Se connecter / S'enregistrer
Votre question

Infecté par le virus gendarmerie

Tags :
  • Wireless
  • Virus
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Juillet 2012 21:25:21

Bonsoir, mon ordinateur portable a été infecté il y a quelques jours par le « virus gendarmerie ».
Par chance, une touche wireless située à l’avant de celui-ci me permet de désactiver toute réception de signal wifi, et par là me laisse accès libre à mon bureau ainsi qu’à l’ensemble de mes fichiers.

Mon antivirus m’indique la présence d’un cheval de Troie dont la référence est : « Une variante de Win32/Reveton.H cheval de troie ». Il m’est également possible de publier le rapport d’erreurs pour plus de précisions.

Si les termes employés sont imprécis ou inexactes veuillez m’en excuser, je suis une bille en informatique. Aussi, bien qu’ayant aperçu et consulté nombre de topics à ce sujet, j’ai préféré moi- même en poster un, de manière à ce qu’il me soit le plus compréhensible et personnalisé possible.

Je crois avoir dit tout ce que je suis en mesure de comprendre.
Ce serait extrêmement gentil de votre part de m'accorder un peu de votre temps pour me débarrasser de cette saloperie.

Alienlovesecrets.

Autres pages sur : infecte virus gendarmerie

a c 547 8 Sécurité
28 Juillet 2012 20:07:21

Bonsoir,

On va regarder ça.

Si tu as accès normalement à ta session, fait ceci, au besoin télécharge sur un pc connecté et transfère via clé usb (pas de transmission avec ce malware)
Et inversement pour les rapports obtenu :

Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    29 Juillet 2012 20:53:33

    Je poste tout ça demain. Un grand merci pour votre réactivité.
    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    30 Juillet 2012 19:40:07

    Re,

    Ok pas grave pour le second rapport, on fera sans pour le moment.

    Pas de traces visible de l'infection.

    Peux-tu me donner le fichier et son emplacement détecté par ton antivirus ?
    Citation :

    Mon antivirus m’indique la présence d’un cheval de Troie dont la référence est : « Une variante de Win32/Reveton.H cheval de troie ». Il m’est également possible de publier le rapport d’erreurs pour plus de précisions.


    :jap: 
    m
    0
    l
    a c 547 8 Sécurité
    30 Juillet 2012 20:24:41

    Re,

    Ok il avait nettoyé le fichier principal, on va virer les restes :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2012/07/06 05:31:59 | 000,255,136 | ---- | M] () -- C:\Users\Nicolas\AppData\Local\Temp\roper0dun.exe
    O4 - Startup: C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk = C:\Users\Nicolas\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (Microsoft Corporation)


    :Files
    C:\Users\Nicolas\AppData\Roaming\Microsoft\Notification de cadeaux MSN

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Puis pour nettoyer les adwares (logiciels publicitaires) :

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
    m
    0
    l
    a c 547 8 Sécurité
    30 Juillet 2012 21:51:39

    Re,

    Concernant OTL tu as mal recopié le script avant la correction.

    pense à bien copier tout l'encadré.

    Refait cette partie seulement. ;) 
    m
    0
    l
    30 Juillet 2012 22:58:25

    Après plusieurs tentatives je crois y être parvenu :)  (en cherchant à copier/coller à partir d'OpenOffice le cadrage n'était pas conservé)
    En principe c'est ok, en principe... Mais je ne sais pas comment modifier l'extension de fichier!

    m
    0
    l
    30 Juillet 2012 23:23:42

    Donnons-nous rendez-vous demain si vous êtes disponible, pour la suite...
    m
    0
    l
    a c 547 8 Sécurité
    31 Juillet 2012 10:44:53

    Bonjour,

    oui c'est bon pour le script.

    Tu ne devrais plus avoir d'alerte à présent.

    On va faire un dernier scan avant nettoyage pour vérifier :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    31 Juillet 2012 12:51:48

    Bonjour, l'analyse est en cours
    m
    0
    l
    a c 547 8 Sécurité
    31 Juillet 2012 16:29:47

    Re,

    Oui ce doit être ok maintenant. Plus d'alerte de ton antivirus ?

    On nettoie les outils :
    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le désires, pense alors à le mettre à jour auparavant, sinon désinstalle-le dans ta liste des programmes.



    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Si besoin, le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Si besoin le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

  • Clique sur Update Flash à droite.Si besoin et selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    31 Juillet 2012 17:40:53

    Re,
    Alors qu'il effectuait la mise à jour, l'écran de mon pc s'est bloqué sur la page internet d'adobe reader. N'ayant plus la main sur la fermeture de la page, j'ai été contraint d'arrêter mon pc manuellement...
    m
    0
    l
    a c 547 8 Sécurité
    31 Juillet 2012 19:02:01

    Re,

    c'était déjà arrivé ce genre de plantage ?

    au redémarrage le pc se comportait normalement ?
    Tu as retenté la mise à jour d'adobe reader ?
    m
    0
    l
    31 Juillet 2012 20:03:22

    Re,
    Très rarement
    Oui le pc se comportait normalement.

    J'ai mis adobe reader à jour lors d'une une autre tentative; j'ai trouvé que la mise à jour était un peu "poussive" mais ce n'est peut-être que mon avis. Cependant malgré cette nouvelle version d'adobe reader et un redémarrage, le logiciel SXCU m'indique que j'utilise une version qui n'est plus supportée, que je dois la désinstaller et télécharger la dernière version...? (Peut-être que je m'y prends mal)

    Par ailleurs je ne parviens pas à mettre à jour ma version d'Adobe Acrobat. Est-ce gênant pour la sécurité?

    En définitive, je crois avoir passé trop de temps devant l'écran, tout ça n'est plus très clair pour moi!

    Je ne sais pas si c'est utile:
    http://pjjoint.malekal.com/files.php?id=20120731_g10k6u...
    m
    0
    l
    a c 547 8 Sécurité
    31 Juillet 2012 22:30:26

    Re,

    Citation :
    Name : Adobe Acrobat 8.1.4 Standard
    Version : 8.1.4
    Adobe Reader n'est pas à jour!


    La branche 8.x d'abode reader n'est plus supportée par adobe, donc elle est potentiellement vulnérable

    Désinstalle-là dans ta liste des programmes, puis passe à la version 10.x :
    http://get.adobe.com/fr/reader/

    Et oui, maintenir ce genre de logiciel à jour, tout comme java et flash est très important, les infection utilisent les failles de ces logiciels en navigation ou non pour infecter un système ;) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS