Virus gendarmerie : aucune méthode ne marche!

Question

Bonjour, 

Je suis sous Vista sur mon ordinateur de travail et je suis infectée par le virus "office central de lutte contre la criminalité liée aux TIC" "activité illicite démelée"
J'ai essayé toutes les méthodes de Malekal:
j'ai fais Rogue Killer et tout supprimé, j'ai fais une analyse malware byte complète pendant toute la nuit, ca m'a trouvé 4 fichiers que j'ai supprimé
j'ai essayé la methode regedit en allant renommer le explorer. j'ai supprimé tous les fichiers temp.
Rien à faire!
j'ai aussi voulu faire HijackThis mais même en mode sans échec il ne me laisse pas l'installer.
J'ai peut être mal fait quelque chose, quelqu'un a eu le même probleme?
cette version du virus est censée être facile à supprimée...
Quelqu'un pourrait me guider??
c'est urgent, j'ai besoin de cet ordi pour aller travailler demain, et je n'ai pas trop envie d'annoncer a mon patron qu'il y a un virus sur son ordi, surtout que je suis stagiaire...
Merci d'avance !

Utilisateur anonyme · Answer

Bonjour

Poste moi ces différents rapports Roguekiller et Malwaresbytes

Merci

@+

taklia · Answer

Ok, je t'envoi ca de suite, le temps de les récupérer.
Le rapport MalwareByte s'enregistre automatiquement? je ne l'ai pas sauvegardé.

taklia · Answer

Merci beaucoup de ta réponse rapide!

voici le rapport rogue killer apres suppression

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: utilisateur [Droits d'admin]
Mode: Suppression -- Date: 15/04/2012 09:34:19

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++
--- User ---
[MBR] d7b0e82a1afb7d5a77c59a40b76f1d32
[BSP] 0a4c6d6b5cab4f4ba27e7d4a246ae340 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: LEXAR JUMPDRIVE ELITE USB Device +++++
--- User ---
[MBR] a4a599783addbbf8bc93ae4adecaabb4
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 991 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

taklia · Answer

Malware Byte de cette nuit :


Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.14.07

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
utilisateur :: PORTABL-GWLADYS [administrateur]

Protection: Désactivé

15/04/2012 00:16:44
mbam-log-2012-04-15 (00-16-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 349991
Temps écoulé: 48 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|43004 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msvtmwa.bat -> Suppression au redémarrage.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\windows\system32\119857BA27C9A7FC8C52.exe,) Bon: (userinit.exe) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\ProgramData\Local Settings\Temp\msvtmwa.bat (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)

taklia · Answer

MalwareByte de ce matin :


Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.14.07

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
utilisateur :: PORTABL-GWLADYS [administrateur]

Protection: Désactivé

15/04/2012 08:37:06
mbam-log-2012-04-15 (08-37-06).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées: 
Elément(s) analysé(s): 350000
Temps écoulé: 48 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|43004 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msvtmwa.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Utilisateur anonyme · Answer

Re

Tu démarres Malwaresbytes,et tu regardes dans l'onglet rapports/logs

@+

taklia · Answer

C'est fait, je te les ai tous posté, tu en penses quoi?
Je suis vraiment dans la m**** si je n'arrive pas à l'enlever... 
En tous cas merci beaucoup de prendre du temps si tot un dimanche matin pour m'aider !

Utilisateur anonyme · Answer

Bonjour

Relance Roguekiller option scan et poste moi son rapport
Merci

@+

taklia · Answer

C'est ça qu'il te faut? j'ai fais scan puis rapport:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: utilisateur [Droits d'admin]
Mode: Recherche -- Date: 15/04/2012 09:54:17

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHZ2250BH G2 +++++
--- User ---
[MBR] d7b0e82a1afb7d5a77c59a40b76f1d32
[BSP] 0a4c6d6b5cab4f4ba27e7d4a246ae340 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: LEXAR JUMPDRIVE ELITE USB Device +++++
--- User ---
[MBR] a4a599783addbbf8bc93ae4adecaabb4
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 991 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Utilisateur anonyme · Answer

Re

Je ne vois aucunes traces.
As tu encore cette fenêtre de présente?


Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

taklia · Answer

voici le fichier:
https://www.cjoint.com/?BDpkIuMzNvj

Utilisateur anonyme · Answer

Re

As tu encore des soucis?

@+

taklia · Answer

le message est toujours la...

Utilisateur anonyme · Answer

Re

Dans ce mode normal poste moi un rapport ZHPDiag;merci

@+

taklia · Answer

voici l'autre lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120415_15l9f13v11b12

taklia · Answer

je vais essayer mais le message apparait tres peu de temps après le démarrage...

taklia · Answer

c'est bien ce que je pensais, je ne peux pas...

taklia · Answer

quand j'allume mon ordi en mode normal, je vois mon écran de bureau et au bout de 40 sec a peu près, tout devient noir et le message apparait.
si je lance un programme quel qu'il soit ca accélère le lancement du virus.
je peux peut être avoir le temps d'accéder au gestionnaire de taches...

taklia · Answer

je viens de redémarrer en mode normal et il me fait des mises à jour...

taklia · Answer

Merci Guillaume de ton aide mais avec le coup des mises à jour je crois qu'il n'y a plus rien à faire... A moins que je te l'amène ^^
si tu as trouvé une solution tiens moi au courant, mais sinon, je vais me faire passer malade au boulot demain et j'emmènerai l'ordi chez l'informaticien.
Je te tiendrai au courant de ce qu'il me dit!
merci beaucoup !

Utilisateur anonyme · Answer

Re

Tu ne m'a pas mis le bon rapport.

