Virus "Ministere de l'Interieur"

Résolu
Lydnight Messages postés 9 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Hier j'ai été ,comme bcp, bloquée par le virus dit de 'la gendarmerie".
J'ai réussie à le supprimer mais pourriez vous m'aidez à desinfecter complètement mon pc car il parait que ce virus est très malin !!
J'ai installé RogueKiller mais je ne sais pas si je dois supprimer ce qu'il trouve ou pas !!

Merci de votre aide.

13 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Comment l'as tu supprimé ?

    As tu désormais accès au démarrage normal ?

    Poste le rapport de RogueKiller que tu as.

    A +
    0
  2. Lydnight Messages postés 9 Statut Membre
     
    Bsr,

    Alors pour le supprimer c'était facile, trop facile justement, tu vas dans c\programme tout en bas il y a deux fichiers avec des noms très bizarres et datés du jour et l'heure de l'infection, il faut les supprimer et c bon.

    Mais justement en me renseignant un peu, j'ai vu qu'il pouvait se glisser ailleurs.

    Oui 'ai accès à tout sans problème.

    Ci dessous le rapport

    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : [Droits d'admin]
    Mode : Recherche -- Date : 14/10/2012 11:58:49

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [TASK][BLPATH] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900 -> TROUVÉ
    [TASK][SUSP PATH] RunAsStdUser Task : "C:\Users\Gautier Lydie\AppData\Local\BrightBreezeSA\bin\3.0.5.0\BrightBreezeSA.exe" -> TROUVÉ
    [TASK][SUSP PATH] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215" -> TROUVÉ
    [STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN18F4D2C205PJ;CONNECTION=NW;MONITOR=1; -> TROUVÉ
    [STARTUP][HJNAME] ctfmon.lnk @Gautier Lydie : C:\ProgramData\lsass.exe -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    74.208.10.249 gs.apple.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS +++++
    --- User ---
    [MBR] 697fe5d5f8f6c594432ea117b4bfe546
    [BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    Merci
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Ne lance pas Roguekiller en suppression pour le moment certaines lignes sont légitimes.
    Je vois déjà plusieurs problèmes, avant toute chose, faisons un diagnostic plus complet du système :

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    showhidden
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Il ne reste pas grand chose à faire.

    1. Relance RogueKiller.exe
    ● Décoche la ou les cases des lignes suivantes :

    [TASK][BLPATH] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900
    [TASK][SUSP PATH] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215"
    [STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry

    ● Clique sur Suppression

    2. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    3. Poste les rapports

    A +
    0
  6. Lydnight Messages postés 9 Statut Membre
     
    Re,

    -- Ci dessous le rapport de OTL:

    https://pjjoint.malekal.com/files.php?id=20121014_e15n5h10j13p13

    -- Ci dessous le rapport de RogueKiller:

    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur :[Droits d'admin]
    Mode : Recherche -- Date : 14/10/2012 21:18:24

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [TASK][PREVRUN] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900 -> TROUVÉ
    [TASK][PREVRUN] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215" -> TROUVÉ
    [TASK][PREVRUN] {BC881A70-E17E-49C0-9921-9081EC833858} : C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\ATI Technologies\ATI.ACE\MOM-InstallProxy\MOM.InstallProxy.exe" -d "C:\Program Files (x86)\ATI Technologies\ATI.ACE\MOM-InstallProxy" -> TROUVÉ
    [STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN18F4D2C205PJ;CONNECTION=NW;MONITOR=1; -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ÿþ1

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9500325AS +++++
    --- User ---
    [MBR] 697fe5d5f8f6c594432ea117b4bfe546
    [BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
    2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

    -- Une autre question, j ai passé malware et voilà ce qu'il m'a trouvé, je peux supprimer? Est ce que ça provient de mon virus ?

    Merci bcp!!
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Poste le rapport de Malwarebytes stp

    A +
    0
  8. Lydnight Messages postés 9 Statut Membre
     
    Dslé j'avais oublié de le coller.

    Malwarebytes Anti-Malware 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.10.14.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    [administrateur]

    14/10/2012 11:15:49
    mbam-log-2012-10-14 (11-15-49).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|I:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 399652
    Temps écoulé: 1 heure(s), 13 minute(s), 34 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Users\\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Oui, c'était lié, d'ailleurs le second aurait du être supprimé par RogueKiller.

    Encore des soucis ?

    A +
    0
  10. Lydnight Messages postés 9 Statut Membre
     
    Alors c'est bon, plus de soucis sur mon pc ?

    En tout cas merci de votre aide !!

    Je passe en résolu :-)
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Mais la fin est aussi importante !

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    2. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    == == == == == == == == == MISES A JOUR == == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent (et que tu as été infecté par celle-ci) :

    Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne continuation
    0
  12. Lydnight Messages postés 9 Statut Membre
     
    Si si encore une question !!

    J'ai trouvé ce fichier sur mon bureau--> RKquarantine avec des .vir a l'interieur, que faut il en faire ??

    Merci
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      C'est la quarantaine de RogueKiller, à supprimer aussi.
      C'est indiqué dans ma procédure ;)
      0
    2. Lydnight Messages postés 9 Statut Membre
       
      Merci bcp ;)
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      De rien :)

      Bonne soirée
      0
  13. sophie71
     
    c'est-à-dire
    0
    1. sophie71
       
      j'ai essayé de faire ce qu'auparavant une personne disait sur ce forum avast me dit qu'il a mis en quarantaine un fichier détecté mais je voudrais savoir comment faire pour vraiment supprimer qu'il ne soit plus dans l'ordi
      0