Besoin d'aide virus gendarmerie

marc -  
del-crosseur Messages postés 529 Statut Contributeur sécurité -
Bonjour,

je viens d'être contaminer par le virus gendarmerie, j'ai lu l'astuce mais je n'y arrive ( étant donner que je suis pas doué en informatique :s) ... j 'ai redémarrer le pc pour être en mode sans échec et j'ai télécharger roguekiller et mawarebytes , je voulais savoir d'abord sur roguekiller parmi les possibilité 1 à 4 laquelle fallait il choisir?

Merce d'avance
Marc

3 réponses

  1. del-crosseur Messages postés 529 Statut Contributeur sécurité 49
     
    Bonsoir

    En Mode Sans Échec :

    Relance RogueKiller

    * Cliquer sur le bouton Suppression.
    * Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.

    Puis :::

    Télécharge puis installe

    Malwarebytes' Antimalware et enregistre l'exécutable sur le bureau.

    * Met-le à jour(très important ) , puis coche,"Exécuter un examen complet"
    * Si une infection est trouvée, coche la case à coté et valide avec l'Onglet Supprimer la sélection
    * Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--
    * Il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

    Note: Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

    Poste le rapport final.

    Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" sélectionne le dernier puis Copier/Coller dans ta réponse

    @ + ;)

    0
    1. marc
       
      merci pour ta réponse aufaite j'ai eu un truc bizarre au debut j ai fait ac malware et il ma detecté 3 problème que j'ai supprimé et quand j ai redemarrer normalement ca ne marcher pas du coup j 'ai refait j ai les report rogue killer suivant :

      RogueKiller V6.2.0 [12/12/2011] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur: Adil [Droits d'admin]
      Mode: Suppression -- Date : 07/02/2012 20:39:34

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 3 ¤¤¤
      [SUSP PATH] HKCU\[...]\Run : y491m5rm.exe (C:\Users\Adil\AppData\Roaming\y491m5rm.exe) -> DELETED
      [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
      [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [NOT LOADED] ¤¤¤

      ¤¤¤ Infection : ZeroAccess ¤¤¤
      [ZeroAccess] sys32\consrv.dll present!

      ¤¤¤ Fichier HOSTS: ¤¤¤


      ¤¤¤ MBR Verif: ¤¤¤
      --- User ---
      [MBR] ca5475abe12288fad931a8348ace515a
      [BSP] 4bed3884d1def0a9d8066c183f52b95a : MBR Code unknown
      Partition table:
      0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 11517 Mo
      1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 22497280 | Size: 104 Mo
      2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 22702080 | Size: 308448 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
    2. marc
       
      et le rapport malware suivant :


      Malwarebytes Anti-Malware 1.60.1.1000
      www.malwarebytes.org

      Version de la base de données: v2012.02.07.04

      Windows 7 x64 NTFS (Mode sans échec/Réseau)
      Internet Explorer 8.0.7600.16385
      Adil :: ADIL-VAIO [administrateur]

      07/02/2012 19:44:21
      mbam-log-2012-02-07 (19-44-21).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 339288
      Temps écoulé: 35 minute(s), 14 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)


      que doit je faire mnt ? :s
      0
  2. del-crosseur Messages postés 529 Statut Contributeur sécurité 49
     
    Re

    Ta un Zaccess dans le lot ^^

    Si tu peut , en Mode normale :

    Désactive ton Anti-virus le temps de faire ces manipulations

    Consulte le tuto de ComboFix ici -> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs :

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Met le sur ton Bureau et pas ailleurs!

    -Double-clique sur combofix.exe, accepte la licence d'utilisation et laisse toi guider.

    -Si l'installation de la console de récupération pour XP t'es proposée <-- Accepte là.

    -Lorsque Combofix travaillera , ne clique pas sur le fenêtre , il pourrait y avoir un Gel du programme...

    -Attends que combofix ait terminé, un rapport sera créé.

    -Le rapport sera créé sous la racine : C:\Combofix.txt

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

    @ ++

    0
    1. marc
       
      c'est quoi un zaccess ? j arrive pas a envoyer le rapport
      0
    2. marc
       
      je sais pa si c'est a cause de la longueur ou bien pour une autre raison
      0
  3. del-crosseur Messages postés 529 Statut Contributeur sécurité 49
     
    Bonjour , :)

    Lisez ceci concernant le Rootkit Zaccess : https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/

    Concernant le rapport de ComboFix :

    * Va sur le site https://www.cjoint.com/

    * Clique sur le bouton Parcourir et sélectionne le dernier rapport de ComboFix qui est crée sous la racine de C:\Combofix.txt
    * Clique ensuite sur "Créer le lien Cjoint" pour déposer le fichier
    * Patiente puis copie/colle dans ta réponse le lien qui apparait

    @ ++ ;)

    0