> Tous les forums > Forum Sécurité
 Suppression des virus par restauration du systèmeSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
neushoornvogel
  Posté le 21/12/2013 @ 09:59 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

J'ai "invité" le virus "Gendarmerie nationale" sur mon PC en regardant une série en streaming. Coup de chance, j'ai immédiatement éteint mon PC et en le remettant en route, j'ai pu continuer l'utilisation de mon PC comme avant. Cependant, je crains que le virus est toujours caché sur mon PC et souhaite donc l'éradier définitivement. Mon remède: restauration du système à la veille du jour où j'ai regardé l'émission. J'ai aussi fait un scan complet Symantec qui n'a trouvé aucun virus. Ces deux actions sont-elles suffisantes pour être sûr d'avoir éliminé le virus de mon système ?

Merci d'avance de vos réponses.

Neushoornvogel

Publicité
Fill
 Posté le 21/12/2013 à 10:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je vais t'assister au cours de cette désinfection. Si tu es d'accord, on va fixer quelques règles pour que la désinfection soit efficace.

  • Si tu as ouvert un sujet similaire sur un autre forum, merci de me prévenir afin que je ne fasse pas de recherches inutiles et par souci d'efficacité (on ne prend pas rendez-vous dans 2 garages pour le même problème mécanique),
  • Si tu as des cracks ou des keygens, tu les supprimes,
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.
  • La désinfection comprend un diagnostic, un nettoyage, la suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Quelques-uns des outils utilisés peuvent faire réagir certains antivirus, car ils sont puissants et destructeurs s'ils sont mal utilisés.
  • Si tu as des questions, n'hésite pas.
  • Télécharge Roguekiller de Tigzy sur ton Bureau,
  • Exécute le programme (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification) :


  • Clique sur le bouton "Scan" pour lancer l'analyse,
  • Un rapport nommé RKreport[1] doit être créé sur ton Bureau. Copie son contenu dans ta prochaine réponse.

Fill

neushoornvogel
 Posté le 21/12/2013 à 14:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour ton aide Fill.

Tu trouveras ci-dessous le rapport Roguekiller:

RogueKiller V8.7.13 [Dec 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : jverbrer [Droits d'admin]
Mode : Recherche -- Date : 12/21/2013 13:56:32
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

Fill
 Posté le 21/12/2013 à 17:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Le rapport roguekiller est incomplet. Peux-tu le ré-éditer ?

2/ Pour me permettre d'établir un diagnostic, peux-tu suivre ces consignes et éditer les trois rapports demandés ? (Adcleaner, malwarebyte's et ZHPDiag).

Fill

neushoornvogel
 Posté le 21/12/2013 à 18:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport complet

RogueKiller V8.7.13 [Dec 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : jverbrer [Droits d'admin]
Mode : Recherche -- Date : 12/21/2013 13:56:32
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) TOSHIBA MK2561GSYN +++++
--- User ---
[MBR] 1371cab4d30e890c9f214dc04988ea38
[BSP] 4dec11456d1e85671349c3e255e88ab8 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_12212013_135632.txt >>



Est-il vraiment nécessaire de faire l'ensemble des téléchargements demandés dans tes consignes (je constate dans Roguekiller que le processus malicieux correspond à 0, plutôt bonne nouvelle non ?)

N.

Fill
 Posté le 21/12/2013 à 18:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C'est ton pc ; c'est toi qui vois...

Fill

neushoornvogel
 Posté le 21/12/2013 à 19:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je sais bien ... c'est plutôt, quelle est la valeur ajoutée des trois programmes supplémentaires par rapport à Roguekiller et le rapport qu'il a généré ?

Fill
 Posté le 21/12/2013 à 19:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

neushoornvogel a écrit :

Je sais bien ... c'est plutôt, quelle est la valeur ajoutée des trois programmes supplémentaires par rapport à Roguekiller et le rapport qu'il a généré ?

Roguekiller est spécialisé dans les rogues. Les autres permettent de détecter d'autres infections. Maintenant, quand tu vas che zle médecin et que tu as mal à la gorge, celui-ci ne regarde pas que le fond de ta bouche. C'est un peu pareil ici.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou dans la barre de titre de ton sujet. Merci !

Fill

neushoornvogel
 Posté le 21/12/2013 à 20:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

OK merci!

Publicité
Br_Fr
 Posté le 21/12/2013 à 20:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
neushoornvogel a écrit :

OK merci!

Bonsoir

je me permets une petite intrusion sur ton sujet...

Ne penses-tu pas que ce serait judicieux de faire une investigation plus poussée avec les 3 logiciels proposés pour être vraiment rassuré sur l'état de santé de ton PC?... tu as déjà été infecté par ce virus il y a un an.. ta façon de surfer semble en être la cause donc il est très possible qu'il y ait d'autres intrus...

neushoornvogel
 Posté le 22/12/2013 à 10:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

OK je vais suivre le conseil, cela prend du temps mais c'est pour la bonne cause. La gendarmerie précédente était sur un autre PC (celui de ma fille). En tout état de cause, j'ai compris qu'il ne faut plus regarder des séries en streaming - la gratuité n'est pas sans prix.

J'ouvre donc de nouveau le sujet comme non résolu.

neushoornvogel
 Posté le 22/12/2013 à 10:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport Malwarebytes (plutôt positif)

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.22.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
jverbrer
M1082952 [administrateur]

22/12/2013 10:11:14
mbam-log-2013-12-22 (10-11-14).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 222757
Temps écoulé: 4 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

neushoornvogel
 Posté le 22/12/2013 à 10:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport Adcleaner

# AdwCleaner v3.015 - Report created 22/12/2013 at 10:24:17
# Updated 10/12/2013 by Xplode
# Operating System : Windows 7 Enterprise Service Pack 1 (64 bits)
# Username : jverbrer - M1082952
# Running from : C:\Users\jverbrer\Downloads\adwcleaner.exe
# Option : Scan

***** [ Services ] *****


***** [ Files / Folders ] *****

File Found : C:\Users\jverbrer\AppData\Roaming\Mozilla\Firefox\Profiles\mxh9fkd1.default\searchplugins\SweetIm.xml

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}

***** [ Browsers ] *****

-\\ Internet Explorer v8.0.7601.17514


-\\ Mozilla Firefox v26.0 (en-US)

[ File : C:\Users\jverbrer\AppData\Roaming\Mozilla\Firefox\Profiles\mxh9fkd1.default\prefs.js ]

Line Found : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=");

*************************

AdwCleaner[R0].txt - [983 octets] - [22/12/2013 10:24:17]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1042 octets] ##########

neushoornvogel
 Posté le 22/12/2013 à 11:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

nardino
 Posté le 22/12/2013 à 11:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Juste une clé de registre à faire sauter.

Lance ZHPFix par l'icône sur le bureau

image


Elle a été créée lors de l'installation de ZHPDiag.

image Clique sur Importer dans la fenêtre de l'outil et sur OK dans le message suivant

image*******image

image Tu copies le script suivant (dans l'encadré ci-dessous)

Code
Script ZHPFix
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowSetProgramAccessAndDefaults: Modified
EmptyFlash
EmptyTemp
EmptyCLSID



image Tu le colles dans la fenêtre de ZHPFixt comme ci-dessous, sans ligne vide au début, tu cliques sur GO pour le lancer.

image

Confirme la suppression par Oui dans l'avertissement qui s'affiche

image

Le résultat va s'afficher dans la fenêtre de l'outil et un rapport va s'ouvrir avec le bloc-notes.

image Tu envoies un copier-coller du rapport dans ta réponse, il est enregistré sur le bureau.

image

Il faudra aussi mettre à jour Adobe Reader.

image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 11.0.4 French for Windows
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader11_fr_mssd_aih.exe
Ce fichier s'auto-détruira.

