Virus de la gendarmerie coriace

Résolu
angele417 -  
 Angele417 -
Bonjour,

Je n'arrive pas à supprimer le virus, je suis sous windows XP. Merci si quelqu'un pouvez m'aider j'ai essayé avec ce lien
http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-et-virus-bundespolizei
mais je n'arrive pas à faire la manipulation complète car j'ai mon écran qui devient bleu avec un message de windows me disant qu'il y a un problème.

Merci de votre aide

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Lance une restauration en invite de commandes en mode sans échec -voir paragraphe restauration: https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

    Si l'écran bleu apparaît au moment d'aller en invite de commandes en mode sans échec alors faire ça :

    Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
    Ensuite tu démarres sur OTLPE.
    Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

    Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
    Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
    Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

    Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
    Tout cela est donné dans le lien, ci-dessus.

    0
    1. Angele417
       
      Merci de ta réponse.
      J'ai réussi à l'ouvrir en mode sans échec je ne sais plus ce que j'ai sélectionné. J'ai fait F8 et j'ai dû sélectionner une ligne comme mode restauration active directory et je suis sur mon bureau en mode sans échec.
      Que dois-je faire maintenant ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le bureua avec le menu démarrer etc ?
      tu as à la main ?

      si oui... :

      [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
      [*] Quitter tous les programmes
      [*] Lancer RogueKiller.exe.
      [*] Attendre que le Prescan ait fini ...
      [*] Lance un scan afin de débloquerl e bouton Suppression à droite.

      Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
      0
    3. Angele417
       
      Bonsoir,

      Merci pour ta réponse.
      Voici le rapport :

      RogueKiller V7.2.1 [29/02/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Demarrage :
      Utilisateur: Grégory et Angélique [Droits d'admin]
      Mode: Suppression -- Date: 05/03/2012 21:04:37

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 3 ¤¤¤
      [SUSP PATH] HKLM\[...]\Run : tsnpstd3 (C:\WINDOWS\tsnp325.exe) -> DELETED
      [SUSP PATH] HKLM\[...]\Run : snp325 (C:\WINDOWS\vsnp325.exe) -> DELETED
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      127.0.0.1 www.007guard.com
      127.0.0.1 007guard.com
      127.0.0.1 008i.com
      127.0.0.1 www.008k.com
      127.0.0.1 008k.com
      127.0.0.1 www.00hq.com
      127.0.0.1 00hq.com
      127.0.0.1 010402.com
      127.0.0.1 www.032439.com
      127.0.0.1 032439.com
      127.0.0.1 www.1001-search.info
      127.0.0.1 1001-search.info
      127.0.0.1 www.100888290cs.com
      127.0.0.1 100888290cs.com
      127.0.0.1 www.100sexlinks.com
      127.0.0.1 100sexlinks.com
      127.0.0.1 www.10sek.com
      127.0.0.1 10sek.com
      127.0.0.1 www.123topsearch.com
      [...]


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: ST3250820AS +++++
      --- User ---
      [MBR] 74c356491237e543bf20baca2e01e782
      [BSP] f962f4e7c4331d1b724a5bfa86d5ac8f : Windows XP MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 30710 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 62910540 | Size: 207754 Mo
      User = LL1 ... OK!
      Error reading LL2 MBR!

      Termine : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.
    0
  3. Angele417
     
    Voici le rapport
    http://pjjoint.malekal.com/files.php?read=HijackThis_20120306_y14b7v10j107

    Merci
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Spyware Terminator sert à rien, pas efficace etc.
    Désinstalle le.

    Pareil pour Google Toolbar :

    Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
    Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
    Au final, il est pas conseillé d'en utiliser.
    Lire :
    Les toolbars c'est pas obligatoire!

    ~~

    Tu as vnc installé, ça permet de prendre la main sur ton PC à distance.
    Tu es au courant?

    ~~

    Important - ton infection est venue par un exploit sur site web :

    [url=https://forum.malekal.com/viewtopic.php?t=3563&start=]Un exploit sur site WEB[/url] permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : [url=https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/]Exploit Java[/url]

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    Maintiens tes logiciels à jour c'est important, utilise ce programme : https://forum.malekal.com/viewtopic.php?t=15960&start=
    Absolument à faire.

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Angele417
     
    ok, je supprime spyware et google toolbar.

    J'avais installé VNC pour mon ancien job. Je pensais l'avoir désinstallé.

    Je peux donc rallumer mon PC en mode normal, le virus a été supprimé ????

    Je vais maintenir mes logiciels à jour à partir de ce jour.

    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ben t'es déjà en mode normal d'après le rapport HijackThis.
      0
    2. Angele417
       
      pourtant je suis en mode sans échec !!!!!!
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok alors redémarre en mode normal pour voir.
      0
    4. Angele417
       
      C fait, et plus de virus !!!!!!!!!!!!!!!!!!!!!
      Cool merci beaucoup !!!!!
      Que conseilles-tu comme pare-feu ????
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. Angele417
       
      merci bcp pour ton aide !!!!
      0