Votre question

Ordinateur infecté par le "virus de la gendarmerie"

Tags :
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Octobre 2012 11:53:20

Bonjour,

Après recherche sur quelques forums, j'ai constaté qu'il s'agissait bien d'un virus, mais j'ai lu beaucoup de solutions différentes que j'avoue ne pas très bien comprendre... Est-ce que quelqu'un peut me renseigner sur la procédure à suivre pour se débarrasser de ce virus ? Je suis sur Windows 7 et j'arrive à démarrer en mode sans échec avec prise en charge réseau sans être bloqué.
Merci d'avance

Autres pages sur : ordinateur infecte virus gendarmerie

a c 690 8 Sécurité
6 Octobre 2012 13:41:19

blackbool a dit :
Bonjour,

Après recherche sur quelques forums, j'ai constaté qu'il s'agissait bien d'un virus, mais j'ai lu beaucoup de solutions différentes que j'avoue ne pas très bien comprendre... Est-ce que quelqu'un peut me renseigner sur la procédure à suivre pour se débarrasser de ce virus ? Je suis sur Windows 7 et j'arrive à démarrer en mode sans échec avec prise en charge réseau sans être bloqué.
Merci d'avance


hello

toujours en mode sans échec avec prise en charge réseau, tu fais ceci

=====================
Malwaresbyte's Anti-Malware


Télécharge MalwareByte's Anti-Malware sur ton Bureau.
en cliquant sur Download Now version FREE

/!\ prendre la version gratuite /!\




  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
    Une fois l'installation et la mise à jour effectuées :

    ==>> Dans l'onglet Paramètres,
  • puis Paramètres d'examen,
  • sélectionne Afficher dans les résultats,
  • pré-cocher pour suppression pour les 2 actions
  • Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
  • Afin de lancer la recherche, clic sur "Rechercher
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

    *_* Attention Deux possibilités s'offrent à toi :

  • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

  • Si des infections sont présentes

  • clic sur " Afficher les résultats"
  • puis sur " Supprimer la sélection. "
  • Enregistre le rapport sur ton Bureau.
  • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE :
    Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
    accepte en cliquant sur
    Ok

[/color]


  • si au reboot , ton pc reste figé

    il faut faire la combinaison des touches suivantes ==>>

    ctrl+ alt+ suppr
    dans le gestinonnaire de taches
    nouvelle tache
    taper explorer.exe
    entrée


    !!! Ne pas vider la quarantaine de MBAM sans avis !!!

    ===========================

    ensuite redémarre ton pc , et dis moi si tu es en mode normal





    6 Octobre 2012 14:20:49

    Bonjour,

    J'ai suivi toutes les instructions et après suppression des infections, mon ordi a redémarré normalement, merci beaucoup pour ton aide et pour la rapidité de ta réponse! :) 

    Voilà le rapport généré après suppression:

    Malwarebytes Anti-Malware (Essai) 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.10.06.02

    Windows 7 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    Clément :: CLÉMENT-VAIO [administrateur]

