Sujet Précédent Sujet Suivant

Virus gendarmerie 2

Résolu/Fermé
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 - 14 déc. 2011 à 12:00
 Utilisateur anonyme - 21 déc. 2011 à 03:33
Bonjour, moi aussi j'ai le même problème , il me demande d'aller au bureau de tabac acheter une carte ukach pour 200€ , j'ai demander à ma buraliste elle n'a jamais entendu parler de cette carte ukach.

j'ai sur mon pc le fameux virus de la gendarmerie nationale.
J'ai regardé un tas de forum, et essayer plusieurs démarches.
Le problème est qu'à chaque fois que je redémarre le pc (mode normal ou sans échec), la fenêtre du virus apparait, et je ne peux donc rien faire !!!
Je ne peux pas accéder au gestionnaire de tâches, ni au menu démarrer, à rien...

J'aimerai le débloquer sans formater car j'ai dessus des données pro , aidez moi svp .


A voir également:

37 réponses

  • 1
  • 2
Réponse 1 / 37
Utilisateur anonyme
14 déc. 2011 à 12:18
salut le pc demarre-t-il en invité de commandes au lieu du mode sans echec ?
0
Réponse 2 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 00:46
Merci pour ta réponse rapide et excuse moi d'avoir tant tardé . Bon c'est ok , je suis passer sur le forum , je me suis aperçu qu'avant hier beaucoup de personnes ont était dans mon cas .

J'ai fais controle alt supp , j'ai changer d'utilisateur , j'ai tel malwarebytes , et j'ai put chopper 3 trojans , sur cette première session . Puis sur l'autre session j'ai put accéder au bureau donc j'ai refait un malwarebytes et j'ai rechoppé 3 trojans alors je me suis demander si c'était pas les mêmes .
Ensuite je me suis aperçu que l'antivirus n'apparaissait pas c'était Mc Afee j'ai téléchargé un logiciel sur comment ça marche pour le désinstaller proprement , j'ai téléchargé Avast free toujours sur comment ça marche jel'ai installer , fait un scan rapide à l'installation puis un scan au démarrage , et chaque scan j'ai deux trucs donc 4 au total je te livre les noms des coupables :
-SRDOUZCX.exe
-4c629a8e-300973fc
-ccleaner-2010-français(2).exe
-ccleaner-2010-français.exe

Le Ccleaner qui se trouve sur le PC est il bon ?
Penses-tu que je me suis débarraser de tout?
La deuxième session a était décisive , conseilles tu d'avoir plusieurs session?

Merci de ton aide bonne soirée.
0
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 00:48
PS : J'attends ton analyse avant de marquer le sujet résolu .
0
Réponse 3 / 37
Utilisateur anonyme
15 déc. 2011 à 00:53
c'est pas fini

de la session qui etait infectée :

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.
0
Réponse 4 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 01:14
J'ai tout fait mais je trouve pas le rapport où se trouve til.merci de ta patience.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 01:26
Bon j'ai refait un scan que j'ai copié avant fermer le rapport désolé.



# AdwCleaner v1.402 - Rapport créé le 15/12/2011 à 01:18:33
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Corine - CORINE-PC (Administrateur)
# Exécuté depuis : C:\Users\Corine\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : ony9klbn.default
Fichier : C:\Users\Corine\AppData\Roaming\Mozilla\Firefox\Profiles\ony9klbn.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v0.0.0.0

Fichier : C:\Users\Corine\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3141 octets] - [15/12/2011 01:04:18]
AdwCleaner[S2].txt - [1027 octets] - [15/12/2011 01:18:33]

*************************

Dossier Temporaire : 4 dossier(s)et 2 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [1246 octets] ##########
0
Réponse 6 / 37
Utilisateur anonyme
15 déc. 2011 à 01:31
c:\AdwCleaner[S1].txt
0
Réponse 7 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 01:33
# AdwCleaner v1.402 - Rapport créé le 15/12/2011 à 01:04:18
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Corine - CORINE-PC (Administrateur)
# Exécuté depuis : C:\Users\Corine\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Windows Searchqu Toolbar

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\SearchquMediabarTb
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4f12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079a25-328f-4bd4-be04-00955acaa0a7}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchqu.com/102 --> hxxp://www.google.fr

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : ony9klbn.default
Fichier : C:\Users\Corine\AppData\Roaming\Mozilla\Firefox\Profiles\ony9klbn.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v0.0.0.0

