MacAfee et virus gendarmerie nationale

Brocooli Messages postés 3 Statut Membre -  
 Utilisateur anonyme -
Bonjour,


J'ai simplement une petite question. Je vous donne le contexte avant.
Hier soir j'ai choppé le virus qui veut vous faire croire que vous êtes fiché par les flics et tout (j'habite juste à côté d'une gendarmerie en plus, si ils voulaient me causer ils auraient 20m à faire et sonner hahaha).

Au moment où j'ai attrapé le virus, Mon anti-virus MacAfee (auquel je suis abonné de façon payante) m'a dit que le vrius était éliminé, mais les symptômes ont quand même eu lieu.
Donc j'ai eu un gros foutoire sur le bureau, puis le message de la gendarmerie.

J'ai beaucoup galéré, puis je me suis connecté au mode sans echec. Une fois sur le mode sans echec j'ai lancé un scan anti-virus, et mon ordinateur... a surchauffé et s'est éteint (c'est lié à la conception de l'ordinateur portable, il faisait ça fréquemment avant que je ne trouve une série de solutions). J'ai retenté, même chose.

Alors j'ai relancé une session normale, je suis retombé sur le message des gendarmes. J'ai tenté ctrl-alt-suppr pour essayer de trouver une nouvelle solution, mais le gestionnaire des tâches se fermait.

Et quand j'ai essayé de fermer simplement ma session : miracle. Tout est redevenu normal, ma session est ouverte, tout marche sans aucun ralentissement.

Je viens de relancer une analyse complète via Mac Afee.

Est-ce que Mac Afee a réellement "tué le virus" au moment où les symptômes se sont déclaré. Dans le cas contraire, une analyse suffira-t-elle ?

Merci !

6 réponses

  1. Utilisateur anonyme
     
    bonjour,
    j'ai un gros doute que Macafric ait pu arriver à bout de ce truc !

    * télécharge ce programme Ransomfix (merci à Xplode)

    * Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
    * copie, colle le dans ta prochaine réponse.

    1
  2. Brocooli Messages postés 3 Statut Membre
     
    Merci beaucoup !

    # RansomFix v1.0 - Xplode
    # OS : Windows 7 Home Premium  (64 bits)
    # Username : Johnny Cash - JUNE (Administrateur)
    
    _____| Winlogon - Shell |_____
    
    Value : explorer.exe [OK]
    
    _____| HKCU\..\Run |_____
    
    No bad key found
    
    _____| Explorer.exe |_____
    
    Checking explorer.exe...
    Found : C:\Windows\explorer.exe  [0x0862495E0C825893DB75EF44FAEA8E93]
    [OK]
    
    _____| EOF |_____


    J'avoue ne pas être sûr et certain de comprendre le sens de ce rapport ;)
    0
  3. Utilisateur anonyme
     
    suis ce qu'on te marque et tout se passera bien :D

    ? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

    Lance le,
    clique sur Supprimer et poste son rapport

    0
  4. Brocooli Messages postés 3 Statut Membre
     
    Oké, merci de prendre un peu de temps pour moi, c'est vraiment très sympa :)

    J'ai un peu galéré à avoir ce rapport, car adwCleaner demande un redémarrage pour afficher le rapport, et qu'au redémarrage, le virus fout le bronxe. Comme j'ai trouvé que le moyen de fermer la session pour désactiver le virus, je desactivais aussi adwCleaner...
    J'ai pas l'impression que l'opération ai supprimé le virus vu que je l'ai fait deux fois avant de simplement chercher où le rapport était enregistré.

    J'ai donc trouvé le rapport. Par contre le machin est énorme (probablement lié à mon incapacité à tenir mon PC propre). Je pense que c'est ça :

    # AdwCleaner v1.503 - Rapport créé le 24/03/2012 à 20:48:33
    # Mis à jour le 24/03/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium  (64 bits)
    # Nom d'utilisateur : Johnny Cash - JUNE
    # Exécuté depuis : C:\Users\Johnny Cash\Desktop\adwcleaner.exe
    # Option [Suppression]
    
    
    ***** [Services] *****
    
    
    ***** [Fichiers / Dossiers] *****
    
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Nosibay
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\OfferBox
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Local\TempDir
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\LocalLow\PriceGong
    Dossier Supprimé : C:\Users\JOHNNY~1\AppData\Local\Temp\AskSearch
    Dossier Supprimé : C:\Program Files (x86)\OfferBox
    Dossier Supprimé : C:\Program Files (x86)\PriceGong
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
    Dossier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\extensions\engine@conduit.com
    Fichier Supprimé : C:\Windows\system32\conduitEngine.tmp
    Fichier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\searchplugins\Askcom.xml
    Fichier Supprimé : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\searchplugins\Conduit.xml
    
    ***** [H. Navipromo] *****
    
    
    ***** [Registre] *****
    
    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2849852
    Clé Supprimée : HKCU\Software\Nosibay
    Clé Supprimée : HKCU\Software\Offerbox
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Offerbox
    Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
    
    ***** [Registre (x64)] *****
    
    Clé Supprimée : HKLM\SOFTWARE\Software
    
    ***** [Navigateurs] *****
    
    -\\ Internet Explorer v9.0.8112.16421
    
    [OK] Le registre ne contient aucune entrée illégitime.
    
    -\\ Mozilla Firefox v11.0 (fr)
    
    Nom du profil : default
    Fichier : C:\Users\Johnny Cash\AppData\Roaming\Mozilla\FireFox\Profiles\7scxbu1x.default\prefs.js
    
    Supprimée : user_pref("browser.search.defaultengine", "Ask.com");
    Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");
    Supprimée : user_pref("browser.search.defaultthis.engineName", "BittorrentBar_FR Customized Web Search");
    Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2849852&Sea[...]
    Supprimée : user_pref("browser.search.order.1", "Ask.com");
    Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2652911&q=");
    
    -\\ Google Chrome v [Impossible d'obtenir la version]
    
    Fichier : C:\Users\Johnny Cash\AppData\Local\Google\Chrome\User Data\Default\Preferences
    
    Supprimée :                "update_url": "hxxp://autoupdate.chromewebtb.conduit-services.com/?productId=CT284985[...]
    
    *************************
    
    AdwCleaner[S1].txt - [4838 octets] - [24/03/2012 20:48:33]
    
    ########## EOF - C:\AdwCleaner[S1].txt - [4966 octets] ##########
    


    En tout cas, ça répond à ma question première. MacAfee n'a pas détruit le virus. Je suis déçu :(
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lecolegalere Messages postés 91 Statut Membre 1
     
    pour le virus gendarmerie faut juste demarer le pc en monde sans echec
    restauration systeme ex: hier et pouf plus de virus
    lol rien de mechant
    0
  7. Utilisateur anonyme
     
    bonjour,

    il est tout petiti ce rapport :D

    ADWC supprime des adwares !

    noralement, tu ne devrait plus avoir le message d' gendramerie truc chose :P

    on passe à la diag :D

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

    ou :
    http://dl.free.fr
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.terafiles.net/

    tuto zhpdiag :

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    0