    Protection: Désactivé

    06/10/2012 14:05:08
    mbam-log-2012-10-06 (14-05-08).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 206513
    Temps écoulé: 3 minute(s), 58 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 20
    HKCR\CLSID\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{44444444-4444-4444-4444-440044464439} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{55555555-5555-5555-5555-550055465539} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.BHO.1 (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011461139} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{22222222-2222-2222-2222-220022462239} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.Sandbox.1 (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.Sandbox (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{33333333-3333-3333-3333-330033463339} (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.FBApi.1 (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.FBApi (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CrossriderApp0004639.BHO (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavingsApp (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|fmnmdwwclpcyazu (Trojan.Winlock) -> Données: C:\ProgramData\fmnmdwwc.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: ;áÃzÊ;XA³0öm»Áµ -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Mis en quarantaine et supprimé avec succès.
    HKCU\Software\InstalledBrowserExtensions\215 Apps|4639 (PUP.CrossFire.SA) -> Données: SavingsApp -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavingsApp|Publisher (PUP.CrossFire.SA) -> Données: 215 Apps -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 1
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1&cf=33044553-2049-11e1-bbac-0...) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 1
    C:\Program Files (x86)\SavingsApp (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 10
    C:\ProgramData\fmnmdwwc.exe (Trojan.Winlock) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsApp.dll (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Clément\ms.exe (Trojan.Winlock) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsAppInstaller.log (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsApp.exe (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsApp.ico (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsApp.ini (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\SavingsAppGui.exe (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\SavingsApp\Uninstall.exe (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Clément\Local Settings\Application Data\SavingsApp\Chrome\SavingsApp.crx (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Est-ce qu'il y a d'autres étapes maintenant ??
    Contenus similaires
    a c 690 8 Sécurité
    6 Octobre 2012 16:09:56

    blackbool a dit :
    Bonjour,


    Est-ce qu'il y a d'autres étapes maintenant ??


    hello

    oui, il y aura d'autres étapes , ce soir, là je suis au boulot
    a c 690 8 Sécurité
    6 Octobre 2012 17:32:34

    hello

    comme promis , on continue avec ceci
    =============================
    1)
    ===================
    Adwcleaner


    Option Suppression :

    ===================

    * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    /!\ Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même /!\

    * Lance le, clique sur [Suppression]



  • pour les possesseurs de l'antivirus antivir , qui ont activé les conditions d'installation du Webguard d'Antivir dans sa version gratuite.
    Désactivez la recherche/suppression de la barre d'outil et des programmes Ask.

  • lire le tuto indiquant la procédure de désactivation.

    un tuto d' aide à lire

    * puis patiente le temps du scan.
    * Une fois le scan fini, un rapport s'ouvrira.
    * Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Tu hébergeras le rapport ici (clique sur cjpoint en vert , ceci va t'ouvrir une fenête)i : cjoint

    * Clique sur Parcourir pour rechercher le rapport C:\AdwCleaner[S1].txt
    * puis clique sur : Cliquez ici pour déposer le fichier
    * Donne le lien dans le sujet.
    * Il est de type : http://cjoint.com/?jdkmb35QPK
    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport


  • Tutoriel sur adwcleaner avec capture à l'appui

    ===================
    2)

    ZHPDiag de Nicolas Coolman

    Télécharge ZHPDiag
    de Nicolas Coolman sur ton Bureau

    Lance l'outil : double-clique sur ZHPDiag pour XP


    ====================================
    ceci ne concerne que vista et seven

    Pour Vista et seven
    fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

    ====================================

    il faut vérifier si la version de zhpdiag est bien à jour.

    si elle n'y est pas
    clique sur la grosse flèche verte pour la mise à jour de l'outil

    Clic sur la petite loupe en haut à gauche pour débuter l'analyse :

    L'analyse peut durer une dizaine de minutes

    Une fois le scan terminé,

  • clique sur l'icône en forme de disquette
  • et enregistre le fichier sur ton bureau.

    Le rapport généré par l'outil se nomme ZHPDiag.txt,

    Tu hébergeras le rapport ici (clique sur cjpoint en vert , ceci va t'ouvrir une fenête)i : cjoint

    * Clique sur Parcourir pour rechercher le rapport ZHPDiag.txt
    qui se trouve sur le bureau

    * puis clique sur : Cliquez ici pour déposer le fichier

    * Donne le lien dans le sujet.

    * Il est de type : http://cjoint.com/?jdkmb35QPK

    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport
    pour que je puisse le télécharger et l'analyser


    /!\Information relative à Internet Explorer 9 : /!\

    Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



    Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
    (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


    Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"


    Autre lien de téléchargement de l'outil sans alerte : ZHPDiag.zip (Site de l'éditeur)

    ============================

    à te lire avec les rapports demandés
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS