Votre question

Virus Gendarmerie Nationale[résolu]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Février 2012 19:11:36

Bonjour,

Ma configuration est sous Windows 7. Mes navigateurs sont soient Firefox 10.0.1, soit I.E. Je suis infecté par le virus Gendarmerie. Je dispose de 2 profils dont un est administrateur. J'ai suivi le tutoriel sur www.malekal.com et j'ai exécuté la procédure sur ma session (en même temps administrateur). Les fichiers infectés ont été bien sûr détectés et supprimés. Malgré cela au redémarrage, la "page" apparait toujours. Pouvez-vous m'aider ? Merci d'avance.

Autres pages sur : virus gendarmerie nationale resolu

19 Février 2012 19:10:09

Bonsoir
qu'as-tu fais au juste?

poste les rapports des outils que tu as utilisé stp

20 Février 2012 10:43:28

Bonjour Sham Rock,

J'ai suivi la procédure suivante :
1. J'ai démarré en mode sans échec avec une prise en charge réseau
2. J'ai choisi ma session habituelle (il y en a 2) qui est aussi administrateur
3. J'ai installé et exécuté Malwarebyte
4. J'ai supprimé les fichiers infectés qu'il a détecté
5. J'ai renouvelé l'opération 2 fois car la "page" était toujours présente lors du redémarrage en mode normal

Je te joins le dernier rapport. Merci pour ton aide.

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.18.07

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Isabelle :: ANGKOR [administrateur]

18/02/2012 20:56:20
mbam-log-2012-02-18 (20-56-20).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433797
Temps écoulé: 42 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Contenus similaires
20 Février 2012 22:05:21

Bonsoir
ok
MBAM est beaucoup moins efficace en mode sans échec....

Quand tu démarres en mode sans échec, tu as essayé de faire tout bêtement une restauration système à une date antérieure à l'infection?
possible que ça marche avec ton seven64 bit.

si ça ne marche pas, on va le faire avec un CD live:

Télécharge OTLPENet.
Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une image iso.
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD.
Tuto OTLPE

Tu lances l'iso d'OTLPENet que tu as gravé.
  • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

  • Double-clique sur l'icone OTLPE
  • quand demandé "Do you wish to load the remote registry", select Yes
  • quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
  • vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK



  • sous Custom Scan box
    1 copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    volsnap.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    imapi.sys
    RDPCDD.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    intelide.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\repair\*.*
    %systemroot%\repair\*.
    %systemroot%\repair\*
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


  • copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
  • 2 Clic Run Scan pour démarrer le scan.
  • Une fois terminé , le fichier se trouve là C:\OTL.txt
  • Copie_colle le contenu dans ta prochaine réponse.

    +++++++++++++++++++++++++++++++++++


    20 Février 2012 22:38:36

    Bonsoir,

    Oui, j'ai en effet essayé de restaurer les système mais en vain. Il indiquait une anomalie dont je ne me souviens guère du contenu. je tente ta solution d'en demain. Merci pour le suivi.
    21 Février 2012 12:08:27

    Bonjour Sham Rock,

    Je suis coincé. Une fois le bureau Reatogo chargé et OTLPENet exécuté, la série de questions ne se présente pas. A la place j'ai une fenêtre "Browse for folder" avec le message "Choose Windows Directory". Je ne sais pas ce que je dois faire, j'attends tes instructions.
    Si cela peut t'aider, avant de booter sur le CD, j'ai lancé par erreur OTLPENet directement du CD. Comme il n'y avait vraiment d'action et en relisant tes notes. J'ai booté sur le CD.
    22 Février 2012 09:56:52

    Bonjour Sham Rock

    Pas d'évolution. Quoi que je choisisse. Le message est le suivant : RunScanner Error. Target is not Windows 2000 or later.
    22 Février 2012 17:53:18

    Bonjour
    tu veux dire quel que soit le disque que tu choisis?
    je te mets un autre tutoriel:
    http://forum.malekal.com/otlpe-live-t23453.html
    comme tu vois, c'est assez fréquent ce :
    Citation :
    ** si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:) 


    réessaye, si ça ne marche pas, tu essayes le cd d'otlpe sur un autre pc, si ça ne marche toujours pas, tu recommences la procédure et tu crée un nouveau cd.

    23 Février 2012 10:08:42

    Bonjour Sham Rock

    Mon système est bien un Windows 7 64bits. Mais il fallait finalement aller chercher dans Share Documents. Le rapport était là aussi et pas sur C: Au fait, pour quitter le bureau Reatogo, je n'avais pas d'autre choix que de débrancher. Il était impossible d'éteindre par le logiciel.

    Voici le rapport : http://cjoint.com/?3BxklKWYcSK






    23 Février 2012 21:42:02

    Bonsoir
    l'infection n'est pas visible...
    explorer n'est pas patché alors que c'est ce que je voulais voir depuis le début....

    tu as toujours cette page gendarmerie qui s'affiche?


    en mode normal ou en mode sans échec si tu ne peux pas faire autrement:

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>

    +++++++++++++++++++++
    29 Février 2012 12:09:20

    Bonjour Sham Rock,

    En effet, la "page" n'est plus visible mais l'aspect visuel de certaines parties de Windows et de certains logiciels ont changé. Leur "présentation" ou look s'est s'est appauvrie. Pour l'instant, je n'ose pas utiliser le PC de manière normale. De plus, lorsque j'allume mon PC, le ventilateur se met à souffler à fonds et en continu alors que les ressources n'indiquent aucune activité exceptionnelle. J'ai donc quand même exécuté Combofix dont voici le rapport : http://cjoint.com/?0BDmgqVD6Fo.

    Merci pour ta patience




    1 Mars 2012 08:45:43

    Bonjour Sham Rock,

    J'ai 3 disques de la marque (HP) mais j'ignore ce qu'il y a dedans. Windows 7 était préchargé.
    Excuse-moi mais je n'ai rien fait de plus, car je ne sais pas, que ce tu m'a conseillé mis à part une mise à jour de mon antivirus. J'ai peut-être mal fait aussi.
    Je viens d'aller sur la panneau de configuration/ résoudre les problèmes/ Affichage, j'ai cliqué sur rechercher et tout est revenu à la normale même dans les logiciels (Outlook, Firefox, OpenOffice,...). Si j'ai bien suivi, je crois qu'une des actions avait désactivé l'affichage Aero.
    Peux-tu me dire si je peux ré-utiliser le poste ? qu'il n'y a plus rien ?
    Quelles actions préventives conseilles-tu maintenant ? Ce qui m'a le plus énervé, c'est cette sauvegarde automatique du système qui prend une place dingue et qui n'a été foutu de venir en aide.



    1 Mars 2012 21:39:32

    Bonsoir
    je ne voyais pas les points de dysfonctionnement dans tes rapports, mais pour moi c'est propre.



    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.
    (mais garde Malwarebytes' Anti-Malware pour faire des scan réguliers (en n'omettant pas de le mettre à jour)

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    ++++++
    4 Mars 2012 21:02:20

    Résolu.
    Merci pour toute ton aide. Merci à la plateforme Tom's Guide. Continuez comme ça.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS