Votre question

Virus gendarmerie nationale?

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Janvier 2013 18:28:29

Bonsoir,

Il y a quelques jours, j'ai eu la fameuse page de la gendarmerie nationale qui s'est affichée sur mon ordinateur.
Depuis tout à l'air de bien marcher malgré cela mais je voudrais m'assurer qu'il n'y a pas une infection qui traîne quelque part!

Je remercie par avance la personne qui m'aidera :) 

Autres pages sur : virus gendarmerie nationale

12 Janvier 2013 18:44:42

Bonsoir :) 
commence par faire un scan avec Mbam pour voir:
(après, on utilisera un autre outil pour tout vérifier)

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware
    12 Janvier 2013 21:13:49

    Merci pour ta réponse rapide!

    Voilà le rapport de Mbam. J'ai dû redémarrer pour terminer la suppression, aucun problème au démarrage.

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.01.12.08

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Rozenn :: ROZENN-TOSH [administrateur]

    12/01/2013 19:21:51
    mbam-log-2013-01-12 (19-21-51).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 444689
    Temps écoulé: 56 minute(s), 55 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 6
    C:\Users\Rozenn\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
    C:\Users\Rozenn\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Rozenn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\6be7fdbc-622f80a1 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    Contenus similaires
    13 Janvier 2013 12:33:16

    bonjour
    parfait :) 
    supprime manuellement:
    C:\Users\Rozenn\Downloads\spybot_telechargement_01net.exe

    si tu as installé spybot, tu peux d'ores et déjà le désinstaller, c'est outil est complétement dépassé par les nouvelles infections...

    Ton système n'était pas à jour, c'est pour cela que tu t'es infecté. On terminera par cela mais avant, on va tout vérifier:


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En cas de problème, voir cette aide à l'utilisation ici.


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    14 Janvier 2013 21:17:03

    Bonsoir
    ta pratique du p2p ne me semble pas très secure...
    vu que tu as modifié ton hosts pour éviter les maj adobe (liés au fait que tu as un CS5 piraté) et bien, tu n'es plus à jour.
    et c'est la porte par laquelle entre le virus...
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...


    étape 1

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    @Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:4AB6A08F
    @Alternate Data Stream - 156 bytes -> C:\ProgramData\TEMP:C9F873D0
    @Alternate Data Stream - 156 bytes -> C:\ProgramData\TEMP:A213D1FE
    @Alternate Data Stream - 153 bytes -> C:\ProgramData\TEMP:D05E7A8B
    @Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:3D11302A
    @Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:3EEE7620
    @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:61AF91EC
    @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:1DD12619
    @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:0807AFBC
    @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:AE9DFC85
    @Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:04406D73
    @Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:26336C6B
    @Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:8FBE0E9C
    @Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:F42CF153
    @Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:CE860540
    @Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:DA3C6C07
    @Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:9756362E
    @Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:05650B69
    @Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:17FF6514
    @Alternate Data Stream - 135 bytes -> C:\ProgramData\TEMP:0D46EE43
    @Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:C085F80B
    @Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:5F538558
    @Alternate Data Stream - 132 bytes -> C:\ProgramData\TEMP:E8AB98F0
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:F86CC73E
    @Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:A93CBF2B
    @Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:55F142C1
    @Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:30C46519
    @Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:444B0A4E
    @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:45BC0AAA
    @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:1ECB0F6C
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:FF818E2B
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:DDE7FCF4
    @Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:895798AD


    :files
    ipconfig /flushdns /c
    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.

  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure de la correction.


    étape 2



    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.



    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\




    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    24 Janvier 2013 19:04:01

    Bonsoir,

    Pardon pour le retard et encore merci pour ton aide!
    J'ai bien un CS5 piraté mais je suis étonné que tu parles de P2P parce que ce n'est pas quelque chose que j'utilise.

    Voilà les 2 rapports:
    OTL:

    Files\Folders moved on Reboot...
    C:\Users\Rozenn\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    C:\Users\Rozenn\AppData\Local\Temp\~PIFDB4.tmp moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    SX:

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Rozenn
    24/01/2013
    18:58:26
    version = v0.3.0
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.5.502.146
    Flash Player ActiveX n'est pas à jour! (11.4.402.265)

    Name : FlashPlayer Plugin FF
    Version : 11.5.502.146
    Flash Player Plugin FF n'est pas à jour! (11.4.402.265)

    Name : FlashPlayer Plugin
    Version : 11.5.502.146
    Flash Player Plugin n'est pas à jour! (11.4.402.265)

    Nom : Adobe Shockwave Player 11.6
    Version : 11.6.6.636
    Adobe Reader n'est pas à jour! (11.0.0)

    Nom : Mozilla Firefox 18.0.1 (x86 fr)
    Version : 18.0.1

    Java Information :
    Nom : Java(TM) 6 Update 22
    Version : 6.0.220
    Java(TM) 6 Update 22 n'est pas à jour! (6.0.350)

    Java Information :
    Nom : Java(TM) 6 Update 35
    Version : 6.0.350
    Java(TM) 6 Update 35 est à jour

    Java Information :
    Nom : Java 7 Update 9
    Version : 7.0.90
    Java 7 Update 9 n'est pas à jour! (7.0.70)

    Nom : Adobe Reader X (10.1.5) MUI
    Version : 10.1.5
    Adobe Reader n'est pas à jour! (10.1.4)

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    24 Janvier 2013 19:21:33

    Bonsoir

    le rapport OTL n'est pas complet, tu peux me le poster stp.


    remodifie ton hosts pour pouvoir bien faire tes mise à jour. (je ne te mets pas la procédure, tu as su le faire une première fois...)

    désinstalle tes anciennes versions de java.

    Rien n'est à jour...
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    relance SX Check&Update
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Tutoriel: SX Check&Update
    24 Janvier 2013 21:04:35

    Re,

    J'ai vérifié le rapport OTL, je n'ai bien que ce que j'ai posté...
    Je m'attaque au reste.

    EDIT : Voilà le nouveau rapport SX:

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Rozenn
    24/01/2013
    23:21:24
    version = v0.3.0
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.5.502.146
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin FF
    Version : 11.5.502.146
    Flash Player Plugin FF est à jour

    Name : FlashPlayer Plugin
    Version : 11.5.502.146
    Flash Player Plugin est à jour

    Nom : Adobe Shockwave Player 11.6
    Version : 11.6.8.638
    Adobe Reader n'est pas à jour! (11.0.01)

    Nom : Mozilla Firefox 18.0.1 (x86 fr)
    Version : 18.0.1

    Java Information :
    Nom : Java 7 Update 11
    Version : 7.0.110
    Java 7 Update 11 est à jour

    Nom : Adobe Reader XI (11.0.01) - Français
    Version : 11.0.01
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    25 Janvier 2013 21:00:21

    Bonsoir
    reposte un rapport OTL, je veux voir ce que sont devenus tes ADS ;O)
    26 Janvier 2013 15:50:07

    Bonjour,

    Excuse-moi, je ne suis pas sur de comprendre :??:  (c'est un peu du chinois tout ça pour moi!)...
    Je dois refaire la même procédure avec OTL (personnalisation + correction), c'est ça?
    27 Janvier 2013 21:48:04

    Bonsoir
    non, tu refais un rapport OTL personnalisé, pas de correction.
    C'est pour que je vérifie si tout est ok.
    30 Janvier 2013 14:36:00

    Bonjour,
    j'allais faire le nouveau rapport mais j'ai eu un doute : je me demande si lors de la correction j'ai bien fait "exécuter en tant qu'administrateur" au lieu du double clic... Est-ce que ça pourrait expliquer le problème de rapport incomplet? :/ 
    30 Janvier 2013 15:30:37

    Bonjour
    non
    poste le nouveau rapport, je vais regarder.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS