Infectée par le virus "gendarmerie nationale"

Résolu
Anna' Messages postés 9 Statut Membre -  
Anna' Messages postés 9 Statut Membre -
Bonjour,

J'ai été infectée par le fameux virus "gendarmerie nationale". Je précise en premier lieu que je suis une réelle incompétente en informatique, et que je n'employerai surement pas les termes adéquates... Bref, en démarrage normal, le bureau est bloqué. J'ai donc tenté de suivre la procédure décrite ici https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/
J'ai donc essayé de démarrer en mode sans échec avec prise en charge réseau (le bureau n'est ici pas bloqué) afin de télécharger Roguekiller. Seulement, problème, il est expliqué qu'il faut choisir l'option 2 (c'est à dire taper 2 et valider), mais jamais on ne me propose cela...
Je vous remercie d'avance pour votre aide et le temps que vous accorderez à ma demande,
Bien cordialement.

9 réponses

  1. g3n-h@ckm@n
     
    salut je t'envoie le concepteur de roguekiller
    0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Yo

     Seulement, problème, il est expliqué qu'il faut choisir l'option 2 (c'est à dire taper 2 et valider), mais jamais on ne me propose cela...


    C'est parce que l'interface à changé
    Clique sur "Scan" , puis sur "Rapport", et copie colle le texte ici
    0
  3. pograve Messages postés 703 Date d'inscription   Statut Membre Dernière intervention   139
     
    bonsoir

    perso jai eu le virus trois fois de suite en un mois et je l'ai tjrs reglé avec MalwareBytes Antimalware et en redemarant le pc

    mais toujours en mode sans echec biensur

    cdlt
    0
    1. g3n-h@ckm@n
       
      il te reste donc des fichiers systeme du rogue...que MBAM ne detecte pas
      0
    2. pograve Messages postés 703 Date d'inscription   Statut Membre Dernière intervention   139
       
      bah en tt cas je n'ais plus de soucis ...

      sinon comment les irradier ?
      0
    3. g3n-h@ckm@n
       
      ouvre un nouveau sujet si tu veux
      0
  4. Anna' Messages postés 9 Statut Membre
     
    Tout d'abord merci pour la rapidité de la réponse! Je pensais bien que c'était seulement un problème de changement d'interface, mais dans le doute, j'ai préféré demandé... Alors voilà mon rapport:

    RogueKiller V7.0.2 [30/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Ana [Droits d'admin]
    Mode: Recherche -- Date : 01/02/2012 17:01:51

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-2598983269-370810262-880127350-1001[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9640320AS +++++
    --- User ---
    [MBR] b37393cf69097f3ec28b7cc1cf91127a
    [BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    Merci beaucoup!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok refais la meme action et fais suppression puis poste le rapport
    0
  7. Anna' Messages postés 9 Statut Membre
     
    Voilà le rapport apres suppression:

    RogueKiller V7.0.2 [30/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Ana [Droits d'admin]
    Mode: Suppression -- Date : 01/02/2012 17:11:45

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : m7chx65v.exe (C:\Users\Ana\AppData\Roaming\m7chx65v.exe) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9640320AS +++++
    --- User ---
    [MBR] b37393cf69097f3ec28b7cc1cf91127a
    [BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 20002 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353527808 | Size: 437858 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ok, redémarre normalement et dit moi si c'est bon
      0
  8. Anna' Messages postés 9 Statut Membre
     
    Alors j'ai redémarré normalement et ca a l'air bon! Mon bureau n'est plus bloqué en tout cas! Reste-t-il une procédure à effectuer?

    Modification: mon antivirus me signale à l'instant un "logiciel malveillant", est ce lié?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Dans quel fichier?
      0
    2. Anna' Messages postés 9 Statut Membre
       
      Alors dans C:\Users\Ana\Desktop\RK_Quarantine\m7chx65v.exe.vir
      et en dessous mon antivirus me dit qu'il contient le virus cheval de troie TR/Crypt.ULPM.Gen
      J'espère que c'est assez clair! Donc apparemment c'est le fichier de Roguekiller qui est infecté...
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      oui, c'est la quarantaine de RogueKiller ;)
      Tu peux dire à ton AV de supprimer, ou supprimer à la main si tu veux.
      Mais c'est inactif, donc pas d'inquiétude
      0
  9. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    La suite

    Télécharger sur le bureau Malwarebyte's Anti-Malware

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Ne pas décocher "Faire la mise à jour"
    = si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    = Quand le programme lancé ==> cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan ( 1h environ), si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse
    0
    1. Anna' Messages postés 9 Statut Membre
       
      Alors après un peu plus d'une heure d'examen complet, voilà le rapport:

      Malwarebytes Anti-Malware 1.60.1.1000
      www.malwarebytes.org

      Version de la base de données: v2012.02.01.03

      Windows 7 x64 NTFS
      Internet Explorer 8.0.7600.16385
      Ana :: ANA-PC [administrateur]

      01/02/2012 17:39:06
      mbam-log-2012-02-01 (17-39-06).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 361790
      Temps écoulé: 1 heure(s), 12 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 1
      C:\Users\Ana\Desktop\Privacy Protection.lnk (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ok, la suite en dessous :)
      0
  10. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Je vais y aller...

    Après avoir tout supprimé avec Malwarebytes

    ------

    La plupart des infections proviennent de programmes tierces non à jour, la plupart du temps couplé à une utilisation dangereuse d'internet.
    WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.

    * Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.exe
    * Lance WhyIGotInfected.exe
    * Dans l'onget "Plugins", clique sur "Scan". Puis sur "Report". Ferme le rapport.
    * Si des lignes apparaissent en rouge, c'est que le plugin est périmé.
    Dans ce cas, double clique sur la ligne en question, télécharge et installe le plugin (site officiel)
    * Lorsque tous les plugins périmés sont mis à jour, recliquer sur "Scan". Puis sur "Report".
    * Copie colle Les contenus des 2 rapports (situés sur le bureau, WIGIReport[x].txt) dans ta prochaine réponse
    0
    1. Anna' Messages postés 9 Statut Membre
       
      Et voilà:
      WhyIGotInfected v1.4(by Tigzy)
      ********************************

      Run : 01/02/2012 19:56:37 [Normal Mode]
      Machine : ANA-PC (4 CPUs) [Ana : NOT ADMIN]
      OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1

      ~~ Plugins check: ~~

      UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
      UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
      UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
      UPTODATE [Adobe Flash] Current : 11.1.102.55 -- Latest : 11.1.102.55
      UPTODATE [Adobe Flash (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55
      UPTODATE [Adobe Flash ActiveX] Current : 11.1.102.55 -- Latest : 11.1.102.55
      UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.1.102.55 -- Latest : 11.1.102.55


      Finished
      <C:\Users\Ana\Desktop\WIGIReport[0].txt>
      WIGIReport[0].txt



      Merci beaucoup en tout cas pour votre aide! Ca m'a sauvé la vie (ou du moins celle de mon ordinateur...). C'est vraiment très agréable de trouver des gens attentifs et serviables de la sorte!
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      re

      Je vois pas Java dans la liste...
      Tu peux le mettre à jour aussi? https://www.java.com/fr/download/
      0
    3. Anna' Messages postés 9 Statut Membre
       
      Oui il n'était pas dans la liste mais je l'avais fait quand même! Reste-t-il d'autres mises à jour à effectuer? Puis-je supprimer les différents rapports (Roguekiller & co) ou vaut-il mieux les conserver?
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu peux tout supprimer, et c'est bon on a fini :)
      0
    5. Anna' Messages postés 9 Statut Membre
       
      D'accord! Merci beaucoup beaucoup beaucoup en tout cas! :)
      0