Fichier : C:\Users\Corine\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée : "homepage" : "hxxp://www.searchqu.com/102",

*************************

AdwCleaner[S1].txt - [2920 octets] - [15/12/2011 01:04:18]

*************************

Dossier Temporaire : 6 dossier(s)et 11 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [3140 octets] ##########
0
Réponse 8 / 37
Utilisateur anonyme
15 déc. 2011 à 01:53
Malwarebytges est à jour ?
0
Réponse 9 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 01:56
je l'ai installé ce matin veux tu que je fasse une mise à jour ? et un autre scan avec AdwCleaner ?
0
Réponse 10 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 02:02
Je viens de faire la mise à jour , t'avais raison , dois je faire un autre scan avec AdwCleaner ?
0
Réponse 11 / 37
Utilisateur anonyme
15 déc. 2011 à 02:09
adwcleaner non

pour malwarebytes t'es passé de la version combien à la version combien ?
0
Réponse 12 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 02:12
je suis à la 8373 mais celle d'avant elle était d'environ 8356 il me semble .
0
Réponse 13 / 37
Utilisateur anonyme
15 déc. 2011 à 02:15
bon c est pas enorme...

c'est bien un scan complet que tu as effectué ?
0
Réponse 14 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 02:17
Oui
0
Réponse 15 / 37
Utilisateur anonyme
15 déc. 2011 à 02:20
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
Réponse 16 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
15 déc. 2011 à 02:47
Voila le lien ,



https://pjjoint.malekal.com/files.php?id=20111215_b15n7s6u13m12
0
Réponse 17 / 37
Utilisateur anonyme
15 déc. 2011 à 03:07
ok on continue demain je suis crevé , y a encore des petites bestioles à virer :)

à demain pour la suite :)
0
Réponse 18 / 37
Utilisateur anonyme
17 déc. 2011 à 11:55
ouaip sc'est un peu du n'importe quoi ca :)

les trois quanrts du temps , l'infection desactive la restauration systeme donc rien du tout n'est joué

avant de faire trop compliqué et se prendre le teston! :)

ah bon ? et t'apelles ta methode comment ? sais-tu comment s'attrappe cette infection ? sais-tu ce qu il faut faire pour ne plus etre infecté ?

tu confonds spam et rogue....quand on en est à ce point-là , je ne pense pas utile une intervention de ce genre.

=========================

@caseytom :

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"10"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKLM\Software\BrowserChoice]

file::
C:\Windows\ øk
C:\Users\Corine\AppData\Roaming\abgswy9ih6964bgs.dat

folder::
C:\ProgramData\AdImmo

attrib::

clean::

Reboot::
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
Réponse 19 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
17 déc. 2011 à 16:46
Salut g3n-h@ckm@n et encore désolé pour mon absence mais boulot exige .

bon j'ai fait glisser un fichier bloc note sur Pre_Scan et avast ma ouvert une fenetre qui me demande d'ouvrir dans la sambox , dois je le faire ? ou encore déconnecter avast et parefeu ?
0
Réponse 20 / 37
CASEYTOM Messages postés 402 Date d'inscription vendredi 10 août 2007 Statut Membre Dernière intervention 8 septembre 2016 13
17 déc. 2011 à 17:09
voila c fait désolé , voici le rapport :



________________________________________________________________
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.125 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 12/12/2011 | 15.00 Par g3n-h@ckm@n
Utilisateur : Corine (Administrateurs)
Ordinateur : CORINE-PC
Système d'exploitation : Windows 7 Home Premium (32 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 8.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 17:02:56

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Windows\ øk
Supprimé : C:\Users\Corine\AppData\Roaming\abgswy9ih6964bgs.dat

¤

Supprimé : C:\ProgramData\AdImmo

¤

Disques externes : 0 Objets réattribués
Disque Local : 8 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 15 Objets réattribués
Music : 2 Objets réattribués
Pictures : 19 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 3 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 19 Objets réattribués
Windows : 100 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 2 Objets réattribués
%AppData% : 6 Objets réattribués

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 17:04:59

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Great Teacher Onizuka SAISON 2
remi1912 -
Sorrow -

35 réponses
3 bip long 2 bip courts
bgielel -
Bgiebgielel -

14 réponses
je viens de recevoir une alerte aux virus sur mon iphone
Hugoboss23 -
zoulou33 -

6 réponses
mode d'emploi IPTV XSARIUS Pure2
joaquim.47 -
georges97 -

1 réponse