Se connecter / S'enregistrer
Votre question

Pourriez-vous résoudre mon problème concernant le virus de la gendarmerie?

Tags :
  • Windows defender
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Juin 2012 16:27:52

Bonjour,

Suite à infection virale gendarmerie, j'ai supprimé le blocage avec Windows Defender Offline.
J'ai passé ensuite Roguekiller et voici le rapport si j'arrive à trouver comment on insere un fichier...
Je vais continuer la procédure (OTL...) et je posterai un nouveau message.
L45

Autres pages sur : pourriez resoudre probleme concernant virus gendarmerie

a b 8 Sécurité
7 Juin 2012 16:41:20

Bonjour,

Pour le rapport il faut les héberger sur cjoint par exemple.
7 Juin 2012 16:43:53

ci joint un lien vers mon premier rapport roguekiller.
xxxx
merci de votre aide
L45
Contenus similaires
7 Juin 2012 16:49:53

Liens vers les rapports suivants.
xxxx
Je vais lancer OTL.
L45
7 Juin 2012 17:22:20

Rapport OTL.txt
xxxx
Rapport Extrats.txt
xxxx
Merci de votre aide, j'attends vos instructions.
Merci encore
L45
a b 8 Sécurité
7 Juin 2012 17:58:35

Re,

Tu sembles avoir deux antivirus, il ne faut en garder qu'un !

Tu as une copie saine d'un fichier locked ?

Tu connais ce dossier ?
D:\Documents and Settings\xxx\Application Data\Ceuyndai

  • Relance OTL.exe
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

    :OTL
    O4 - HKLM..\Run: [] File not found
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\S-1-5-21-1422204011-1033189416-825688854-7675\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\S-1-5-21-1422204011-1033189416-825688854-7675\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O33 - MountPoints2\{69b018ce-1c39-11e1-98c5-0021cc65ef77}\Shell - "" = AutoRun
    O33 - MountPoints2\{69b018ce-1c39-11e1-98c5-0021cc65ef77}\Shell\AutoRun\command - "" = "G:\WD SmartWare.exe" autoplay=true
    O33 - MountPoints2\{c9b2e3da-1c43-11e1-a85b-000000000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{c9b2e3da-1c43-11e1-a85b-000000000000}\Shell\AutoRun\command - "" = F:\Startme.exe
    O33 - MountPoints2\{f3184142-1e3d-11e0-a0c6-00247e04a0c6}\Shell - "" = AutoRun
    O33 - MountPoints2\{f3184142-1e3d-11e0-a0c6-00247e04a0c6}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Updater.cmd
    [2012/06/06 21:48:50 | 001,440,054 | ---- | C] () -- C:\WINDOWS\System32\winsh325
    [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
    [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
    [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
    [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
    [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
    [2011/12/01 23:32:55 | 000,034,816 | ---- | C] () -- D:\Documents and Settings\xxx\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2012/01/18 14:04:30 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    [2011/01/12 13:37:04 | 000,000,000 | -H-D | M] -- D:\Documents and Settings\All Users\Application Data\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche.
  • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
  • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    7 Juin 2012 18:19:30

    ci joint rapport OTL
    xxxx
    Angeldark a dit :
    Re,

    Tu sembles avoir deux antivirus, il ne faut en garder qu'un !
    c'est un pc pro, je ne maitrise pas ce qui est installé dessus.

    Tu as une copie saine d'un fichier locked ?
    Je vais regarder, je pense que je dois pouvoir trouver dans une sauvegarde.

    Tu connais ce dossier ?
    D:\Documents and Settings\xxx\Application Data\Ceuyndai
    non je ne connais pas

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      O4 - HKLM..\Run: [] File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
      O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-1422204011-1033189416-825688854-7675\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O7 - HKU\S-1-5-21-1422204011-1033189416-825688854-7675\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
      O33 - MountPoints2\{69b018ce-1c39-11e1-98c5-0021cc65ef77}\Shell - "" = AutoRun
      O33 - MountPoints2\{69b018ce-1c39-11e1-98c5-0021cc65ef77}\Shell\AutoRun\command - "" = "G:\WD SmartWare.exe" autoplay=true
      O33 - MountPoints2\{c9b2e3da-1c43-11e1-a85b-000000000000}\Shell - "" = AutoRun
      O33 - MountPoints2\{c9b2e3da-1c43-11e1-a85b-000000000000}\Shell\AutoRun\command - "" = F:\Startme.exe
      O33 - MountPoints2\{f3184142-1e3d-11e0-a0c6-00247e04a0c6}\Shell - "" = AutoRun
      O33 - MountPoints2\{f3184142-1e3d-11e0-a0c6-00247e04a0c6}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Updater.cmd
      [2012/06/06 21:48:50 | 001,440,054 | ---- | C] () -- C:\WINDOWS\System32\winsh325
      [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
      [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
      [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
      [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
      [2012/06/06 21:48:50 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
      [2011/12/01 23:32:55 | 000,034,816 | ---- | C] () -- D:\Documents and Settings\xxx\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      [2012/01/18 14:04:30 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
      [2011/01/12 13:37:04 | 000,000,000 | -H-D | M] -- D:\Documents and Settings\All Users\Application Data\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    a b 8 Sécurité
    7 Juin 2012 18:33:18

    Et mes questions ?
    7 Juin 2012 18:42:06

    j'ai répondu dans le texte! :p 
    j'ai un fichier sain & locked
    je ne connais pas Ceuyndai
    c'est un pc pro, je ne choisis pas ce qu'on installe dessus. je ne suis pas supposé le modifier..
    merci de ton aide vraiment!
    L45
    a b 8 Sécurité
    7 Juin 2012 21:59:29

    Ah pas vu désolé :D 
    Tu devrais leur dire que c'est pas bien d'avoir deux antivirus : ralentissements, conflits, etc.

    • Télécharge RannohDecryptor.exe (de Kaspersky) et enregistre-le sur ton Bureau.
    • Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur.
    • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK.
    • Clique sur Start scan.

    • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé.
    • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked.
    • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\.
    • Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s'il est trop long et indique le lien.

    • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
    8 Juin 2012 11:03:41

    Bonjour Darkangel
    J'ai lancé plusieurs fois rannohdecryptor car plusieurs pb d'espace disque mais maintenant tout est à peu près clean. Je ne veux pas mettre en ligne tout le contenu de mes disques car c des infos sensibles. S'il y a des infos précises que tu veux vérifier dans les rapports, dis moi ce que tu souhaites voir. Y a t'il d'autres choses à faire maintenant?
    En tous cas je suis en train de faire des sauvegardes ça m'aura au moins servi à voir qu'il y a encore des points faibles dans la sécurité informatique...
    Encore une fois merci de ton action.
    8 Juin 2012 13:34:28

    Bonjour, Angeldark

    J'ai moi même était infecté par ce virus, tous mes fichiers (en gros toute ma bibliothèque est infestée et mes fichiers sont bloqués). J'ai d'abord procéder à une restauration système, le résultat plus de virus et plus de message d'alerte. J'ai installer un anti-virus (bitdefender). Mes fichiers restent "locked" je sollicite ton aide pour résoudre mon problème, stp. Merci d'avance
    a b 8 Sécurité
    8 Juin 2012 16:31:26

    @Tquilabass : merci de créer ton propre sujet
    logarithme45 : on n'a pas tout à fait fini, je veux pas te revoir demain pour le même prob :D 

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


  • &

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS