Virus Police Nationale (débutante) Fermé

Question

Bonjour à tous,

Je voudrai svp de l'aide pour chasser le virus de la Gendarmerie que j'ai attrapé sur mon P.C.
J'ai parcouru le site, il y a des aides mais c'est trop compliqué pour moi.
J'ai essayé de passer par les commandes cmd mais à chaque fois la réponse est négative,
je pense que je ne m'y prends pas bien.

Le virus est juste sur le net, je peux travailler sur le bureau sans souci si je ne suis pas connectée. 
En mode sans échec, il n'y a aucun problème.

Voilà, si quelqu'un peut m'aider pas à pas pour le retirer ce serait super gentil. 
Je peux discuter au tél si c'est plus simple par rapport au processus.

Merci d'avance à tous !




Configuration: Windows XP / Firefox 13.0.1

Utilisateur anonyme · Answer

Bonjour

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

juju666 · Answer

Hello, 

EDIT : bonne chasse à Guillaume que je salue au passage :D
 .::. Contributeur Sécurité .::.

nuages · Answer

Bonjour et merci Guillaume,

Alors quand j'aurai fait ce téléchargement, je mets le rapport en ligne ?

Utilisateur anonyme · Answer

Re

Tu relances Roguekiller option suppression
et tu me postes son rapport;merci

@+

nuages · Answer

RogueKiller V7.5.4 [07/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: mkadri [Droits d'admin]
Mode: Recherche -- Date: 22/06/2012 15:39:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 11 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : hf8wefhuaihf8ewfydiujhfdsfdf (C:\DOCUME~1\mkadri\LOCALS~1\Temp\tds6arv3j1.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\mkadri\LOCALS~1\Temp\dsoqq.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : davclnt.exe (C:\DOCUME~1\mkadri\LOCALS~1\Temp\davclnt.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : api32 (C:\DOCUME~1\mkadri\LOCALS~1\Temp\apiqq.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2052111302-1580818891-839522115-1113[...]\Run : hf8wefhuaihf8ewfydiujhfdsfdf (C:\DOCUME~1\mkadri\LOCALS~1\Temp\tds6arv3j1.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2052111302-1580818891-839522115-1113[...]\Run : dso32 (C:\DOCUME~1\mkadri\LOCALS~1\Temp\dsoqq.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2052111302-1580818891-839522115-1113[...]\Run : davclnt.exe (C:\DOCUME~1\mkadri\LOCALS~1\Temp\davclnt.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2052111302-1580818891-839522115-1113[...]\Run : api32 (C:\DOCUME~1\mkadri\LOCALS~1\Temp\apiqq.exe) -> FOUND
[Rans.Gendarm] ctfmon.lnk @mkadri : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\mkadri\LOCALS~1\Temp\wpbt0.dll -> FOUND
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FAKED] ati1rvxx.sys : c:\windows\system32\drivers\ati1rvxx.sys --> CANNOT FIX
[FAKED] ati2mtaa.sys : c:\windows\system32\drivers\ati2mtaa.sys --> CANNOT FIX
[FAKED] atinxsxx.sys : c:\windows\system32\drivers\atinxsxx.sys --> CANNOT FIX
[FAKED] mf.sys : c:\windows\system32\drivers\mf.sys --> CANNOT FIX
[FAKED] mtlstrm.sys : c:\windows\system32\drivers\mtlstrm.sys --> CANNOT FIX
[FAKED] nv4_mini.sys : c:\windows\system32\drivers\nv4_mini.sys --> CANNOT FIX
[FAKED] nwlnknb.sys : c:\windows\system32\drivers\nwlnknb.sys --> CANNOT FIX
[FAKED] slnt7554.sys : c:\windows\system32\drivers\slnt7554.sys --> CANNOT FIX

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHV2040AH +++++
--- User ---
[MBR] 0236ac46523618af6543ec54f1913ec6
[BSP] 090b8cbd7cb4990e7c1c537f1ec08719 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 14998 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30716280 | Size: 23148 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

nuages · Answer

Voilà c'est fait...

Utilisateur anonyme · Answer

Re

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

nuages · Answer

J'ai déjà ce logiciel, on peut utiliser celui que j'ai ? D'habitude il fct bien?

nuages · Answer

C'est fini.
Il y a 8 infections !

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.22.06

22/06/2012 16:21:46
mbam-log-2012-06-22 (16-56-19).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 302469
Temps écoulé: 33 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCR\CLSID\{A9BA40A1-74F1-52BD-F431-00B15A2C8953} (Trojan.Ertfor) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A9BA40A1-74F1-52BD-F431-00B15A2C8953} (Trojan.Ertfor) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A9BA40A1-74F1-52BD-F431-00B15A2C8953} (Trojan.Ertfor) -> Aucune action effectuée.
HKCU\Software\pragma (Rootkit.TDSS) -> Aucune action effectuée.
HKLM\SOFTWARE\PRAGMA (Rootkit.TDSS) -> Aucune action effectuée.
HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys (Trojan.DNSChanger) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE|7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Données:  -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|king_mg (Spyware.OnlineGames.Kinggen) -> Données: C:\WINDOWS\system32\mgking.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|King_ar (Spyware.OnlineGames.Kinggen) -> Données: C:\WINDOWS\system32\arking.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 2
C:\WINDOWS\PRAGMArxnmdxrxtu (Trojan.DNSChanger) -> Aucune action effectuée.
C:\WINDOWS\PRAGMAthpfypeqwm (Trojan.DNSChanger) -> Aucune action effectuée.

Fichier(s) détecté(s): 5
C:\Documents and Settings\mkadri\Bureau\RK_Quarantine\wpbt0.dll.vir (Spyware.Zbot.DG) -> Aucune action effectuée.
C:\Documents and Settings\mkadri\Local Settings\Temp\wpbt0.dll (Spyware.Zbot.DG) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\pragmamfeklnmal.dll (Rootkit.TDSS) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Aucune action effectuée.
C:\WINDOWS\system32\PRAGMAkiqqhjjpyv.dat (Trojan.DNSChanger) -> Aucune action effectuée.

(fin)

nuages · Answer

Voilà j'ai supprimer les éléments infectés et redémarrer le pc.

Utilisateur anonyme · Answer

Re

As tu encore des problèmes?

Il te faut maintenant mettre à jour ton PC

Installe le pack SP3 de windows XP
https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/



Ensuite fait ceci:

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

Merci de me tenir au courant

@+

nuages · Answer

MERCI Guillaume !!!
J'ai pu redémarrer en mode normal et aller sur Internet sans problème.
Merci à tous ceux qui aident ici vous êtes géniaux !

Concernant les mises à jour, mon pc port est assez vieux, je n'ai plus les CD d'install c'est pour cela que j'ai toujours peur de faire des MAJ car je me dis que si ça bug je suis foutue...
Alors penses-tu que je doive quand meme faire celle ci-dessus ?

Merci de ta réponse et encore pour tout le reste...

Utilisateur anonyme · Answer

Re

Si tu ne fais pas ces diverses mises à jour cela se reproduira ou alors ce sera plus grave.

A toi de voir

@+

juju666 · Answer

Salut,

HKCU\Software\pragma (Rootkit.TDSS)  

je serais d'avis de faire un TDSS Killer quand même :-)

nuages · Answer

Bonjour,
J'ai fait les MAJ avec Secunia et mon PC est à 72% fiable maintenant.

Par contre je ne sais pas comment faire ça :
HKCU\Software\pragma (Rootkit.TDSS) 

Vous pouvez m'aider svp ?

nuages · Answer

Ok c'est tout bon,
je marque résolu.
Merci encore à vous.

Utilisateur anonyme · Answer

Bonjour

Pour ce rootkit

Voici comment procéder:

 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
 
Sinon il est enregistré ici : C:\TDSSKiller_N°Version_Date_Heure.txt 
  
Poste moi son rapport à l'issue; merci


@+

Utilisateur anonyme · Answer

Bonjour

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2) Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques ou clic droit sous Vista ou Seven  sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.


3)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

Utilisateur anonyme · Answer

Re

CCleaner est un utilitaire de nettoyage.
Et tu ne risques à l'utiliser;si tu procèdes comme je l'ai mentionné

@+

Utilisateur anonyme · Answer

Bonjour

Voici un autre site :

http://www.bibou0007.com/t151-purger-la-restauration-du-systeme-sous-windows-xp

@+

nuages · Answer

Bonjour,

Je n'ai pas trouvé l'onglet restauration du système dans les Propriétés du Système. 
Peut être qu'il se trouve ailleurs ?
Ou peut-être qu'il n'est pas sur le PC car avant il faisait partie d'un réseau et que l'option a été désactivée.

Qu'en penses-tu ?

Merci...

Utilisateur anonyme · Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

Bonsoir

1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8

http://eldesaparecido.com/usbfix.html

Ou ici

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix

Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


# Double clic sur le raccourci UsbFix présent sur ton bureau. 

# Choisi   Suppression 

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)



2)Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes



Poste les rapports au fur et à mesure;merci

@+

Virus Police Nationale (débutante)

23 réponses

Discussions similaires