Votre question

Virus gendarmerie PC Bloqué (un de plus) - Réglé!

Tags :
  • Virus
  • Base de registre
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Juillet 2012 20:51:38

Bonjour,

Mon PC est bloqué au démarrage.
J'ai installé ROGUEKILLER.
Voici le texte du scan réalisé:

RogueKiller V7.6.4 [07/17/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekill...
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User: SYSTEM [Admin rights]
Mode: Scan -- Date: 07/30/2012 21:30:49

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 8 ¤¤¤
[HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[SUSP PATH] [ON_C:]HKLM\Software[...]\Run : resultraid (C:\Users\Christophe\AppData\Roaming\resultraid.exe) -> FOUND
[SUSP PATH] [ON_C:]HKLM\Software[...]\Run : xuvpfeozntvrmki (C:\ProgramData\xuvpfeoz.exe) -> FOUND
[SUSP PATH] [ON_C:Christophe]HKCU[...]\Run : xuvpfeozntvrmki (C:\ProgramData\xuvpfeoz.exe) -> FOUND
[SUSP PATH] [ON_C:Christophe]HKCU[...]\Windows : Load (C:\Users\CHRIST~1\LOCALS~1\Temp\mstguw.cmd) -> FOUND
[SUSP PATH] [ON_C:Christophe]HKCU[...]\Run : xuvpfeozntvrmki (C:\ProgramData\xuvpfeoz.exe) -> FOUND
[SUSP PATH] [ON_C:Christophe]HKCU[...]\Windows : Load (C:\Users\CHRIST~1\LOCALS~1\Temp\mstguw.cmd) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 078952f8630341aaec57b4888e3daba4
[BSP] 51f1730814fe5b5560a97360af7e5089 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 147501 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 323055616 | Size: 143872 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 617705472 | Size: 3630 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt

Que dois-je faire ensuite?

Merci pour votre aide!

Christophe

Autres pages sur : virus gendarmerie bloque regle

a c 614 8 Sécurité
31 Juillet 2012 10:48:32

Bonjour,

à faire :

Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.

  • Une fois l'initialisation terminée, choisis l'option 2 (suppression) et valide.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)

    à partir de là tu devrais pouvoir redémarrer le pc normalement, fais alors ceci pour qu'on continue le ménage :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    31 Juillet 2012 21:16:15

    Bonsoir.

    Voici le rapport après la suppression :
    Operating System: Windows XP (5.1.2600 ) 32 bits version
    Started in : Normal mode
    User: SYSTEM [Admin rights]
    Mode: Remove -- Date: 07/31/2012 23:31:16

    ¤¤¤ Bad processes: 0 ¤¤¤

    ¤¤¤ Registry Entries: 6 ¤¤¤
    [HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [SUSP PATH] [ON_C:]HKLM\Software[...]\Run : resultraid (C:\Users\Christophe\AppData\Roaming\resultraid.exe) -> DELETED
    [SUSP PATH] [ON_C:]HKLM\Software[...]\Run : xuvpfeozntvrmki (C:\ProgramData\xuvpfeoz.exe) -> DELETED
    [SUSP PATH] [ON_C:Christophe]HKCU[...]\Run : xuvpfeozntvrmki (C:\ProgramData\xuvpfeoz.exe) -> DELETED
    [SUSP PATH] [ON_C:Christophe]HKCU[...]\Windows : Load (C:\Users\CHRIST~1\LOCALS~1\Temp\mstguw.cmd) -> DELETED

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    127.0.0.1 localhost


    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 078952f8630341aaec57b4888e3daba4
    [BSP] 51f1730814fe5b5560a97360af7e5089 : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 147501 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 323055616 | Size: 143872 Mo
    3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 617705472 | Size: 3630 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 8780cbc7d761a46a33c2adff3939802c
    [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 3823 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Finished : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt


    Effectivement, je peux maintenant démarrer le PC et il n'est plus bloqué.

    Je continue avec OTL?

    Christophe
    Contenus similaires
    a c 614 8 Sécurité
    31 Juillet 2012 22:55:23

    Re,

    On commence juste la désinfection, c'est seulement quand je signalerais que nous aurons terminé ;) 

    Une raison pour que ce pc ne soit pas au service pack 2 de Vista ?


