Votre question

Virus gendarmerie nationale - windows 7

Tags :
  • Virus
  • Windows 7
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Janvier 2012 20:34:34

Bonjour,

Mon PC (sous windows 7) est infecté par le virus gendarmerie nationale.
J'ai donc démarré en mode sans échec - le virus ne s'affiche pas.
Depuis un autre PC j'ai téléchargé MalwareBytes Anti-Malware 1.60.1.1000 et mbam-rules. Je les ai installé sur mon PC.
J'ai essayé de faire la mise à jour, mais cela ne fonctionne pas. Une fenetre m'indique le message ci dessous :

"une erreur s'est produite. Veuillez transmettre ce problème à notre équipe support (joignez le contenu de tous les messages et codes d'erreurs à votre description);
PROGRAM_ERROR_UPDATING (11004,0, No adress found)
Le nom demandé est valide, mais aucune donnée du type requise n'a été trouvée"

Pourriez-vous m'indiquer comment poursuivre (pour installer les mises à jours puis pour désinfecter l'ordinateur) ?

merci d'avance
Juliette

Autres pages sur : virus gendarmerie nationale windows

31 Janvier 2012 21:17:02

Ok. J'ai restauré le système en mode sans échec.
Mon ordi m'indique qu'il na pas réussi à redémarrer mon ordi et il a ouvert une une fenêtre "HP recovery manager". j'ai plusieurs choix :
- restauration du système microsoft
- restauration du système (paramètres d'usine d'origine"
restauration d'image réduite (sytème d'exploitation, les pilotes et certains logiciels
ou
- executer la vérification de l'ordi (utiliser outil de diagnostic matériel pour déterminer les problèmes de disques dur, de mémoire etc.)
- afficher les informations de contact de l'assistance technique

Précision : j'ai chopé le virus environ deux jours après avoir acheté mon ordi, donc je n'ai pas de données personnelles dessus et pour la restauration j'ai choisi la date ou je l'ai allumé pour la premiere fois (first utilisateur boot ).

Du coup, que faut il que je fasse maintenant ?

merci d'avance


hackinginterdit a dit :
Bonjour,
Redémarre en mode sans échec et fais une restauration système tu prends une date avant d'avoir attrapé cette daube !

http://hacking.interdit.free.fr/phpBB3/viewtopic.php?f=...


Contenus similaires
31 Janvier 2012 21:26:20

Tu as redémarré en mode normal maintenant ?:??: 
31 Janvier 2012 21:34:58

Aucune idée, quand j'ai fait la restauration l'ordi s'est redemmaré seul, donc je ne sais pas si je suis encore en mode sans echec. Je l'éteind, je le rallume et je vois ce que ca donne ?
31 Janvier 2012 21:42:30

Non pas la peine tu es en mode normal

Première chose a faire si tu as adobe reader , Adobe flash player , Java il faut mettre tout ce beau monde a jour La gendarmerie était arrivé par un logiciel non a jour !

Très important A LIRE Mais surtout a faire

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash ==> http://forum.malekal.com/logiciels-pour-maintenir-ses-p...

Ensuite tu me fais ceci que je regarderai demain matin

TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.

Désactive ton Antivirus

Télécharge OTL sur ton Bureau.

  • Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
  • Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
  • L'écran principal de OTL s'affiche:



    (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity.

    (4) Sélectionne très précisément tout ce qui est dans le cadre ci dessous avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


    netsvcs
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop


    (5) Puis cliquer sur le bouton Analyse

    - Laisser l'outil travailler sans l'interrompre.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise le site http:// pour envoyer tes rapports, et poste le lien dans ta prochaine réponse.
    1 Février 2012 06:00:52

    Bonjour,

    Désactive ton antivirus

    Relance OTL.exe.

    Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    Sélectionne très précisément tout ce qui est dans le cadre ci dessous depuis RAS , avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

    RAS
    :OTL
    :Files
    C:\Users\Juliette\AppData\Roaming\ku9m2q9rrtc27mb6.dat
    ipconfig /flushdns /c
    C:\WINDOWS\tasks\*.job
    C:\WINDOWS\System32\*.tmp
    C:\WINDOWS\*.tmp

    :Commands
    [emptytemp]



    • Puis clique sur le bouton Correction en haut de la fenêtre.
    • Laisse le programme travailler sans te servir du PC!!!!!
    • Copie et colle le rapport dans ta réponse stp


  • Java n'est pas a jour
    Rends toi sur cette page : http://www.java.com/fr/download/installed.jsp

    Clique sur le bouton "Vérifier l'installation" . Un message va t'avertir que ta version est dépassée et te proposer de télécharger la dernière.Installe la : c'est la version J2SE Runtime Environnement 6 Update 30
    puis désinstalle tes anciennes versions (passe par Ajouter/Supprimer des programmes du Panneau de configuration).

    Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :



    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne Exécuter un examen rapide
    • Afin de lancer la recherche, clic sur " Rechercher ".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    • Si des infections sont présentes, clic sur "Afficher les résultats"
      puis sur "Supprimer la sélection".

      Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.


    2 Février 2012 19:50:53

    Re bonjour, voici le rapport


    All processes killed
    Error: Unable to interpret <RAS> in the current context!
    ========== OTL ==========
    ========== FILES ==========
    C:\Users\Juliette\AppData\Roaming\ku9m2q9rrtc27mb6.dat moved successfully.
    < ipconfig /flushdns /c >
    Configuration IP de Windows
    Cache de r‚solution DNS vid‚.
    C:\Users\Juliette\Desktop\cmd.bat deleted successfully.
    C:\Users\Juliette\Desktop\cmd.txt deleted successfully.
    File\Folder C:\WINDOWS\tasks\*.job not found.
    File\Folder C:\WINDOWS\System32\*.tmp not found.
    File\Folder C:\WINDOWS\*.tmp not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User

    User: Juliette
    ->Temp folder emptied: 4513830 bytes
    ->Temporary Internet Files folder emptied: 107517545 bytes
    ->Java cache emptied: 244876 bytes
    ->Flash cache emptied: 1642 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 16998631 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66991 bytes
    RecycleBin emptied: 29623 bytes

    Total Files Cleaned = 123,00 mb


    OTL by OldTimer - Version 3.2.31.0 log created on 02022012_192842

    Files\Folders moved on Reboot...
    C:\Users\Juliette\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF27B58BAF984332B9.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF400BA155A1BF5C88.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF40AB0FD62B57892D.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF46184E4CBAFBD546.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF4E67C3EF4F8F559E.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF7927C2682AF6F19F.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DF86707643F235912A.TMP not found!
    File\Folder C:\Users\Juliette\AppData\Local\Temp\~DFF485C51C711A5D97.TMP not found!
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IW9JBD3V\dis[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\IW9JBD3V\send[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EVFRLFSH\fastbutton[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\9H3C9O79\9[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\9H3C9O79\if[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\9H3C9O79\oauth[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\3AELYH2B\virus-gendarmerie-nationale-windows[1].htm moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
    C:\Users\Juliette\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

    Registry entries deleted on Reboot...
    2 Février 2012 20:13:38

    je viens de faire l'analyse avec MalwareByte's. Il n'a rien trouvé, faut -il que je te poste le rapport quand même ?
    merci !!
    2 Février 2012 20:52:48

    Bonsoir

    Citation :
    Il n'a rien trouvé, faut -il que je te poste le rapport quand même ?
    Non pas la peine

    C'est ok le gendarme caché était ici: C:\Users\Juliette\AppData\Roaming\ku9m2q9rrtc27mb6.dat moved successfully.

    Re-Lance OTL et clique sur purge outils.
    Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

    N'oublie pas a l'avenir de faire les mises a jour :D 

    Tu peux Ajoutez [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Modifier" (en bas)

    *Ajoute ensuite "résolu" à coté de ton titre et valide.
    * Clique ensuite sur "Mettre à jour"

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    Il ne me reste plus qu'à te souhaiter une bonne fin de soirée et un bon surf!!!

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS