Se connecter / S'enregistrer
Votre question

[RESOLU] virus gendarmerie semble supprimé mais toujours là

Tags :
  • Virus
  • Kaspersky
  • Anti malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Juillet 2012 12:08:39

Bonjour,

Je viens solliciter votre aide car j'ai essayé plusieurs solutions proposées sur différents forums mais rien ne semble marcher.
J'ai le fameux "virus gendarmerie", j'ai essayé de le supprimer avec "kaspersky rescue disk 10" dans lequel j'ai fait une analyse qui a bien détecté le virus, dit l'avoir supprimé, mais quand je redémarre normalement sur le disque dur avec windows, il est toujours là. Idem avec le logiciel "malwarebyte antimalware", j'ai lancé l'analyse en mode sans échec, il a bien trouvé le virus, il me dit qu'il a été mis en quarantaine et supprimé avec succès dans le rapport, mais toujours impossible de démarrer en mode normal, le "message gendarmerie" est toujours là.
Je colle le rapport de malwarebyte au cas où cela puisse vous aider :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.27.04

Windows 7 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
jonathan :: POSTE4 [administrateur]

27/07/2012 10:27:38
mbam-log-2012-07-27 (10-27-38).txt

Type d'examen: Examen complet (C:\|D:\|P:\|S:\|U:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 512276
Temps écoulé: 1 heure(s), 10 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\jonathan\0.4589422749878983.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Je vous remercie d’avance de la précieuse aide que vous pouvez peut etre m'apporter, je ne sais plus quoi faire !!!

Autres pages sur : resolu virus gendarmerie semble supprime

a c 551 8 Sécurité
27 Juillet 2012 14:01:08

Bonjour,

En mode sans échec, tu as la main sur le pc, Tu peux lancer les outils donc ?

Si oui, fait ceci :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 551 8 Sécurité
    27 Juillet 2012 19:52:59

    Re-bonsoir,

    Plusieurs problèmes :

    - C'est un pc professionel, je ne devrais normalement pas intervenir dessus, car c'est possiblement contraire à ton contrat de travail et d'utilisation de ce pc, surtout s'il comporte des données professionnelles. Tu as l'autorisation de gérer ce pc sans l'accord de ton service informatique ?

    - Tu as la variante du virus dont il n'existe aucun moyen de décrypter les données, nous ne pouvons donc que nettoyer l'infection, en aucun cas tu ne retrouveras l'usage des documents qui ont été crypté !

    Il me faut ton accord vis à vis de l'utilisation de ce pc pro pour continuer le nettoyage de l'infection

    :jap: 
    30 Juillet 2012 09:17:35

    C'est effectivement un PC professionel, je travaille dans une petite structure de 6 personnes, tout le monde est bien au courant de ma démarche pour désinfecter ce PC, si nous n'y parvenons pas, nous pourrons effectivement faire appel à notre "service informatique" mais il s'agit d'une société extérieure, qui n'agira peut etre pas tout de suite.

    As tu une idée du genre de documents qui ont été "cryptés", puisque selon toi je ne pourrai pas les récupérer ?

    Tu as en tout cas mon "accord" pour continuer le nettoyage
    a c 551 8 Sécurité
    30 Juillet 2012 10:49:07

    Re,

    Citation :
    As tu une idée du genre de documents qui ont été "cryptés", puisque selon toi je ne pourrai pas les récupérer ?


    C'est assez aléatoire, cela concerne des exécutable (.exe), et parfois d'autres documents (texte, video, photo, etc ...)
    Les fichiers crypté sont renommé sans extension de cette manière :
    eFgdlkilBvlMfefrndG : une suite aléatoire de lettres minuscules et majuscules
    Est-ce que tu en vois sur ton pc ?

