Virus "gendarmerie nationale...."Résolu/Fermé

Question

Bonsoir,

j ai également recu ce virus ("gendarmerie nationale,activité illégale etc..."), et apres avoir lu pas mal d'explications à ce sujet sur votre forum, je souhaiterais également si possible une aide personnalisée car j'ai peur d'etre infesté de toute part et mon pc est mon outil de travail ou j'y passe 8 à 10h par jour...

Bref, comme lu sur d'autres sujets j'ai télecharger malwarebytes et lancé les analyses apres avoir démarré en mode sans échec avec réseau. Le scan rapide n a rien donné, j ai donc lancé un scan complet depuis environs 40min, pour l'instant 1 seul élément détecté sur 200 000 éléments analysés.

A la fin de l'analyse je supprimerai les elements infectés mais vu qu'apparement ce n'est pas suffisant je solliciterai votre aide pour faire si besoin est d autres analyses.

Je me doute qu' à cette heure ci il ne doit pas y avoir grand monde de disponible (à moins que ?) je pense donc qu on pourrait voir ca demain si quelqu un peut m'aider.

Merci par avance,

yoann

yoann137 · Answer

Ah ben l analyse se termine à l'instant... 
1 seul élément détecté sur 400 000 analysés...

Utilisateur anonyme · Answer

Bonjour


Poste moi ce rapport Malwaresbytes

Ensuite:

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport



@+

yoann137 · Answer

Aie je pensais pas avoir une réponse si rapide et du coup j ai redemarré l ordi comme indiqué apres la suppression du fichier infecté..

Probleme le virus est tjs la au redemarrage... :(

je le redemarre en mode sans echec et j essaie de poster ca et suivre tes instructions.

merci

yoann137 · Answer

voila le rapport

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
yoann :: YOANN-PC [administrateur]

Protection: Désactivé

14/04/2012 04:08:55
mbam-log-2012-04-14 (04-08-55).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 399362
Temps écoulé: 42 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\yoann\Desktop\Musique\Musique edf\LiberKey\Apps\AntMovieCatalog\App\AntMovieCatalog\unicows.dll (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Parcontre mon antivirus (McAfee) est desactivé et impossible de le réactiver.. est ce un probleme ou c est juste parceque je suis en mode sans echec ?

yoann137 · Answer

le rapport de RogueKiller : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: yoann [Droits d'admin] Mode: Recherche -- Date: 14/04/2012 05:20:43 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 6 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Update (C:\Users\yoann\AppData\Roaming\hj8ol0.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-2491159592-1193940134-814834373-1002[...]\Run : Update (C:\Users\yoann\AppData\Roaming\hj8ol0.exe) -> FOUND [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{6D9EED2F-B5EB-4822-986A-FA25176330A5} : NameServer (0.0.0.0) -> FOUND [DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{6D9EED2F-B5EB-4822-986A-FA25176330A5} : NameServer (0.0.0.0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9500420AS +++++ --- User --- [MBR] 14a48eda348a9933c8345deb3bdbb880 [BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 208896 | Size: 15000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30928896 | Size: 461837 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

yoann137 · Answer

re,

bon apres avoir supprimé les fichiers via RogueKiller, l'ordi s est enfin redémarré normalement, sans ce virus qui bloquait tout.

Je vais aller dormir qqs heures et si cela est possible j aimerais qu'on essaie de retirer toutes traces qui ont pu rester de ce virus et analyser le reste..

Désolé pour les futures derangements..Mais j ai "légèrement" flippé là et c'est vrai que je ne m en preoccupait pas trop pour l instant mais je vais vraiment avoir besoin d'une bonne protection pour mon pc..

Merci en tout cas.

A demain.

Utilisateur anonyme · Answer

Bonjour

As tu lancé Roguekiller option suppression?
Poste moi le rapport;merci

@+

yoann137 · Answer

Bonjour, oui j ai bien lancé l'option suppression, voila le rapport obtenu : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: yoann [Droits d'admin] Mode: Suppression -- Date: 14/04/2012 05:37:24 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 5 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Update (C:\Users\yoann\AppData\Roaming\hj8ol0.exe) -> DELETED [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{6D9EED2F-B5EB-4822-986A-FA25176330A5} : NameServer (0.0.0.0) -> NOT REMOVED, USE DNSFIX [DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{6D9EED2F-B5EB-4822-986A-FA25176330A5} : NameServer (0.0.0.0) -> NOT REMOVED, USE DNSFIX [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9500420AS +++++ --- User --- [MBR] 14a48eda348a9933c8345deb3bdbb880 [BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 208896 | Size: 15000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30928896 | Size: 461837 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Lionel · Answer

Bonjour,

Je viens de passer 2 jours à me débarrasser du fameux virus gendarmerie nationale, dans une version qui ne répondait pas aux conseils trouvés sur plusieurs sites (pas de détection via Malwarebytes, Roguekiller,... dernières versions). Je suis sous PC Windows XP.

Après de nombreuses tentatives, en mode sans échec (qui fonctionne encore dans ma version du pb), j'ai finalement exploré les registres via REGEDIT (à saisir via : Démarrer/Exécuter), et j'ai fini par identifier un fichier au nom suspect : "hj8ol0.exe"
que l'on trouve dans le chemin suivant:
HK_local_machine\software\Microsoft\Windows\CurrentVersion\Run\hj8ol0.exe

Un google avec ce virus permet d'identifier une version hollandaise récente de la couillonnade "gendarmerie nationale".

En supprimant ce ficheir de la clé des registres, le redémarrage en mode normal est Ok.

Voilà si cela peut en aider qqs un(e)s.

Utilisateur anonyme · Answer

Re

Inscris toi avant tout  

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

yoann137 · Answer

il est pour moi ce message ?

Désolé, vu que quelqu un d autre a posté entre tps c'est un peu confus.. (surtout que je ne vois pas où m inscrire. à moins que le debut soit pour lui et le reste pour moi ? )

Je vais tout de meme telecharger ZHPDiag et suivre tes instructions ;)

A toute

yoann137 · Answer

https://www.cjoint.com/?BDopshW2IRQ

J' espère que c'est bien ca, je n'ai pas trouvé le fichier ZHPDiag.txt, j ai mis le dernier en date (mbr).

yoann137 · Answer

Apparement ce n'est pas ca... :(  

La ca doit etre bon (il etait sur le bureau) :  

https://www.cjoint.com/?BDopAFrM7lb

Utilisateur anonyme · Answer

Re

Vrai ;regarde sur ton bureau 

@+

yoann137 · Answer

Je te remet le bon lien ici, vu que tu as répondu avant que j edite mon dernier message

https://www.cjoint.com/?BDopAFrM7lb

merci

Utilisateur anonyme · Answer

Re


Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[HKCU\Software\Grand Virtual]     
[MD5.511ACE5FF8B9BAF19F188F88B00626A6] [SPRF][14/04/2012] (...) -- C:\Users\yoann\AppData\Roaming\hj8ol0.exe   [139776] 
O4 - Global Startup: C:\Users\yoann\Desktop\Football Manager 2011.lnk - Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{97D45400-FABB-4D29-ABB6-7EC63816CCF0}] (...) -- C:\Users\yoann\APPDATA\LOCAL\TEMP\wzb9ec\SitNGoWizardSetup_1_0_1_106.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{A368F9C2-06CA-4677-8636-8E67CCE5F346}] (...) -- C:\Users\yoann\Desktop\SitNGoWizardSetup_1_0_1_106.exe (.not file.)
O42 - Logiciel: Java 6 Update 24 (64-bit) - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416024FF}    
 O42 - Logiciel: Java 6 Update 29 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216024FF}    
FirewallRAZ
Emptytemp

--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

yoann137 · Answer

re, 

j ai fait ce que tu m as dit, par contre pendant le nettoyage j ai un message qui vient de s afficher (windows installer) : "voulez vous vraiment desinstaller ce produit ?"

Dois je repondre oui ? meme si je n ai pas la moindre idée de ce qu ils veulent que je desinstalle ?

merci

yoann137 · Answer

le rapport : 

https://www.cjoint.com/?BDoqqmXqwCf

Je vais reinstaller la derniere version de java, merci.