    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note :si tu obtiens une erreur, passe au suivant et poursuit la procédure

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
    - Yahoo! Toolbar (idem)
    - J2SE Runtime Environment 5.0 Update 9 (version obsolète et dangereuse : faille exploitable)
    - Adobe Reader 8.1.3 (idem)
    - Norton Security Scan (inutile avec McAfee)

    - Trojan Killer 2.0 (logiciel inutile et limite arnaque)
    - Babylon (adware : logiciel publicitaire)
    - Babylon toolbar / myBabylon_English4 Toolbar (idem)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2010/11/07 11:22:00 | 000,286,720 | ---- | M] (Babylon Ltd.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4aa9f9da000000000000001de09bdd89&tlver=1.4.19.19&ss=1&affID=18026
    IE - HKLM\..\URLSearchHook: {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyBa.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-3582374656-2853443023-197839810-1000\..\URLSearchHook: {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyBa.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-3582374656-2853443023-197839810-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch
    IE - HKU\S-1-5-21-3582374656-2853443023-197839810-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4aa9f9da000000000000001de09bdd89&tlver=1.4.19.19&ss=1&affID=18026
    FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}: C:\Program Files\PriceGong\2.1.0\FF [2010/08/09 23:38:04 | 000,000,000 | ---D | M]
    [2011/06/05 13:08:52 | 000,002,428 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    CHR - homepage: http://search.babylon.com/?babsrc=HP_ss&mntrId=4aa9f9da000000000000001de09bdd89&tlver=1.4.19.19&ss=1&affID=18026
    CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll
    CHR - Extension: Babylon Translator = C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.3_0\
    O2 - BHO: (PriceGongBHO Class) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.1.0\PriceGongIE.dll (PriceGong)
    O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll (Sun Microsystems, Inc.)
    O2 - BHO: (myBabylon English4 Toolbar) - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyBa.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKLM\..\Toolbar: (myBabylon English4 Toolbar) - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyBa.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-3582374656-2853443023-197839810-1000\..\Toolbar\WebBrowser: (myBabylon English4 Toolbar) - {FC600575-3013-4E8E-941C-4B00DAFCE730} - C:\Program Files\myBabylon_English4\tbmyBa.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
    O4 - HKU\S-1-5-21-3582374656-2853443023-197839810-1000..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103470 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB7.2; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; eSobiSubscriber 2.0.4.16; .NET4.0C)" -"http://www.neroucheffmichel.be/html/ClasseInsecte/ClasseInsecte.html" File not found
    O9 - Extra Button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
    O9 - Extra 'Tools' menuitem : Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found
    [2012/07/28 01:21:42 | 000,000,000 | ---D | C] -- C:\ProgramData\shpxnvwhnooqtgd
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [2012/07/31 23:38:00 | 000,000,396 | ---- | M] () -- C:\Windows\tasks\Final Media Player Update Checker.job
    [2012/07/28 01:21:44 | 000,000,051 | ---- | M] () -- C:\ProgramData\zdlogaumfbtrshl
    File not found -- C:\ProgramData\xuvpfeoz.exe
    File not found -- C:\Users\Christophe\ms.exe
    [2011/03/10 21:24:08 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\AntiVirus AntiSpyware 2011
    [2010/08/09 23:38:32 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Babylon
    [2012/03/02 09:54:27 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Yqene
    [2012/02/24 23:50:31 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Yxryk
    [2012/03/04 09:58:10 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Updat
    [2012/03/04 09:58:08 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Qeny
    [2012/02/24 23:46:36 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Owewsi
    [2012/03/02 09:56:42 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Iqli
    [2012/02/24 23:50:31 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Laawi
    [2012/03/02 16:05:31 | 000,000,000 | ---D | M] -- C:\Users\Christophe\AppData\Roaming\Afnou
    @Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:8AB6C1D7
    @Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:8173A019

    :Reg
    [-HKEY_USERS\S-1-5-21-3582374656-2853443023-197839810-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVirus AntiSpyware 2011]

    :Files
    C:\Program Files\BabylonToolbar
    C:\Program Files\PriceGong

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 614 8 Sécurité
    3 Août 2012 22:12:54

    Re,

    Citation :
    Dois-je faire autre chose?


    Répondre à mes questions ? :) 

    Citation :
    Une raison pour que ce pc ne soit pas au service pack 2 de Vista ?


    Puis :

    As-tu encore des problèmes/symptômes sur ce pc ?
    4 Août 2012 12:46:03

    Pour l'histoire du pack, je n'en ai pas la moindre idée. C'était déjà installé dans le PC à son achat.

    Sinon non aucun souci avec ce PC.

    Merci du coup de main!!!
    a c 614 8 Sécurité
    4 Août 2012 14:06:10

    Re,

    Ok, on fera les mises à jour alors, on va conclure :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Mise à jour du système et des logiciels :


    Met à jour ton système vers le service pack 2 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> tous les programmes -> Windows update


    Met à jour les programmes suivants :
    - Java vers la version 7 update 5
    - Adobe reader vers X (10.1.x) (vérifie que les anciennes versions sont supprimée)
    - Flash player ActiveX vers 11.3 (11.3.x) : avec Internet Explorer et non Chrome



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS