virus police et gendarmerie nationaleRésolu/Fermé

Question

Bonjour, 
j'ai attrapé ce virus police et gendarmerie nationale et ca a carrement planté le PC!!!
j 'ai essayé de démarrer en tapant F8 ca marche mais apres il n 'execute aucune des possibilités !!! mode sans echec avec prise en charge ni les autres!! 
que dois je faire ?????????
Merci d'avance ;-)

Smart91 · Accepted Answer

OK tu vas faire eci: 

Sur le PC sain: 
Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090 

Démarre le PC infectés depuis le CD OTLPE que tu viens de créé. 

Pour cela, au démarrage de ton PC, tu dois accéder au bios (en appuyant sur une touche qui doit t'être indiquée, bien souvent F2 ou F6). Là, tu dois trouver un paramètre qui détermine l'ordre de boot. Il faut que tu fasses passer le lecteur de CD en premier  

Ensuite fais ceci:  
- Double cliquer sur OTLPE 
- Si tu obtiens la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)   
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES  
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES  
- Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK  

OTL se lance 

- Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Custom Scan"  

-------------------------------------------------------------------------- 
/md5start  
explorer.exe  
winlogon.exe  
/md5stop 

-------------------------------------------------------------------------  
puis clique sur Run Scan et poste le rapport   

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Sphawx · Answer

Réparateur, j'ai un pote même calé qui à du y aller...

Smart91 · Answer

Bonjour,

Est-ce que tu as un autre PC avec un graveur de CD ?

Smart

bichette · Answer

oui j ai un autre PC ;-)

Smart91 · Answer

OK. A demain

Smart

Smart91 · Answer

Si tu ne bootes pas depuis le cd , il ya deux raisons:

- Soit tu n'as pas changé la séquence de boot dans le BIOS et bien sauvegardé celle-ci

- Soit le CD n'a pas été bien gravé. Attention il ne faut pas copier le fichier OTLPENet.exe sur le CD, mais suivre la la procédure pour le graver ==>
https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090

Smart

bichette · Answer

en effet c 'etait bien le cd !!!! j 'ai bien effectué la manip tout ca m'a donné un notepad un rapport si j'ai bien compris que je n'arrive pas a te poster !!! et en + un clavier en qwerty qui n'est pas facile!! 
mais ca avance ;-)

Smart91 · Answer

Je sais le clavier est en qwerty. On ne peut pas faire autrement :-(.
Si tu ne peux pas me l'envoyer cela veut dire que tu n'as pas d connexion internet. Tu dois surement être connecté en WiFi. Essaie avec un câble Ethernet.
Sinon tu sauvegarde le rapport le rapoort tu le copie sur une clé USB et tu le postes depuis un autre PC

Smart

Smart91 · Answer

Je n'ai rien reçu et je ne vois pas comment tu peux me l'envoyer par email, tu n'as pas mon adresse email.

Si tu veux copier le rapport:
Le rapport se trouve dans c:\OTL
Tu le copies sur ta clé USB tout simplement, il suffit de le sélectionner et de le déplacer vers la clé USB

Smart

Smart91 · Answer

Ceci parce que tu n'est pas incrite sur le site de CCM 
Alors tu vas faire ceci: 

 Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/ 
-  Clique sur Parcourir et va sur la clé USB  
-  Sélectionne le fichier concernat le rapport. puis clique sur "Ouvrir" 
-  Ensuite Clique sur "Envoyer le fichier".  
-  Copie le lien obtenu  dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Sur le PC sain, télécharge ce fichier: 
explorer enregistre le (et surtout ne l'exécute pas) sur la clé USB et transfère le sur le bureau du PC malade. 

