Virus gendarmerie : aucune méthode ne marche!

taklia Messages postés 50 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Je suis sous Vista sur mon ordinateur de travail et je suis infectée par le virus "office central de lutte contre la criminalité liée aux TIC" "activité illicite démelée"
J'ai essayé toutes les méthodes de Malekal:
j'ai fais Rogue Killer et tout supprimé, j'ai fais une analyse malware byte complète pendant toute la nuit, ca m'a trouvé 4 fichiers que j'ai supprimé
j'ai essayé la methode regedit en allant renommer le explorer. j'ai supprimé tous les fichiers temp.
Rien à faire!
j'ai aussi voulu faire HijackThis mais même en mode sans échec il ne me laisse pas l'installer.
J'ai peut être mal fait quelque chose, quelqu'un a eu le même probleme?
cette version du virus est censée être facile à supprimée...
Quelqu'un pourrait me guider??
c'est urgent, j'ai besoin de cet ordi pour aller travailler demain, et je n'ai pas trop envie d'annoncer a mon patron qu'il y a un virus sur son ordi, surtout que je suis stagiaire...
Merci d'avance !

39 réponses

  • 1
  • 2
Résumé de la discussion

Une machine sous Windows Vista est infestée par un malware affichant un message trompeur et les tentatives de suppression échouent malgré RogueKiller, Malwarebytes et d’autres outils. La solution la plus citée consiste à utiliser OTLPE en mode live CD, puis d’analyser et appliquer des fixes via les rapports générés pour guider le nettoyage hors système. En parallèle, certains évoquent le formatage complet comme option finale, afin d’éviter toute persistance, tandis que d’autres soulignent l’intérêt d’assurer les mises à jour et l’utilisation d’un antivirus intégré comme MSE. Certaines contributions suggèrent d'utiliser des outils spécifiques pour vérifier le Master Boot Record et les entrées de registre, et de partager des rapports de diagnostic pour obtenir une aide ciblée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut,

    on peut le supprimer avec OTL ......... ou en live cd otlpe ....
    inutile de prendre un congé maladie et de l'amener chez l'informaticien qui va:

    1) te dire qu'on ne sait rien faire
    2) faire une sauvegarde de tes fichiers (payante)
    3) formater ton pc et réinstaller un windows (légal?) -> service payant également.

    faut voir, si tu suis les consignes correctement et reste zen !!!

    Salut Guillaume au passage.

    A+
    .::. Contributeur Sécurité .::.
    1
  2. Utilisateur anonyme
     
    Bonjour

    Poste moi ces différents rapports Roguekiller et Malwaresbytes

    Merci

    @+
    0
  3. taklia Messages postés 50 Statut Membre
     
    Ok, je t'envoi ca de suite, le temps de les récupérer.
    Le rapport MalwareByte s'enregistre automatiquement? je ne l'ai pas sauvegardé.
    0
  4. taklia Messages postés 50 Statut Membre
     
    Merci beaucoup de ta réponse rapide!

    voici le rapport rogue killer apres suppression

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: utilisateur [Droits d'admin]
    Mode: Suppression -- Date: 15/04/2012 09:34:19

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [] HKLM\[...]\Run : () -> ACCESS DENIED

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++
    --- User ---
    [MBR] d7b0e82a1afb7d5a77c59a40b76f1d32
    [BSP] 0a4c6d6b5cab4f4ba27e7d4a246ae340 : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo
    1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: LEXAR JUMPDRIVE ELITE USB Device +++++
    --- User ---
    [MBR] a4a599783addbbf8bc93ae4adecaabb4
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 991 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. taklia Messages postés 50 Statut Membre
     
    Malware Byte de cette nuit :

    Malwarebytes Anti-Malware (Essai) 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.04.14.07

    Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    utilisateur :: PORTABL-GWLADYS [administrateur]