Utilisateur anonyme · Answer

Re

1)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm





Tiens moi au courant;merci

@+

yoann137 · Answer

1) pour les maj apparemment tout est ok

2) pour cleaner, j ai suivi toutes tes instructions et ca m'a supprimé plus d'1go je crois.
J ai du refaire 2 ou 3 fois "réparer les erreurs" mais tout semble ok

Faut il que je conserve ces sauvegardes qq part et à quoi me serviront elles ?

Merci

Utilisateur anonyme · Answer

Re

1)Conserve les quelques jours ;en cas de dysfonctionnement ;tu restaures.


2)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

yoann137 · Answer

Faut que je fasse une sauvegarde de mon dd quelque part avant une restauration non ? je risque de perdre pleins de données si je restaure ?

(désolé j ai un peu de mal avec tout ca..et j ai des données qu il ne faut absolument pas que je perde)

Pareil pour la purge ?

merci

Utilisateur anonyme · Answer

Re

Tu ne perds aucunes données.
Ces enregistrements réguliers de ton PC te permettent en cas de problème ;de revenir à une date antérieure.

La je te fais supprimer tous les points de restauration infectieux;c'est tout.

Tu peux toujours en créer un nouveau maintenant.

@+

yoann137 · Answer

Re,

bon j ai voulu faire une sauvegarde avant tout ca et ca m a pris 2 bonnes heures..

Parcontre je fais mes sauvegardes sur un dd externe du coup quand j'ai voulu faire la purge il n'y avait évidemment aucune donnée à purger (0 octet)

Vaut il mieux effectuer ces sauvegardes sur le pc directement ? (je ne sais pas comment..)

Du coup maintenant on est sur qu il n y a plus aucune trace de ce virus ?
Comment se protéger à l'avenir de ce genre de virus ? 
J ai McAfee encore valable qqs mois, est il assez performant et aurais tu un conseil à me donner pour un anti virus ?

J ai également vu sur un autre sujet que tu conseillais Foxit reader à la place d'adobe, est ce le cas également pour moi ?

Désolé pour toutes ces nouvelles questions, je ne suis pas très doué en informatique et j'en profite pendant que je te tiens :)

En tout cas un grand merci à toi pour ta disponibilité et tous tes conseils ! Merci pour le temps consacré à mon probleme, tu m as été d'une grande aide !!

Je ne sais pas si je peux faire qq chose en retour...

Merci encore, et si jamais tu as encore 5 min..^^

Utilisateur anonyme · Answer

Bonjour

1)Il te faut activer cette restauration sur ton PC;cela peut être utile.

2)Pour ce qui concerne ton antivirus McAffee est bien mais il est payant.
Si tu veux le conserver c'est ton choix.
Il existe en gratuit Antivir ;Avast ;AVG.

De plus tu peux conserver Malwaresbytes ;le mettre à jour une fois par semaine et lancer une analyse rapide

Conserve dans tes favoris le lien vers Sécunia;ce qui te permettra de vérifier régulièrement les diverses mises à jour importantes a effectuer.

3)Je conseille Foxit reader parce que il est plus léger et suffit amplement pour lire un fichier Pdf.



Tiens moi au courant;merci

@+

yoann137 · Answer

Bonjour Guillaume,

ca va surement te paraitre un peu bête, mais ayant 3 programmes "adobe" ( adobe AIR, adobe flash player 11 ActiveX, adobe reader X ) je ne sais pas si je dois desinstaller les 3 ou juste l'un d'entre eux....

Pour activer la restauration sur mon pc (sauvegarde?), idem, je ne sais comment faire...je pourrais surement finir par le trouver par moi même mais les initiatives sur le pc ca m'a déjà joué des tours..

Pour l'anti virus, j ai pour l'instant McAffee car 15 mois m'ont été offert à l'achat de mon pc. Je prendrais l'un des 3 que tu m'as proposé à l'expiration de celui ci.

Sinon effectivement j'ai conservé tous les programmes que tu m'as fait installer ainsi que les adresses des sites.

Merci

Utilisateur anonyme · Answer

Re

Oui il s'agit bien d'Adobe reader.

Pour la restauration;tu avais le lien.
Le revoilà:

http://www.forum-seven.com/forum/

@+

yoann137 · Answer

Bon voila, j ai créé un point de restauration et installé foxit reader,

encore merci pour tout !

Bon dimanche,

A plus.

Virus "gendarmerie nationale...."

28 réponses

Discussions similaires

Newsletters