PC infecté virus de la gendarmerie

Résolu
cynthia -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

je suis actuellement victime du virus gendarmerie, jai le CD live etles rapport et jai également téléchargé roguekiller mais je ne m'en sort pzs je suis desespéré, quelqu'un pourrait m'aider Sil vous plait;

12 réponses

  1.
    Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Salut,

    Le mode sans échec fonctionne ?
    Quelle version de Windows ?

    Tu as pu démarrer sur OTLPE ?
    1
    1. cynthia
       
      Le mode sans echec fonctionne, je suis sous windows 7 et oui je eux démarrer sur OLTPE
      0
    2. cynthia
       
      je recommence avec oltpe
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Attends c'est pas tout à fait fini.
    Tu as installé des progs pourris style PriceGong, All Search, Yontoo etc.

    Attention à ce que tu installes :
    Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
    L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
    Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
    Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
    Au final, il est pas conseillé d'en utiliser.

    Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

    Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
    Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

    Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    1
    1. cynthia
       
      voila le rapport http://pjjoint.malekal.com/files.php?id=20120707_i5f15e8b8u12
      0
  4. cynthia
     
    voila ensuite ?
    0
    1. flavbleach Messages postés 2450 Statut Membre 345
       
      Normalement c'est bon,, tu l'as plus, réinstalle le navigateur et effectue un scann.
      0
    2. cynthia
       
      ok je vais essayé.
      0
    3. cynthia
       
      malheureusement cela na pas fonctionné.
      0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Lance une restauration du système en mode sans échec.
    https://www.malekal.com/restauration-systeme-windows/
    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    Si pas mieux, toujours en mode sans échec :

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    puis :

    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.

    0
    1. cynthia
       
      la réstauration systeme ne fonctionne pas, je refait un scan avec roguekiller ou je peux reprendre le dernier raort ?
      0
    2. cynthia
       
      rapport*
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
       
      oui poste le rapport RogueKiller ici dans un message
      0
    4. cynthia
       
      RogueKiller V7.6.2 [07/02/2012] by Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
      Blog: http://tigzyrk.blogspot.com

      Operating System: Windows XP (5.1.2600 ) 32 bits version
      Started in : Normal mode
      User: SYSTEM [Admin rights]
      Mode: Remove -- Date: 07/07/2012 13:15:39

      ¤¤¤ Bad processes: 0 ¤¤¤

      ¤¤¤ Registry Entries: 7 ¤¤¤
      [SUSP PATH] HKUS\Cynthia_ON_E[...]\Run : ieinstaller (C:\Users\Cynthia\AppData\Local\Temp\iesetup-win7-x86.exe /restart /shortcut108 /shortcut109) -> DELETED
      [SUSP PATH] HKUS\Cynthia_ON_E[...]\Run : Wahoo (C:\Users\Cynthia\AppData\Local\WahOO\Wahoo.exe --autoLaunch) -> DELETED
      [SUSP PATH] HKUS\Cynthia_ON_E[...]\Run : pkxczqqimgtirrm (C:\ProgramData\pkxczqqi.exe) -> DELETED
      [HJ NAME] HKUS\LocalService_ON_E[...]\RunOnce : mctadmin (C:\Windows\System32\mctadmin.exe) -> DELETED
      [HJ NAME] HKUS\NetworkService_ON_E[...]\RunOnce : mctadmin (C:\Windows\System32\mctadmin.exe) -> DELETED
      [HJPOL] HKCU\[...]\Policies\Explorer\Explorer : NoSMHelp (1) -> DELETED
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

      ¤¤¤ Particular Files / Folders: ¤¤¤

      ¤¤¤ Driver: [NOT LOADED] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ HOSTS File: ¤¤¤
      127.0.0.1 localhost


      ¤¤¤ MBR Check: ¤¤¤

      +++++ PhysicalDrive0: +++++
      --- User ---
      [MBR] 7cb52341a6443c630ca2359edd921583
      [BSP] 4868d745ee22997691ee440611130d49 : MBR Code unknown
      Partition table:
      0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 32 | Size: 15258 Mo
      User = LL1 ... OK!
      Error reading LL2 MBR!