    Protection: Désactivé

    15/04/2012 00:16:44
    mbam-log-2012-04-15 (00-16-44).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 349991
    Temps écoulé: 48 minute(s), 36 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 2
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|43004 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msvtmwa.bat -> Suppression au redémarrage.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 1
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\windows\system32\119857BA27C9A7FC8C52.exe,) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\ProgramData\Local Settings\Temp\msvtmwa.bat (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. taklia Messages postés 50 Statut Membre
     
    MalwareByte de ce matin :

    Malwarebytes Anti-Malware (Essai) 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.04.14.07

    Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    utilisateur :: PORTABL-GWLADYS [administrateur]

    Protection: Désactivé

    15/04/2012 08:37:06
    mbam-log-2012-04-15 (08-37-06).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
    Options d'examen désactivées:
    Elément(s) analysé(s): 350000
    Temps écoulé: 48 minute(s), 36 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|43004 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msvtmwa.bat -> Suppression au redémarrage.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  8. Utilisateur anonyme
     
    Re

    Tu démarres Malwaresbytes,et tu regardes dans l'onglet rapports/logs

    @+
    0
  9. taklia Messages postés 50 Statut Membre
     
    C'est fait, je te les ai tous posté, tu en penses quoi?
    Je suis vraiment dans la m**** si je n'arrive pas à l'enlever...
    En tous cas merci beaucoup de prendre du temps si tot un dimanche matin pour m'aider !
    0
  10. Utilisateur anonyme
     
    Bonjour

    Relance Roguekiller option scan et poste moi son rapport
    Merci

    @+
    0
  11. taklia Messages postés 50 Statut Membre
     
    C'est ça qu'il te faut? j'ai fais scan puis rapport:

    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: utilisateur [Droits d'admin]
    Mode: Recherche -- Date: 15/04/2012 09:54:17

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [] HKLM\[...]\Run : () -> ACCESS DENIED

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++
    --- User ---
    [MBR] d7b0e82a1afb7d5a77c59a40b76f1d32
    [BSP] 0a4c6d6b5cab4f4ba27e7d4a246ae340 : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo
    1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: LEXAR JUMPDRIVE ELITE USB Device +++++
    --- User ---
    [MBR] a4a599783addbbf8bc93ae4adecaabb4
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 991 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  12. Utilisateur anonyme
     
    Re

    Je ne vois aucunes traces.
    As tu encore cette fenêtre de présente?

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://pjjoint.malekal.com/

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  13. taklia Messages postés 50 Statut Membre
     
    0
    1. taklia Messages postés 50 Statut Membre
       
      en attendant ta réponse, je redémarre en mode normal pour voir si la police est toujours sur mon écran...
      0
  14. Utilisateur anonyme
     
    Re

    As tu encore des soucis?

    @+
    0
  15. taklia Messages postés 50 Statut Membre
     
    le message est toujours la...
    0
  16. Utilisateur anonyme
     
    Re

    Dans ce mode normal poste moi un rapport ZHPDiag;merci

    @+
    0
  17. taklia Messages postés 50 Statut Membre
     
    je vais essayer mais le message apparait tres peu de temps après le démarrage...
    0
  18. taklia Messages postés 50 Statut Membre
     
    c'est bien ce que je pensais, je ne peux pas...
    0
  19. taklia Messages postés 50 Statut Membre
     
    quand j'allume mon ordi en mode normal, je vois mon écran de bureau et au bout de 40 sec a peu près, tout devient noir et le message apparait.
    si je lance un programme quel qu'il soit ca accélère le lancement du virus.
    je peux peut être avoir le temps d'accéder au gestionnaire de taches...
    0
  20. taklia Messages postés 50 Statut Membre
     
    je viens de redémarrer en mode normal et il me fait des mises à jour...
    0
    1. taklia Messages postés 50 Statut Membre
       
      en fait il essai de faire des maj mais le virus doit le bloquer donc il redémarre en boucle... je vais devenir folle !
      0
  • 1
  • 2