Sur le PC malade, ouvre ce dossier C:\Windows et déplace le fichier explorer.exe dans ce dossier. 
A la question ce fichier existe, voulez-vous le remplacer, réponds Oui ou Yes (la question est en anglais) 

Retire le CD OTLPE du PC malade et redémarre le PC malade et dis moi si tu as récupéré le bureau. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Redémarre le PC avec le CD OTLPE 

- Double cliquer sur OTLPE 
- Si tu obtient la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)   
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES  
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES  
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK  

OTL se lance  
Copiez ce texte en gras  
- Coller le texte dans la partie Custom Scans  

--------------------------------------------------  
netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
/md5start  
explorer.exe  
winlogon.exe  
/md5stop 
   
------------------------------------------------- 
puis clique sur Run Scan et poste le rapport via pjjoint 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

- Double clique sur OTLPE   
- Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK    

OTL se lance    
Copiez ce texte en gras    
- Coller le texte dans la partie Custom Scans/Files    

--------------------------------------------------    
  
:OTL  
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\0.2693450004267124.exe  

:files    
C:\Documents and Settings\Pratic Info\Local Settings\Application Data\0d0a355f   
C:\WINDOWS\System32\0.2693450004267124.exe  
C:\WINDOWS\System32\dds_log_trash.cmd 
 
-------------------------------------------------    
- Clique sur Run Fix en haut de la fenêtre    
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES    
- Coller le contenu du rapport dans la réponse Note : La rapport se trouve dans C:\OTL   

Smart    
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

OK. redémarre le PC normalement sans le CD OTLPE et dis moi si c'est OK

Smart

bichette · Answer

c 'est ok !!!!! :-))))
par contre est ce qu'il y a d 'autres manip a faire genre avast qui me dit que mon systeme n'est pas completement protégé j'ai pas envie de faire une boulette !!!!

bichette · Answer

apparement probleme de conexion!!! normal???

Smart91 · Answer

Que veux-tu dire problème de connexion

Smart

bichette · Answer

on me dit que je ne suis pas connecté!!! Avast,.mozilla
...
etat de connexion : connecté activité 0 !!!!
j'ai debranché rebranché  ca n' a rien fait !!!

Smart91 · Answer

OK. Le principal c'est d'avoir récupéré le bureau.

Est-ce que tu peux faire ceci:

* Télécharge un autre PC RogueKiller (par tigzy)
* Transfère le depuis une clé USB sur le PC malade
* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. 
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart

bichette · Answer

voila le rapport!!! RogueKiller V7.3.1 [10/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Pratic Info [Droits d'admin] Mode: Suppression -- Date: 13/03/2012 03:22:09 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKCU\[...]\Winlogon : Shell (C:\Documents and Settings\Pratic Info\Local Settings\Application Data\0d0a355f\X) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 0.0.0.0 ar.atwola.com 0.0.0.0 atdmt.com 0.0.0.0 awaps.net 0.0.0.0 click.atdmt.com 0.0.0.0 clicks.atdmt.com 0.0.0.0 engine.awaps.net 0.0.0.0 spd.atdmt.com 0.0.0.0 www.awaps.net 0.0.0.0 www.norton.com 0.0.0.0 safeweb.norton.com 0.0.0.0 www.forospyware.com 0.0.0.0 forospyware.com 0.0.0.0 threatexpert.com 0.0.0.0 www.threatexpert.com 0.0.0.0 techguy.org 0.0.0.0 www.techguy.org 0.0.0.0 forums.techguy.org 0.0.0.0 4rev.net 0.0.0.0 www.4rev.net [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HD161HJ +++++ --- User --- [MBR] f558f9f0ddaffc68f7d307e5ced54257 [BSP] 5d695b4734392b63898725cd62aa9833 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Smart91 · Answer

Relance rogueKiller refais un sacn et clique sur hosts RAZ puis rapport et poste le dans ta réponse.

ensuite tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si TDSS.tdl2 : l'option Delete sera cochée. 
* Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
* Si "Suspicious object" laisse l'option cochée sur Skip 
* Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas 
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Smart

Smart91 · Answer

Tu n'as pas posté le rapport RogueKiller avec l'option Host RAZ et le rapport TDSSKiller est incomplet

Tu peux également essayer de le mettre sur ce site ttp://pjjoint.malekal.com/
Et de me donner le lien pour y accéder 

Smart

Smart91 · Answer

J'ai bien eu tes rapports. Mais je vois que tu as relancé TDSSKiller, ce qui m'intéresse c'est ton premier rapport.
Tu vas le trouver ici:
C:\TDSSKiller.N°deversion_Date_Heure_log.txt 
 Poste celui qui a la date et l'heure la plus ancienne

Smart

Smart91 · Answer

OK Cela semble bon. On va quand même faire un diagnostic du PC.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe et non pas sur le presonnage avec la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

Smart91 · Answer

OK. Je voudrais que tu fasses ceci:

Si possible sauvegarde tes données personnelles sur un disque externe.

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
 
Imprime la procédure

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout si tu es sous XP, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

Smart91 · Answer

Renomme ComboFix.exe en bichette.exe et relance le. N'installe pas la console de recupération et poste le rapport


Smart

Smart91 · Answer

Est-ce que tu as récupéré la connexion internet.
Si c'est non fais ceci:

Clique sur démarrer > Exécuter > Tu tapes cmd puis entrée
Ensuite dans la fenêtre noire tu tapes ceci:
netsh winsock reset puis entrée
Eteins et redémarre le PC 

Smart

Smart91 · Answer

Le principal c'est d'avoir la connexion internet. Pour le clavier, je viens de revoir le rapport ComboFix et je n'ai rien noté concernant une suppression du pilote du clavier.

Sinon va dans le panneau de configuration > Clavier > Onglet Matériel et clique sur dépanner.

Smart

Smart91 · Answer

Va dans le gestionnaire de périphériques et pour chacun des éléments fais une mise à jour du pilote
Il se peut qu'il te demande le CD

Smart

Smart91 · Answer

On va essayer de trouver des copeis des pilotes sur ton PC

Lance ZHPdiag et clique sur bouton Jumelles pour lancer ZHPSearch. 
Copie les lignes en gras ci-dessous et colle les dans la fenêtre ZHPSearch 
---------------------------------------------- 

/MD5Start 
cdrom.sys
Serial.sys
i8042prt.sys
/MD5Stop 

--------------------------------------------------- 
Clique sur la loupe pour lancer la recherche. Une fois terminée, clique sur le bouton parchemin pour afficher le rapport 
Copie et colle ce rapport dans ta réponse

Smart

Smart91 · Answer

C'est vrai tu as des pb avec le clavier. Comment fais-tu pour copier ?

Smart

Smart91 · Answer

Cela veut dire que tu as une souris opérationnelle sur ton PC

Donc tu vas faire ceci:

Télécharge ce fichier sur ton bureau bichette.txt
Ouvre ce fichier et copie les lignes

- Lance ZHPdiag et clique sur bouton Jumelles pour lancer ZHPSearch.
- Colle les lignes dans la fenêtre ZHP. 
- Clique sur la loupe pour lancer la recherche. Une fois terminée, clique sur le bouton parchemin pour afficher le rapport 
- Copie et colle ce rapport dans ta réponse 

Smart

Smart91 · Answer

Tu as bien téléchargé le fichier sur le bureau du PC infecté, tu m'as dit que tu avais la connexion internet. Sinon tu l'as bien transféré.
La procédure copier/coller ne peut se faire que sur le même PC.

Smart

Smart91 · Answer

C'est de ma faute ZHPsearch ne permet pas le copier de coller avec la souris

Télécharge ce fichier i8042prt.sys sur le bureau et copie le dans ce répertoire:
C:\WINDOWS\system32\drivers

S'il te demande remplcer le fichier existant, accepte.