    On va nettoyer les restes de l'infection déjà :

    Désinstalle ces programmes dans ta liste des programmes (si présents) :

    - Viewpoint Manager (Remove Only)
    - Viewpoint Media Player (adware : logiciel publicitaire)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2008/04/04 19:10:26 | 000,030,152 | ---- | M] (Viewpoint Corporation) [Auto | Stopped] -- C:\Program Files\Viewpoint\Common\ViewpointService.exe -- (Viewpoint Service)
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Media Player\npViewpoint.dll (Viewpoint Corporation)
    O3 - HKU\S-1-5-21-827163502-3489305885-290033017-1152\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O4 - HKU\S-1-5-21-827163502-3489305885-290033017-1152..\Run: [uvttxsslncvhlxx] C:\ProgramData\uvttxssl.exe ()
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/07/26 14:27:43 | 000,000,000 | ---D | C] -- C:\ProgramData\pinbffatnxogsxw
    [2012/07/26 14:27:44 | 000,000,051 | ---- | M] () -- C:\ProgramData\wajsykyyfotlnue
    [2012/07/26 14:27:39 | 000,061,440 | ---- | M] () -- C:\ProgramData\uvttxssl.exe
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:0A8E2C33

    :Files
    C:\Program Files\Viewpoint

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    PS : en passant, faudra m'expliquer comment on peut se balader avec un client p2p sur un pc pro :ange: 
    30 Juillet 2012 11:44:47

    J'ai désinstallé les deux programmes, suivi ta procédure, et le PC démarre normalement maintenant, un grand merci, tu m'a bien dépanné parce qu'en plus, la "hot line" de la société qui gère notre informatique est en panne, un comble :) 

    Je joins le rapport OTL : http://pjjoint.malekal.com/files.php?id=20120730_6j12b1...

    Vois tu quelque chose d'évident que je pourrai faire pour éviter à l'avenir ce genre de mésaventure ? J'essaie pourtant de toujours mettre à jours les Flash, adobe reader, add on pour firefox & co ...

    P.S. : Pour ce qui est du client p2p, aussi étonnant que cela puisse paraitre, je l'ai installé à la demande de mon patron, pour lui montrer comment télécharger facilement films ou musiques ... :)  (je vais d'ailleurs de ce pas le désinstaller, il ne me sert à rien ici)
    a c 551 8 Sécurité
    30 Juillet 2012 14:26:44

    Re,

    Citation :
    P.S. : Pour ce qui est du client p2p, aussi étonnant que cela puisse paraitre, je l'ai installé à la demande de mon patron, pour lui montrer comment télécharger facilement films ou musiques ... :)  (je vais d'ailleurs de ce pas le désinstaller, il ne me sert à rien ici)

    ça promet ... :sarcastic: 

    Citation :
    Les fichiers crypté sont renommé sans extension de cette manière :
    eFgdlkilBvlMfefrndG : une suite aléatoire de lettres minuscules et majuscules
    Est-ce que tu en vois sur ton pc ?


    Est-ce que tu as repéré des fichiers de cette syntaxe sur ton pc ?

    Pour savoir si c'est la variante, et te donner des conseils pour éviter de la reprendre ...

    L'infection est arrivée comment ? en ouvrant une pièce jointe de mail, ou en naviguant sur internet ?
    30 Juillet 2012 14:54:18

    re,

    je n'ai trouvé aucun fichier crypté tels que tu les décris.

    Je ne sais pas exactement comment est arrivée l'infection, je l'ai trouvée en arrivant sur mon pc, alors que je l'avais laissé allumé, avec des pages internet d'ouvertes (rien de bien original : facebook, boites mail, peut être site d'annonce), bref, je pense plutôt à une variante "navigation", je n'ouvre jamais de pièce jointe sans savoir ce que c'est.
    a c 551 8 Sécurité
    30 Juillet 2012 19:45:59

    Re,

    Ok certaines arrivent par malwertising (publicité infectée), mais ça me semble bizarre si tu naviguais pas ...

    Bon, on va nettoyer et conclure alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Mise à jour du système et des logiciels :

    Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées si besoin :
    Démarrer -> tous les programmes -> windows update

    Met à jour les programmes suivants :
    - Java vers la version 7 update 5


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS