Virus "police/gendarmerie"

Dark75 -  
watanuki Messages postés 15 Statut Membre -
Bonjour,

Un de mes pc a "attrapé" le virus police/gendarmerie "Activité illégale a été révélé" et l'utilisation de OTL me laisse perplexe...

Données sur le pc :
- Vista
- seule la session administrateur est bloquée

Si j'installe OTL sur la 2ème session, est-ce bien la procédure suivante que je dois appliquer pour obtenir les rapports à poster pour le script de désinfection ?

**********************************
Lancer OTL.exe en temps qu'administrateur
L'interface principale s'ouvre.
Dans la section Rapport en haut à droite de la fenêtre, cocher Rapport minimal
Cocher la case Tous les utilisateurs
Laisser tous les autres paramètres par défaut
Dans la partie du bas "Personnalisation", copier/coller le script suivant :

msconfig
safebootminimal
safebootnetwork
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
consrv.dll
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe
%systemroot%\Tasks\*.* /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Cliquer sur le bouton Analyse rapide.

**********************************************************
Et si je poste les liens des rapports ici, quelqu'un pourra t'il m'aider pour le script ?

Merci d'avance de la réponse.

11 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Héberge les rapports sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  2. Dark75
     
    Bonjour,

    Désolée pour le temps de réponse !

    Ci-dessous les liens des fichiers obtenus :

    http://pjjoint.malekal.com/files.php?id=20120601_t12p9o8i15y6
    http://pjjoint.malekal.com/files.php?id=20120601_z15e11e15s15h5

    Merci d'avance pour ton aide.

    Dark 75
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    J'ai rarement vu autant d'infections différentes sur un seul système, un vrai repère à logiciel malveillant.
    Ces infections, dont une assez coriace sur les système 64bits, nécessiteront plusieurs outils et manipulations pour les supprimer complètement.
    Alors merci de me prévenir si tu es partant pour désinfecter jusqu'au bout.
    Et si de la session accessible, tu peux désinstaller des programmes.

    A +
    0
  4. Dark75
     
    Bonjour,

    Bon je me doutais d'une réponse de ce style... ce n'est pas moi qui utilise ce pc et renseignement pris il tourne sans antivirus depuis plusieurs mois !!!!
    A priori la désinstallation de programme est possible depuis la session accessible et si on vire le "police/gendarmerie" la session principale était fonctionnelle bien qu'infectée par d'autres choses.
    Je suis partante pour une désinfection complète mais il y aura parfois des délais dans mes temps de réponse car je suis souvent en déplacements. Si ça ne te pose pas de problème c'est ok pour moi.
    Merci.
    Dark
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Ok, je regarde à nouveau les rapports à nouveau et je te réponds dés que possible.

    A +
    0
  7. Dark75
     
    Re,

    Ok pas de souci.
    C'est vraiment sympa de prendre ainsi du temps !

    @+
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    C'est parti !

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Désinstalle si possible :

    Fissa     
    Favorit     
    Kiwee Toolbar
    Live-Player    
    Moovida     
    OfferBox     
    PlayAllDVD 
    SweetPacks Toolbar for Internet Explorer 4.6     

    Aide : Comment désinstaller un programme

    2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    3. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    4. Héberge les rapports et poste les liens.

    A +
    0
  9. Dark 75
     
    Bonjour,
    Désolée pour le délai de réponse mais surbookée au boulot !
    Le copain qui utilise le pc a suivi la procédure donnée mais n'a réussi à récupérer qu'un fichier :

    http://pjjoint.malekal.com/files.php?id=20120723_h7c13z12h12p8

    Le virus "police/gendarmerie" est semble t'il toujours présent sur la session principale..
    Si c'est insuffisant, je devrais pouvoir récupérer le pc début août pour procéder moi-même à la désinfection.
    Merci.
    @+
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Le 1er outil a supprimé les adwares, le second aurait supprimé les autre infections.
    Il faut donc refaire cette seconde étape correctement.
    A noter que le script de correction OTL était basé sur l'état du système, il y a 2 mois.
    Il faudra donc sûrement faire d'autres manipulations.

    A +

    0
  11. Dark75
     
    Bonjour,

    J'ai enfin pu accéder au pc infecté et réussi à me débarrasser du "police/gendarmerie" (en tout cas de la partie visible) et à reprendre la main sur la session administrateur.

    Suppression de tous programmes non utilisés et/ou suspects, un peu de nettoyage, mises à jour faites, installation d'un nouvel antivirus.

    Il subsiste sans aucun doute des infections (ouverture de fenêtres publicitaires intempestives et encore parfois des ralentissements du système), j'ai donc repassé adwcleaner et refait un diagnostic avec OTL.

    Ci-joint, les liens vers les fichiers obtenus :

    http://pjjoint.malekal.com/files.php?id=20120911_i5z11p12n613

    http://pjjoint.malekal.com/files.php?id=20120911_p14f10r10j9q5

    Merci d'avance de ta réponse.

    @+
    0
  12. watanuki Messages postés 15 Statut Membre
     
    Bonjour,

    J'ai réussi à sauver deux ordis infectés par ce virus et ses variantes, pour cela il suffit d'un peu de temps et d'un cd vierge.

    Télécharger windows stand alone defender offline
    lancer le logiciel
    suivre les instructions pour graver un cd bootable

    Après avoir vérifié l'ordre de boot de l'ordi en passant par la config du bios pour être sûr que l'ordi boot sur le CD en premier, redémarrer l'ordi puis appuyer sur une touche lorsque cela est demandé pour lancer le cd.

    Le programme va démarrer de lui-même, il faut l'arrêter pour revenir à la page des options afin de choisir le mode complet.

    relancer le nettoyage (cela peut durer des heures surtout si il y a beaucoup de fichiers temporaires)

    et à la fin appuyer sur le bouton vert pour nettoyer toutes les saletés trouvées par le programme.

    Et là l'ordi redémarre et on peut continuer à nettoyer en profondeur avec d'autres outils sans que les Trojans viennent bloquer le travail en cours.

    Faire attention aux outils de nettoyage, ne prendre que les connus car beaucoup sont en fait des générateurs d'autres trojans.

    Avec cette solution signé microsoft ça rassure... un peu...

    Enfin ne pas oublier la cause de ces infections hors le surf dangereux, il y a les mises à jour de java non faites (ce trojan est un java exploit) et les mises à jour de sécurité !

    Voilà bon courage pour la suite !

    Laurent
    0