Virus "police/gendarmerie" Fermé

Question

Bonjour,

Un de mes pc a "attrapé" le virus police/gendarmerie "Activité illégale a été révélé" et l'utilisation de OTL me laisse perplexe...

Données sur le pc :
- Vista
- seule la session administrateur est bloquée

Si j'installe OTL sur la 2ème session, est-ce bien la procédure suivante que je dois appliquer pour obtenir les rapports à poster pour le script de désinfection ?

********************************** 
Lancer OTL.exe en temps qu'administrateur
L'interface principale s'ouvre. 
Dans la section Rapport en haut à droite de la fenêtre, cocher Rapport minimal 
Cocher la case Tous les utilisateurs 
Laisser tous les autres paramètres par défaut 
Dans la partie du bas "Personnalisation", copier/coller le script suivant : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
consrv.dll
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
 
Cliquer sur le bouton Analyse rapide.

**********************************************************
Et si je poste les liens des rapports ici, quelqu'un pourra t'il m'aider pour le script ?

Merci d'avance de la réponse.

kalimusic · Answer

Bonjour,

Héberge les rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

Dark75 · Answer

Bonjour,

Désolée pour le temps de réponse !

Ci-dessous les liens des fichiers obtenus :

http://pjjoint.malekal.com/files.php?id=20120601_t12p9o8i15y6
http://pjjoint.malekal.com/files.php?id=20120601_z15e11e15s15h5

Merci d'avance pour ton aide.

Dark 75

kalimusic · Answer

Bonjour,

J'ai rarement vu autant d'infections différentes sur un seul système, un vrai repère à logiciel malveillant.
Ces infections, dont une assez coriace sur les système 64bits, nécessiteront plusieurs outils et manipulations pour les supprimer complètement. 
Alors merci de me prévenir si tu es partant pour désinfecter jusqu'au bout.
Et si de la session accessible, tu peux désinstaller des programmes.

A +

Dark75 · Answer

Bonjour,

Bon je me doutais d'une réponse de ce style... ce n'est pas moi qui utilise ce pc et renseignement pris il tourne sans antivirus depuis plusieurs mois !!!!
A priori la désinstallation de programme est possible depuis la session accessible et si on vire le "police/gendarmerie" la session principale était fonctionnelle bien qu'infectée par d'autres choses.
Je suis partante pour une désinfection complète mais il y aura parfois des délais dans mes temps de réponse car je suis souvent en déplacements. Si ça ne te pose pas de problème c'est ok pour moi.
Merci.
Dark

kalimusic · Answer

re,

Ok, je regarde à nouveau les rapports à nouveau et je te réponds dés que possible.

A +

Dark75 · Answer

Re,

Ok pas de souci.
C'est vraiment sympa de prendre ainsi du temps !

@+

kalimusic · Answer

C'est parti !

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Désinstalle si possible :

Fissa     
Favorit     
Kiwee Toolbar
Live-Player    
Moovida     
OfferBox     
PlayAllDVD 
SweetPacks Toolbar for Internet Explorer 4.6     
Aide : Comment désinstaller un programme

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

3. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

4. Héberge les rapports et poste les liens.

A +

Dark 75 · Answer

Bonjour,
Désolée pour le délai de réponse mais surbookée au boulot !
Le copain qui utilise le pc a suivi la procédure donnée mais n'a réussi à récupérer qu'un fichier :

http://pjjoint.malekal.com/files.php?id=20120723_h7c13z12h12p8

Le virus "police/gendarmerie" est semble t'il toujours présent sur la session principale..
Si c'est insuffisant, je devrais pouvoir récupérer le pc début août pour procéder moi-même à la désinfection.
Merci.
@+

kalimusic · Answer

Bonjour,

Le 1er outil a supprimé les adwares, le second aurait supprimé les autre infections.
Il faut donc refaire cette seconde étape correctement.
A noter que le script de correction OTL était basé sur l'état du système, il y a 2 mois.
Il faudra donc sûrement faire d'autres manipulations.

A +

Dark75 · Answer

Bonjour,

J'ai enfin pu accéder au pc infecté et réussi à me débarrasser du "police/gendarmerie" (en tout cas de la partie visible) et à reprendre la main sur la session administrateur.

Suppression de tous programmes non utilisés et/ou suspects, un peu de nettoyage, mises à jour faites, installation d'un nouvel antivirus.

Il subsiste sans aucun doute des infections (ouverture de fenêtres publicitaires intempestives et encore parfois des ralentissements du système), j'ai donc repassé adwcleaner et refait un diagnostic avec OTL.

Ci-joint, les liens vers les fichiers obtenus :

http://pjjoint.malekal.com/files.php?id=20120911_i5z11p12n613

http://pjjoint.malekal.com/files.php?id=20120911_p14f10r10j9q5

Merci d'avance de ta réponse.

@+

watanuki · Answer

Bonjour,

J'ai réussi à sauver deux ordis infectés par ce virus et ses variantes, pour cela il suffit d'un peu de temps et d'un cd vierge.

Télécharger windows stand alone defender offline
lancer le logiciel
suivre les instructions pour graver un cd bootable

Après avoir vérifié l'ordre de boot de l'ordi en passant par la config du bios pour être sûr que l'ordi boot sur le CD en premier, redémarrer l'ordi puis appuyer sur une touche lorsque cela est demandé pour lancer le cd.

Le programme va démarrer de lui-même, il faut l'arrêter pour revenir à la page des options afin de choisir le mode complet.

relancer le nettoyage (cela peut durer des heures surtout si il y a beaucoup de fichiers temporaires)

et à la fin appuyer sur le bouton vert pour nettoyer toutes les saletés trouvées par le programme.

Et là l'ordi redémarre et on peut continuer à nettoyer en profondeur avec d'autres outils sans que les Trojans viennent bloquer le travail en cours.

Faire attention aux outils de nettoyage, ne prendre que les connus car beaucoup sont en fait des générateurs d'autres trojans.

Avec cette solution signé microsoft ça rassure... un peu... 

Enfin ne pas oublier la cause de ces infections hors le surf dangereux, il y a les mises à jour de java non faites (ce trojan est un java exploit) et les mises à jour de sécurité !

Voilà bon courage pour la suite ! 

Laurent

Virus "police/gendarmerie"

11 réponses

Discussions similaires

Newsletters