Rdémarre le PC et dis moi si tu as récupéré le clavier et la souris

Smart
 --
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Je voudrai que tu fasses en export de cte clé:

 - Télécharge RegistryTool de Xplode sur ton bureau 
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur") 

- Copie- la clé en gras ci-dessous  
--------------------------------------------------- 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt 

--------------------------------------------------- 

- Colle-la dans la zone de saisie située au regard de RegExport 

- Puis clique sur Exporter 
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement 
- A "nom de fichier", indique :  ExportReg 
- Clique sur Enregistrer 
- Un message de bonne fin va apparaître "Clé exportée avec succès" 
- La clé ainsi exportée ExportReg se trouvera sur le bureau 
- Poste ce fichier via cijoint  

Smart

Smart91 · Answer

Ce n'est pas tout à fait un problème. Cela veut dire que la clé n'existe pas et là est le problème elle a été supprimé par l'infection.

Tu vas faire ceci:
Télécharge ce fichier sur le bureau clavier.reg

Fais un clic droit sur ce fichier et choisis fusionner.
redémarre le PC. Et dis moi si tu as le clavier et la souris

Smart

Smart91 · Answer

Le lien que je t'ai donner va te permettre de télécharger le fichier clavier.reg sur ton bureau. 
Ensuite sur tu fais un clic droit sur le fichier clavier.reg et dans le menu tu choisis fusionner.
Et tu redémarres le PC

Smart

Smart91 · Answer

Super pour le clavier mais surprenant pour la souris. Je vais regarder pour cette dernière.

Pour le CDRom

Sur ce lien:
cdrom.reg
Fais un clic droit et enregistrer la cible sous..
Et tu enregistres le fichier cdrom.reg sur le bureau ensuite tu fais clic droit sur ce fichier cdrom;reg et puistu choisis fusionner. Et tu redémarres le PC.

Smart

Smart91 · Answer

Hé il faut me dire les pb tous les pb que tu as car là j'ai un peu de mal. car je corrige un pb et aprè tu me dis mais j'avais celui-ci qui ne date pas d'aujourd'hui.

Ce que je voudrais savoir, lorsque tu as ce message cela n'empêche pas de démarrer et d'avoir ton bureau.
Vérifie que tu n'as de CD dans le lecteur de CD au démarrage du PC.

Smart

Smart91 · Answer

" ce message je l' ai depuis etre intervenu sur le Bios"
Oui cela je m'en doutais.
En fait le PC essaie de démarrer sur le CD et comme le pilote est corrompu, tu as ce message ou alors tu as laissé un cd non bootable dans le lecteur

Tu vas faire ceci:

Télécharge ce fichier cdrom.sys sur le bureau et copie le dans ce répertoire: 
C:\WINDOWS\system32\drivers 

S'il te demande remplacer le fichier existant, accepte. 

Redémarre le PC et vérifie si tu as toujours le message et le lecteur de CD

Smart

Smart91 · Answer

On avance. Refais un clic droit sur le fichier cdrom.reg qui doit se trouver sur ton bureau, tu choisis fusionner. Et ensuite tu redémarres le PC. 

Smart

Smart91 · Answer

Regarde dans gestionnaire de périphériques si tu vois le lecteur de CD surout dans lecteur de disques et donne moi les infos

Smart

Smart91 · Answer

Moi aussi je suis content pour toi, mais ce n'est pas terminé. On a réussi a réparé les dégâts causé par le virus, il reste à vérifier s'il n'y a pas des restes de l'infection ou d'autres infections et j'ai aussi plein de conseils de prévention à te donner.

Refais un scan avec ZHPDiag et poste le rapport via pjjoint

Smart

Smart91 · Answer

Tu n'as pas cliqué sur la loupe. Le rapport est incomplet

- Relance ZHPDiag.
- Clique sur la loupe et non pas sur le personnage avec la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

Smart91 · Answer

Hé bien tu as des adwares et des barres d'outils infectieuses et/ou inutiles.
Tu les as attrapé en téléchargeant un logiciel gratuitement. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer. Il faut bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Lis également ce dossier:
Les Toolbars ce n'est pas obligatoires 

Maintenant tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Smart

Smart91 · Answer

Ma chère Bichette, s'il te plait réponds à la suite de mes réponses, je m'y retrouve mieux

