virus police & gendarmerie nationale "activitRésolu/Fermé

Question

Bonjour,
j'ai attrapé ce virus (virus police & gendarmerie nationale "activité illégale repérée") et je suis incapable de le supprimer. Peut-on m'aider ?  (j'utilise windows xp.)

enia

Utilisateur anonyme · Answer

Bonjour

Tu procèdes comme  pour accéder au mode sans échec mais tu choisis:

Invite de commande en mode sans échec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace

cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir : 
C : \windows \system32 \restore> rstrui

 Cela te permettra d'accéder à la restauration


@+

Utilisateur anonyme · Answer

Re

Il va falloir proceder avec un LiveCD.

Télécharge OTLPE sur le bureau.
Prépare un CD vierge 
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM 
Pour se faire suivre ce lien : Booter sur un CD 
Tuto OTLPE 

Tu lances l'iso d'OTLPE que tu as gravé. 
Tu choisis le lecteur ou est installé ton système d'exploitation (par défaut C)
Et ensuite Windows
*	une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune 

*	Double-clique sur l'icone OTLPE 
*	quand demandé "Do you wish to load the remote registry", select Yes 
*	Tu choisis ta session
*	Sous Vista et Seven il faut développer l'arborescence du lecteur C qui par défaut embarque Windows et arriver sur le dossier Windows.
Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
Ensuite
*	sous Custom Scan box 
1) copie_colle le contenu du cadre ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
cdrom.sys 
disk.sys 
ndis.sys 
mountmgr.sys 
aec.sys 
rasacd.sys 
mrxsmb10.sys 
mrxsmb20.sys 
termdd.sys 
mrxsmb.sys 
win32k.sys 
storport.sys 
IdeChnDr.sys 
viasraid.sys 
explorer.exe 
winlogon.exe 
wininit.exe
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
CREATERESTOREPOINT 

*	copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller. 

*	2) Clic Run Scan pour démarrer le scan. 
*	Une fois terminé , le fichier se trouve là C:\OTL.txt 
*	Copie_colle le contenu dans ta prochaine réponse. 


@+

enia · Answer

Re

je ne parviens pas à poster le fichier sur le forum.

Peut-être est-il trop lourd

Utilisateur anonyme · Answer

Re

Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

@+

enia · Answer

http://pjjoint.malekal.com/files.php?id=20120421_e11e10h8x9f15

Utilisateur anonyme · Answer

Re

* Double-clique sur l'icone OTLPE 
* quand demandé "Do you wish to load the remote registry", selectionne "Yes" 
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes" 
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK 


http://imagesup.org/image 

* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX 




:OTL
O4 - HKLM..\Run: [rscsuv] C:\Documents and Settings\antoine.ENIOTNA\Local Settings\Temp\rscsuv.dll () 
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\seti0.exe () 
O4 - HKU\antoine.ENIOTNA_ON_C..\Run: [VerCheck] C:\Documents and Settings\antoine.ENIOTNA\Local Settings\Application Data\MSoft\VerCheck\VerCheck.exe (MacSoft) 

:Files
C:\Documents and Settings\antoine.ENIOTNA\Bureau\winlogon.exe     
C:\WINDOWS\System32\seti0.exe 
C:\Documents and Settings\antoine.ENIOTNA\Application Data\inst.exe     



tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse


@+

enia · Answer

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\rscsuv deleted successfully.
C:\Documents and Settings\antoine.ENIOTNA\Local Settings\Tempscsuv.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Update deleted successfully.
C:\WINDOWS\system32\seti0.exe moved successfully.
Registry value HKEY_USERS\antoine.ENIOTNA_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\VerCheck deleted successfully.
C:\Documents and Settings\antoine.ENIOTNA\Local Settings\Application Data\MSoft\VerCheck\VerCheck.exe moved successfully.
========== FILES ==========
C:\Documents and Settings\antoine.ENIOTNA\Bureau\winlogon.exe moved successfully.
File\Folder C:\WINDOWS\System32\seti0.exe not found.
C:\Documents and Settings\antoine.ENIOTNA\Application Data\inst.exe moved successfully.
 
OTLPE by OldTimer - Version 3.1.39.0 log created on 04222012_002729

Utilisateur anonyme · Answer

Re

Démarre ton PC normalement.
Ton problème est 'il réglé?

@+

enia · Answer

problème réglé, incredible !
par contre, le disque dur externe, que j'avais débranché peu après l'infection est-il susceptible d'être contaminé ?
en tout cas, un grand merci

Utilisateur anonyme · Answer

Re

Dans un premier temps vérifions ce disque système.

Inscris toi avant tout  

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

olipierre · Answer

Le diagnostic "bloque" à 4 % même si le disque dur continue de travailler : 

une fenêtre ZHPDiag s'est ouvert avec le message suivant :
"violation d'accès à l'adresse 7C91225A dans le moduke ntdll.dll. Ecriture de l'adresse 00407IE8"

Utilisateur anonyme · Answer

Re

Ok;passons à autre chose.

1)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur  [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start= 


2)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



@+

olipierre · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.21.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
antoine :: ENIOTNA [administrateur]

21/04/2012 17:43:57
mbam-log-2012-04-21 (17-43-57).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 362567
Temps écoulé: 1 heure(s), 38 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCR\CLSID\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Aucune action effectuée.
HKCR\MyWaySearchAssistantDE.Auxiliary (Adware.MyWaySearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\MyWaySearchAssistantDE.Auxiliary.1 (Adware.MyWaySearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\AH (Rogue.MultipleAV) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCR\ah|Content Type (Rogue.MultipleAV) -> Données: application/x-msdownload -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Documents and Settings\antoine.ENIOTNA\Local Settings\Temp\wpbt0.dll (Trojan.Agent.CibGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1365\A0191326.exe (Adware.HotBar.SS2) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\04222012_002729\C_WINDOWS\system32\seti0.exe (Trojan.Agent.CibGen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

Re

Met à jour ton PC sinon cela se reproduira.

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

@+

olipierre · Answer

un grand merci pour ces solutions.

on apprend tout ça dans des écoles d'informatique ?

Utilisateur anonyme · Answer

Re

Non;mais tu peux en apprendre plus en inscrivant dans un des forums de formation .

https://www.google.fr/?gws_rd=ssl#hl=fr&gs_nf=1&cp=28&gs_id=mg&xhr=t&q=formation+en+d%C3%A9sinfection+PC&pf=p&output=search&sclient=psy-ab&oq=formation+en+d%C3%A9sinfection+PC&aq=f&aqi=&aql=&gs_l=&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=9db8726ffd3003b


Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

acid32 · Answer

Pour effacer un virus de type pop-up .       

Démarrer en mode sans échec . Allez dans dans la barre exécuter> taper msconfig ou msconfig.msc (suivant les OS) > onglet démarrage. Décocher les fichiers douteux (si vous n'êtes pas sur ce n'est pas grave windows remettra les logiciels nécessaire au démarrage de l'ordinateur et a sont bon fonctionnement. Cela  sa désactivera le virus .  Ensuite suivre le cheminement du fichier et le supprimer tout simplement :) . Je fais ça pour tout mes virus et parfois j'utilise un logiciel qui supprime les affiliations du virus a d'autre fichier car il peut parfois être impossible de les supprimer  (  le nom du logiciel: Unlocker, ) .       

Les restaurations sont a proscrire (écran bleu, erreur dans le registre , virus encore persistant et j'en passe).       

Un formatage réglera aussi le problème. Faut-il aussi avoir le cd du systéme d'exploitation, connaitre  la manipulation a faire même si elle n'est pas très dur, avoir du temps pour tout réinstaller .       

Si tu veux pas te prendre la tête le fichier ce trouve c: /utilisateur/ton compte utilisateur/appdata/roaming/ c'est un logiciel en .exe (du moins pour moi). 

Bonne soirée :) .

Virus police & gendarmerie nationale "activit

17 réponses

Discussions similaires

Newsletters