Gendarm] runctf.lnk @Bouriquette : -> SUPPRIMÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\Users\BOURIQ~1\wgsdgsdgdsgsd.exe) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 7e4ab8b048e889f17f410b9a1e9bf164

[BSP] 666df265777f6585df2c90da8789565b : Windows Vista MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[2]_D_13012013_153845.txt >>

RKreport[1]_S_13012013_153558.txt ; RKreport[2]_D_13012013_153845.txt

Merci

Evasion60
 Posté le 14/01/2013 à 20:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok, déjà c'est bien

Redémarre normalement donc

Utilise MalwareBytes AM à jour // Lance le // Poste son rapport
Idem avec AdwCleaner

Publicité
cyn-30
 Posté le 14/01/2013 à 20:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re {#}

Voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100

www.malwarebytes.org

Version de la base de données: v2013.01.14.02

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Bouriquette
PC-JUJU-CYN [administrateur]

Protection: Activé

14/01/2013 20:44:21

mbam-log-2013-01-14 (20-44-21).txt

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 195454

Temps écoulé: 8 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

(fin)

cyn-30
 Posté le 14/01/2013 à 20:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport de AdwCleaner :

# AdwCleaner v2.105 - Rapport créé le 14/01/2013 à 20:57:45

# Mis à jour le 08/01/2013 par Xplode

# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : Bouriquette - PC-JUJU-CYN

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Bouriquette\Desktop\adwcleaner.exe

# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

Clé Présente : HKCU\Software\InstallCore

Clé Présente : HKCU\Software\SweetIM

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar

Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1

Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook

Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1

Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie

Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1

Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn

Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}

Clé Présente : HKLM\Software\SweetIM

Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.52

Fichier : C:\Users\Bouriquette\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2132 octets] - [13/01/2013 22:18:46]

AdwCleaner[R2].txt - [1767 octets] - [14/01/2013 20:57:45]

########## EOF - C:\AdwCleaner[R2].txt - [1827 octets] ##########

Evasion60
 Posté le 14/01/2013 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Relance AdwCleaner
Clique sur le bouton " Suppression "
Poste son rapport

cyn-30
 Posté le 14/01/2013 à 22:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Après redémarrage du pc, voici le rapport AdwCleaner :

# AdwCleaner v2.105 - Rapport créé le 14/01/2013 à 22:30:28

# Mis à jour le 08/01/2013 par Xplode

# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : Bouriquette - PC-JUJU-CYN

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Bouriquette\Desktop\adwcleaner.exe

# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

Clé Supprimée : HKCU\Software\InstallCore

Clé Supprimée : HKCU\Software\SweetIM

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar

Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1

Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook

Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1

Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\Software\SweetIM

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.52

Fichier : C:\Users\Bouriquette\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2132 octets] - [13/01/2013 22:18:46]

AdwCleaner[R2].txt - [1896 octets] - [14/01/2013 20:57:45]

AdwCleaner[S2].txt - [1842 octets] - [14/01/2013 22:30:28]

########## EOF - C:\AdwCleaner[S2].txt - [1902 octets] ##########

Evasion60
 Posté le 14/01/2013 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

OK

Nous continuons

Télécharger ZHPDiag de Nicolas Coolman en cliquant sur le lien indiqué ci-dessous


Lien direct donné par Nicolas sur son blog

Double-cliquer sur le fichier ZHPDiag2.exe pour installer l'outil.

Sous Windows Vista et Windows 7, accepter l'exécution du fichier et ne pas modifier les options par défaut.

(Il n'est pas nécessaire de redémarrer.) Sur le bureau seront créées trois icônes

Double-clic sur sur l'icône ZHPDiag comme sur l'image poour lancer l'outil.

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan

4 : Quand l"analyse est terminée et que le rapport apparait , ferme l'outil

Affichage du rapport

Le rapport sera enregistré sur le bureau

Vu la taille assez importante de ce dernier et pour éviter de le saucissonner et de gêner la lisibilité sur le forum, il sera hébergé comme indiqué ci-dessous.

Au bas de la page de création du sujet ou d'une réponse (sur le forum PCAstuces) cliquer sur "Insérer un rapport"

Dans la page suivante, cliquer sur "Parcourir" pour pointer vers le rapport ZHPDiag.txt qui devrait être sur votre bureau ou en C:

Cliquer maintenant sur "Envoyer"

Les explications en détails

Remarque : Si le rapport est trop volumineux pour l'héberger de cette façon, passer par un hébergeur comme Cjoint par exemple en cochant 21 jours pour la durée d'hébergement. Communiquer le lien obtenu.

cyn-30
 Posté le 14/01/2013 à 23:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 14/01/2013 à 23:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Plus d'infection

Suppression des outils utilisés =>

Télécharge DelFix sur ton bureau =>

Téléchargements - Outils de Xplode - DelFix
Coche à gauche " Supprimer les outils de désinfection "

Note : Le rapport se trouve sous C:\DelFixSearch

Pour le récupérer, il suffit de faire un simple clic-droit > coller dans un éditeur de texte, sur un forum... selon ce que vous souhaitez
Tu peux mettre ton sujet en " Résolu "
Bonne continuation
cyn-30
 Posté le 14/01/2013 à 23:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hannnnnnnnnnnnnnnnnnnnnnnnnn Milles Merci Evasion60 {#}

Je vais faire ça de suite. Merci encore de ton aide.

Bonne soirée à toi.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
PC infecté par virus police gendarmerie
PC infecté par virus Gendarmerie Nationale V2
pc infecté virus gendarmerie
Infecté par le virus de la gendarmerie... Help!
Ami infecté par virus police....
Infecté de la tête au pied ... Virus/spyware/RAT
virus gendarmerie
infection virus gendarmerie nationale
Virus toolbar pc infecté
VIRUS GENDARMERIE
Plus de sujets relatifs à Pc infecté par virus gendarmerie
 > Tous les forums > Forum Sécurité