@+



Modifié par nardino le 22/12/2013 11:28
neushoornvogel
 Posté le 22/12/2013 à 11:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport ZHPFix

Rapport de ZHPFix 2013.12.14.5 par Nicolas Coolman, Update du 06/12/2013
Fichier d'export Registre :
Run by jverbrer at 22/12/2013 11:52:56
High Elevated Privileges : OK
Windows 7 Enterprise Edition, 64-bit Service Pack 1 (Build 7601)

Recycle Bin emptied (00mn 03s)

========== Elements of the registry data ==========
REPLACES Value Start_ShowSetProgramAccessAndDefaults : Good (1) - Bad (0)

========== Folders ==========
No folders empty CLSID Local user

========== Files ==========
REMOVES Flash Cookies (0) (0 octets)
Deletes temporary Windows (915) (125 052 248 octets)


========== Summary ==========
1 : Elements of the registry data
1 : Folders
2 : Files


End of clean in 00mn 07s

neushoornvogel
 Posté le 22/12/2013 à 12:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Tout a été fait, un grand merci au Groupe Sécurité !

Dernière question pour l'avenir: faut-il renoncer complètement aux programmes streaming (sauf source sure comme programme télé en rediffusion ou YouTube) car c'est la deuxième fois qu'on s'attrape ce virus par ce moyen (le premier ayant par ailleurs complètement détruit le PC de ma fille, nous n'avons pas réussi à s'en débarasser; heureusement le présent n'a pas eu le temps de faire des dégâts) ?

Bon Noël à tous !

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
94,99 €Adobe Creative Cloud pour la photo (Adobe Photoshop CC et Lightroom) à 94,99 €
Valable jusqu'au 12 Mai

Amazon propose actuellement le code d'activation pour Adobe Creative Cloud à 94,99 € alors qu'on le trouve ailleurs à 140 € environ. Vous pourrez ainsi accéder pendant 1 an aux meilleurs outils de photographie du monde, dont Adobe Photoshop et Lightroom (mobile, web et pour poste de travail) ainsi qu'à une vaste bibliothèque de didacticiels vidéo pour maitriser ces logiciels ainsi que 20 Go de stockage dans le cloud. Cette offre est valable pour MAC et pour PC


> Voir l'offre
19,37 €Clé USB Sandisk Ultra Go 128 Go à double connectique USB 3.1 Type A et C à 19,37 €
Valable jusqu'au 11 Mai

Amazon fait une promotion sur la clé USB Sandisk Ultra Go 128 Go à double connectique USB 3.1 Type A et C qui passe à 19,37 €. Cette clé USB  dispose d'un connecteur USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. On la trouve ailleurs à plus de 35 €.


> Voir l'offre
181,87 €SSD Interne M.2 NVMe PCIe 4.0 Samsung 980 PRO 1 To à 181,87 € livré
Valable jusqu'au 11 Mai

Amazon Allemagne fait une promotion sur le SSD Interne M.2 NVMe PCIe 4.0 Samsung 980 PRO 1 To qui passe à 177,26 € (avec la TVA ajustée). Comptez 4,61 € pour la livraison en France, soit un total de 181,87 € livré en France. On le trouve ailleurs à partir de 200 €. Ce SSD offre des taux de transfert de 7000 Mo /s en lecture et 5100 Mo/s en écriture. Une excellente affaire.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
Problèmes icone INK et restauration du système ( virus)
restauration système
Restauration système
Perte hyperlien Excel 2003 après restauration système
Restauration système
Virus: Systeme Care antivirus
restauration système
Restauration de Système IMPOSSIBLE sous Windows 7
restauration système
Restauration du système
Plus de sujets relatifs à Suppression des virus par restauration du système
 > Tous les forums > Forum Sécurité