      +++++ PhysicalDrive1: +++++
      --- User ---
      [MBR] bfe81cb4a44af4e4943a63e024d0211f
      [BSP] e7148d485f207347bbe3f29d32ec9ca4 : Windows 7 MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 287534 Mo
      2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 589486080 | Size: 15360 Mo
      3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 620943360 | Size: 2043 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Finished : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    ok fais HijackThis pour voir.
    0
  8. cynthia
     
    voila le rapport http://pjjoint.malekal.com/files.php?id=HijackThis_20120707_z7c13h9p15d9
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Du coup t'as désinstallé Internet Explorer .....

    Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes :

    O2 - BHO: CrossriderApp0002258 - {11111111-1111-1111-1111-110011221158} - C:\Program Files\I Want This\I Want This.dll
    O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.6.4\PriceGongIE.dll
    O2 - BHO: TBSB02681 - {B24D9234-CFC5-46D2-95C5-0DE695A7895E} - C:\Program Files\allsearch\tbunsh59E1.tmp\tbcore3.dll
    O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll
    O3 - Toolbar: (no name) - !{ae07101b-46d4-4a98-af68-0333ea26e113} - (no file)
    O3 - Toolbar: (no name) - !{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: (no name) - {3d4d238c-9c48-47cd-a95c-53259acf9e56} - (no file)
    O3 - Toolbar: allsearch - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files\allsearch\tbunsh59E1.tmp\tbcore3.dll
    O4 - HKLM\..\Run: [QLBController] C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe /start
    O4 - HKLM\..\Run: [PDFHook] C:\Program Files\Nuance\PDF Professional 6\pdfpro6hook.exe
    O4 - HKLM\..\Run: [PDF Complete] C:\Program Files\PDF Complete\pdfsty.exe
    O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 11\Nero BackItUp\NBAgent.exe" /WinStart
    O4 - HKLM\..\Run: [CommonToolkitTray] C:\Program Files\Fighters\Tray\FightersTray.exe
    O4 - HKLM\..\Run: [pkxczqqimgtirrm] C:\ProgramData\pkxczqqi.exe
    O4 - HKCU\..\Run: [HPAdvisorDock] C:\Program Files\Hewlett-Packard\HP Advisor\Dock\HPAdvisorDock.exe
    O4 - HKCU\..\Run: [ISUSPM] C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [Bubble Dock] "C:\Users\Cynthia\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Media Finder] "C:\Program Files\Media Finder\Media Finder.exe" /opentotray
    O4 - HKCU\..\Run: [Wahoo] C:\Users\Cynthia\AppData\Local\WahOO\Wahoo.exe --autoLaunch
    O4 - HKCU\..\Run: [pkxczqqimgtirrm] C:\ProgramData\pkxczqqi.exe

    ==> clic sur fix checked

    Redémarre l'ordinateur en mode normal et vois si le virus se relance.

    0
    1. cynthia
       
      same mets comme message "Hijackthis is about to remove a BHO and the corresponding file from your system. close all internet explorer and all windows exlorer windows before continuing for the best chance of succes "
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
       
      continue.
      0
    3. cynthia
       
      jai apuyer sur ok. jai plus rien du cou dans le cadre
      0
    4. cynthia
       
      je redemarre lordi normalement alors maintenant
      0
    5. cynthia
       
      sa a l'air d'avoir fonctionné, je te remercie =).
      0
  10. cynthia
     
    j'ai également un autre souci peut etre saura tu m'aider, je n'arrive pu utilisé msn messenger... La fenetre est noir et je ne peut rien faire, j'ai beau désinstallé et réinstallé rien ne change.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
       
      je connais pas trop MSN le mieux c'est que tu créés un sujet dans la partie logiciels du forum.
      0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Comme dit plus haut, faire attention à ce que tu installes, tu peux installer ce programme pour filtrer ces PUPs/Adwares les plus fréquents : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    Pour ce qui est du virus gendarmerie :

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  12. cynthia
     
    ok, je te remercie pour l'aide que tu mas apporté.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
       
      :)
      0
  13. flavbleach Messages postés 2450 Statut Membre 345
     
    Désinstalle ton navigateur.
    -2
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
       
      A ne pas suivre, complètement inutile.
      0