Relance AdwCleaner choisis "Suppression" et poste le rapport

Smart

Smart91 · Answer

OK Refais un scan ZHPDiag et poste le rapport et je sais qu'il y encore des restes d'infection à supprimer manuellement

Smart

Smart91 · Answer

OK
Tu vas faire ceci:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur") 
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1]
[HKCU\Software\0d0a355f]
O43 - CFD: 30/04/2010 - 17:00:24 - [0] ----D- C:\Documents and Settings\Pratic Info\Application Data\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
O43 - CFD: 18/09/2010 - 09:54:34 - [0] ----D- C:\Program Files\Norton Security Scan
O44 - LFC:[MD5.2890ADE6805F883881931D67ACEC8A4A] - 17/03/2012 - 16:47:49 ---A- . (...) -- C:\WINDOWS\system32\Raccourci vers i8042prt.lnk   [275]
[MD5.0C07A496897960B406D74EB97DA4A577] [SPRF][19/03/2012] (...) -- C:\Documents and Settings\Pratic Info\Bureau\cdrom.reg   [3282]
[MD5.1B744D36CBF56D42086BD0804B6018E1] [SPRF][18/03/2012] (...) -- C:\Documents and Settings\Pratic Info\Bureau\clavier.reg   [1928]
M3 - MFPP: Plugins - [Pratic Info] -- C:\Documents and Settings\Pratic Info\Application Data\Mozilla\Firefox\Profiles\zyjewzb2.default\searchplugins\MyStart Search.xml
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Community Toolbar v3.10.0.1 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.9.0.3 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{bc04b34e-5dd8-465a-a5e0-86f7c11bc009}] [] Games Bar 1 Toolbar v2.6.0.15 (.Conduit Ltd..)
O43 - CFD: 12/04/2009 - 21:08:34 - [0] ----D- C:\Program Files\AskSearch
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
C:\Program Files\AskSearch
C:\Documents and Settings\Pratic Info\Application Data\Mozilla\Firefox\Profiles\zyjewzb2.default\SearchPlugins\MyStart Search.xml
EmptyTemp
EmptyFlash
FirewallRAZ
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Smart91 · Answer

C'est quoi ce rapport que tu m'as envoyé ? Es-tu sûr d'avoir cliquer sur GO apprès avoir coller le script ?

Si oui, alors le rapport se trouve ici!
C:\ZHP\ZHPFix[R1].txt

Smart

Smart91 · Answer

Non je n'ai pas compris et toi non plus à la vue du rapport que tu viens de m'envoyer
Reprends pas à pas ce que j'ai dit ici ==>
https://forums.commentcamarche.net/forum/affich-24671080-virus-police-et-gendarmerie-nationale?page=3#102

Smart

Smart91 · Answer

Tu n'as pas compris je vais essayer d'être plus explicite:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur") 
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie les lignes en gras suivantes : Pour cela tu les sélectionnes toutes et tu fais en positionnant le curseur la souris desssus clic droit copier
 
