MacAfee et virus gendarmerie nationaleFermé

Question

Bonjour, 
Configuration: Windows 7 / Firefox 11.0

J'ai simplement une petite question. Je vous donne le contexte avant.
Hier soir j'ai choppé le virus qui veut vous faire croire que vous êtes fiché par les flics et tout (j'habite juste à côté d'une gendarmerie en plus, si ils voulaient me causer ils auraient 20m à faire et sonner hahaha).

Au moment où j'ai attrapé le virus, Mon anti-virus MacAfee (auquel je suis abonné de façon payante) m'a dit que le vrius était éliminé, mais les symptômes ont quand même eu lieu.
Donc j'ai eu un gros foutoire sur le bureau, puis le message de la gendarmerie. 

J'ai beaucoup galéré, puis je me suis connecté au mode sans echec. Une fois sur le mode sans echec j'ai lancé un scan anti-virus, et mon ordinateur... a surchauffé et s'est éteint (c'est lié à la conception de l'ordinateur portable, il faisait ça fréquemment avant que je ne trouve une série de solutions). J'ai retenté, même chose.

Alors j'ai relancé une session normale, je suis retombé sur le message des gendarmes. J'ai tenté ctrl-alt-suppr pour essayer de trouver une nouvelle solution, mais le gestionnaire des tâches se fermait.

Et quand j'ai essayé de fermer simplement ma session : miracle. Tout est redevenu normal, ma session est ouverte, tout marche sans aucun ralentissement.

Je viens de relancer une analyse complète via Mac Afee.

Est-ce que Mac Afee a réellement "tué le virus" au moment où les symptômes se sont déclaré. Dans le cas contraire, une analyse suffira-t-elle ?

Merci !

Utilisateur anonyme · Answer

bonjour,
j'ai un gros doute que Macafric ait pu arriver à bout de ce truc !


* télécharge ce programme Ransomfix (merci à Xplode)    


* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )    
* copie, colle le dans ta prochaine réponse.

Brocooli · Answer

Merci beaucoup !

# RansomFix v1.0 - Xplode
# OS : Windows 7 Home Premium  (64 bits)
# Username : Johnny Cash - JUNE (Administrateur)

_____| Winlogon - Shell |_____

Value : explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : C:\Windows\explorer.exe  [0x0862495E0C825893DB75EF44FAEA8E93]
[OK]

_____| EOF |_____

J'avoue ne pas être sûr et certain de comprendre le sens de ce rapport ;)

Utilisateur anonyme · Answer

suis ce qu'on te marque et tout se passera bien  :D

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 
clique sur Supprimer et poste son rapport

Brocooli · Answer

Oké, merci de prendre un peu de temps pour moi, c'est vraiment très sympa :)

J'ai un peu galéré à avoir ce rapport, car adwCleaner demande un redémarrage pour afficher le rapport, et qu'au redémarrage, le virus fout le bronxe. Comme j'ai trouvé que le moyen de fermer la session pour désactiver le virus, je desactivais aussi adwCleaner... 
J'ai pas l'impression que l'opération ai supprimé le virus vu que je l'ai fait deux fois avant de simplement chercher où le rapport était enregistré.

J'ai donc trouvé le rapport. Par contre le machin est énorme (probablement lié à mon incapacité à tenir mon PC propre). Je pense que c'est ça :



# AdwCleaner v1.503 - Rapport créé le 24/03/2012 à 20:48:33
# Mis à jour le 24/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Johnny Cash - JUNE
# Exécuté depuis : C:\Users\Johnny Cash\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Users\Johnny Cash\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Johnny Cash\AppData\Local\TempDir
Dossier Supprimé : C:\Users\Johnny Cash\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Johnny Cash\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\JOHNNY~1\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Program Files (x86)\OfferBox
Dossier Supprimé : C:\Program Files (x86)\PriceGong
Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\extensions\engine@conduit.com
Fichier Supprimé : C:\Windows\system32\conduitEngine.tmp
Fichier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\searchplugins\Askcom.xml
Fichier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\searchplugins\Conduit.xml

***** [H. Navipromo] *****


***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2849852
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Software

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\prefs.js

Supprimée : user_pref("browser.search.defaultengine", "Ask.com");
Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");
Supprimée : user_pref("browser.search.defaultthis.engineName", "BittorrentBar_FR Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2849852&Sea[...]
Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2652911&q=");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Johnny Cash\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :                "update_url": "hxxp://autoupdate.chromewebtb.conduit-services.com/?productId=CT284985[...]

*************************

AdwCleaner[S1].txt - [4838 octets] - [24/03/2012 20:48:33]

########## EOF - C:\AdwCleaner[S1].txt - [4966 octets] ##########


En tout cas, ça répond à ma question première. MacAfee n'a pas détruit le virus. Je suis déçu :(

lecolegalere · Answer

pour le virus gendarmerie faut juste demarer le pc en monde sans echec 
restauration systeme ex: hier et pouf plus de virus 
lol rien de mechant

Utilisateur anonyme · Answer

bonjour,

il est tout petiti ce rapport  :D

ADWC supprime des adwares !

noralement, tu ne devrait plus avoir le message d' gendramerie truc chose  :P

on passe à la diag  :D


* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

MacAfee et virus gendarmerie nationale

6 réponses

Discussions similaires

Newsletters