@+

taklia · Answer

zut, de toutes façons, avec les mises à jour, je ne peux plus accéder à rien.
vraiment merci de ton aide! bon dimanche :)

Utilisateur anonyme · Answer

Re

Laisse ces mises à jour se faire et tu reprends ensuite.
No stress ;-)

@+

juju666 · Answer

salut, 

on peut le supprimer avec OTL ......... ou en live cd otlpe .... 
inutile de prendre un congé maladie et de l'amener chez l'informaticien qui va: 

1) te dire qu'on ne sait rien faire 
2) faire une sauvegarde de tes fichiers (payante) 
3) formater ton pc et réinstaller un windows (légal?) -> service payant également. 

faut voir, si tu suis les consignes correctement et reste zen !!! 

Salut Guillaume au passage. 

A+ 
 .::. Contributeur Sécurité .::.

taklia · Answer

merci beaucoup à tous les 2, en effet je suis démoralisée...
pour le congé maladie, c'est pas un drame, je ne suis que stagiaire.

même si je ne touche à rien sur les mise à jour, elles ne se font pas.

Ca me met 3 mises à jour en cours à 0% pendant 1 minute et le PC se redemarre, me réaffiche 3 mises a jour 0% et redemarre, comme ca en boucle quel que soit le mode normal ou sans echec...

g3n-h@ckm@n · Answer

salut doit y avoir un truc qui recharge l'infection en mode normal :) 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

Re

Salut à g3n-h@ckm@n et juju666


@ taklia

 As tu tenté une restauration?

Tu procèdes comme  pour accéder au mode sans échec mais tu choisis:

Invite de commande en mode sans échec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).

@ pour espace

cd \
cd@windows
cd@system32
rstrui

Pour obtenir : 
C : \windows \system32 > rstrui

Cela te permettra d'accéder à la restauration


@+

Utilisateur anonyme · Answer

Re

Tu veux dire que le PC est inaccessible?
Tu postes a partir de quoi?

@+

juju666 · Answer

telecharge ici OTLPE sous environnement windows 7:  http://forums-fec.be/gen-hackman/7pe_x86_E.exe  

double click dessus, il te demandera d'insérer un CD pour le graver. 

ensuite change le demarrage de ton pc malade en mettant le cd en premier demarrage dans le bios  

comment Faire ? :  Modifier la sequence de demarrage de l'ordi   

demarre le pc malade sur le cd. 

Laisse faire jusqu'à l'affichage complet du bureau 

normalement FirefoxPortable te permet de venir lire la suite 

Lance OTLPE.exe qui se trouve sur ton bureau : 

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok  

à la question Do you wish to load remote user profile(s) for scanning ? => oui 

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK 

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre 

dans la case en dessous "Custom Scans/Fixes" colle ce texte : 

/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop  
netsvcs 
safebootminimal 
safebootnetwork  
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\system32\*.ini 
%systemroot%\Tasks\*.* 
%systemroot%\system32\Tasks\*.* 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
%systemroot%\system32\config\*.exe /s 
%systemroot%\system32\*.sys  
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon  
CREATERESTOREPOINT 

Clic sur Analyse. 

A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt 

héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus 

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne) 


 .::. Contributeur Sécurité .::.

Utilisateur anonyme · Answer

Re

Si tu disposes d'un graveur :oui

@+

taklia · Answer

Ca a l'air assez risqué de rentrer dans le BIOS, j'ai un peu peur de faire des bêtises vu que c'est mon ordi de travail fourni par l'entreprise... ca serait le mien il n'y aurait aucun problème mais là...

juju666 · Answer

bah ou tu donnes ton pc au service informatique de ton entreprise après tout .....

ils ont des ghost tout fait qu'ils réinstalleront ...

taklia · Answer

C'est un cabinet comptable et on est que 5... donc y'a pas vraiment de service informatique, juste un informaticien qui met 3 semaines à amener des cartouches pour l'imprimante et qui ne sait rien réparer... je vous tiens au courant demain !
Merci pour tout!
bonne nuit !

taklia · Answer

Bonjour!
comme promis je viens vous tenir informés, j'ai fini par faire un formatage complet pour éviter tout risque qu'un autre virus soit caché et activé à un autre moment. C'était ma 2ème infection non justifiée en peu de temps et j'ai vraiment flippé!
Merci encore pour tout : votre temps, vos conseils etc...
j'ignore comment clore un sujet, mais celui ci peut être fermé car il est résolu :)
Bonne continuation à tous !

g3n-h@ckm@n · Answer

salut tu t'y es prise comment pour formater ?

g3n-h@ckm@n · Answer

lol tu veux qu'on verifie avec un diagnostic pour être sûre ? ^^

juju666 · Answer

si tu as payé un forfait style 50€ m'étonnerait qu'il t'ai installé un windows légal :o)

grosse.marmotte · Answer

voila ce que j ai fais...
tu demarres ton pc en coupant ta connexion
tu passe un anti virus si tu as
tu prends un point de sauvegarde anterieur de qqs jours si possible
sous XP...
demarrer
aide et support
clic sur ...
Annulez les modifications de votre ordinateur avec la Restauration du système
le systeme te propose de restaurer a une date ulterieur voila ca redemarre
remets ta connexion et repasse anti virus il y a un espion mais ca marche

g3n-h@ckm@n · Answer

mouahahahah tiens lis ca :

derniere variante en ligne

restauration systeme supprimée
clé shell crée pour user
clé userinit crée pour user
clé shell modifiée pour machine
clé userinit modifiée pour machine
mode sans echec supprimé
clé Alternate Shell détournée
une IFEO qui renvoie sur le fichier ou sur svchost.exe

et parfois même un activeX qui renvoie sur le fichier

Virus gendarmerie : aucune méthode ne marche!

39 réponses

Votre réponse

Discussions similaires

Newsletters