---------------------------------------------------------- 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1] 
[HKCU\Software\0d0a355f] 
O43 - CFD: 30/04/2010 - 17:00:24 - [0] ----D- C:\Documents and Settings\Pratic Info\Application Data\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 
O43 - CFD: 18/09/2010 - 09:54:34 - [0] ----D- C:\Program Files\Norton Security Scan 
O44 - LFC:[MD5.2890ADE6805F883881931D67ACEC8A4A] - 17/03/2012 - 16:47:49 ---A- . (...) -- C:\WINDOWS\system32\Raccourci vers i8042prt.lnk [275] 
[MD5.0C07A496897960B406D74EB97DA4A577] [SPRF][19/03/2012] (...) -- C:\Documents and Settings\Pratic Info\Bureau\cdrom.reg [3282] 
[MD5.1B744D36CBF56D42086BD0804B6018E1] [SPRF][18/03/2012] (...) -- C:\Documents and Settings\Pratic Info\Bureau\clavier.reg [1928] 
M3 - MFPP: Plugins - [Pratic Info] -- C:\Documents and Settings\Pratic Info\Application Data\Mozilla\Firefox\Profiles\zyjewzb2.default\searchplugins\MyStart Search.xml 
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Community Toolbar v3.10.0.1 (.Conduit Ltd..) 
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.9.0.3 (.Conduit Ltd..) 
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{bc04b34e-5dd8-465a-a5e0-86f7c11bc009}] [] Games Bar 1 Toolbar v2.6.0.15 (.Conduit Ltd..) 
O43 - CFD: 12/04/2009 - 21:08:34 - [0] ----D- C:\Program Files\AskSearch 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1c491116-c175-45e1-a570-6fb14fea8b7b}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
C:\Program Files\AskSearch 
C:\Documents and Settings\Pratic Info\Application Data\Mozilla\Firefox\Profiles\zyjewzb2.default\SearchPlugins\MyStart Search.xml 
EmptyTemp 
EmptyFlash 
FirewallRAZ 
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H 
- Normalement les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie et colle la totalité du rapport dans ta prochaine réponse

Smart

Smart91 · Answer

Là tu as bien postzer le rapport
Si tu regardes les liens que tu avais envoyés tu verras que tu n'as pas posté la même chose :-)

Bon ZHPFix n'a rien trouvé cela veut dire que tu as bien l'as bien passé la première fois

Refais un scan ZHPDiag et poste le rapport vi pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Smart91 · Answer

Bon on passe à la phase finale.
Tout d'abord,  ton infection Gendarmerie est venue par un exploit sur site web : 

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu. 
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système. 
Exemple avec :  Exploit Java 

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Fais les mises jour suivantes:

Mise à jour Java 6 update 31 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est inférieur à 31

Vérifie la version d'Avast , c'est la 7:
Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme


Mise à jour Adobe Reader 10.1.2
Désinstalle Adobe ensuite installe la nouvelle version:
ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.1.2/fr_FR/
Décoche la case "Inclure dans votre téléchargement la barre Google"

Mise à jour flashplayer vers la version 11.1.102.62
https://get.adobe.com/flashplayer/?loc=fr
N'oublie pas de décocher la case pour l'installation de la barre d'outil ou tout autre logiciel proposé avec l'installation de FlashPlayer 

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation: 

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur") 
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Community Toolbar v3.10.0.1 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.9.0.3 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Pratic Info - zyjewzb2.default\{bc04b34e-5dd8-465a-a5e0-86f7c11bc009}] [] Games Bar 1 Toolbar v2.6.0.15 (.Conduit Ltd..)
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (...) (No version) -- (.not file.)
O3 - Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (...) --  (.not file.)
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\WINDOWS\system32
wiz.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-1390067357-920026266-1417001333-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 
 
1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peus  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

Smart91 · Answer

C'est bon tu peux faire la suite

Smart

Smart91 · Answer

En fait quand tu désactives la restauration système cela supprime tous les points de restauration (donc même ceux qui ont été infectés) ensuite une fois le PC sain, il faut créer un nouveau point de restauration et pour cela il faut réactiver la restauration système.
Donc la réponse est OUI

Smart

Smart91 · Answer

Heureux de t'avoir aidée

Smart

lomaj · Answer

cher smart91
au vu de tes reponses ; tu me sembles le plus cale pour me repondre.
j'ai effectue une partie de tes instructions.
je pense avoir modifie la prise en compte du lecteur en premier mais est ce vraiment le cas?
j'ai un HP pavillon dv7, et je suis dans la panade...
si tu pouvais m'aider....

dorian33fr · Answer

Bon en plus simple

Mettre OTLPE sur CD (usb fonctionne pas)

+ 

Mettre sur une clé USB roguekiller

Le reboot sur Windows devrait fonctionner

Smart91 · Answer

Hé cela fait plaisir. Merci :-) 

Smart

Virus police et gendarmerie nationale

59 réponses

Discussions similaires

Newsletters