Virus "Ministere de l'Interieur"

Résolu/Fermé
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012 - 14 oct. 2012 à 18:06
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 17 oct. 2012 à 17:23
Bonjour,


Hier j'ai été ,comme bcp, bloquée par le virus dit de 'la gendarmerie".
J'ai réussie à le supprimer mais pourriez vous m'aidez à desinfecter complètement mon pc car il parait que ce virus est très malin !!
J'ai installé RogueKiller mais je ne sais pas si je dois supprimer ce qu'il trouve ou pas !!

Merci de votre aide.

13 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 18:11
Bonsoir,

Comment l'as tu supprimé ?

As tu désormais accès au démarrage normal ?

Poste le rapport de RogueKiller que tu as.

A +
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
Modifié par Lydnight le 14/10/2012 à 18:24
Bsr,

Alors pour le supprimer c'était facile, trop facile justement, tu vas dans c\programme tout en bas il y a deux fichiers avec des noms très bizarres et datés du jour et l'heure de l'infection, il faut les supprimer et c bon.

Mais justement en me renseignant un peu, j'ai vu qu'il pouvait se glisser ailleurs.

Oui 'ai accès à tout sans problème.

Ci dessous le rapport

RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : [Droits d'admin]
Mode : Recherche -- Date : 14/10/2012 11:58:49

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[TASK][BLPATH] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900 -> TROUVÉ
[TASK][SUSP PATH] RunAsStdUser Task : "C:\Users\Gautier Lydie\AppData\Local\BrightBreezeSA\bin\3.0.5.0\BrightBreezeSA.exe" -> TROUVÉ
[TASK][SUSP PATH] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215" -> TROUVÉ
[STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN18F4D2C205PJ;CONNECTION=NW;MONITOR=1; -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @Gautier Lydie : C:\ProgramData\lsass.exe -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

74.208.10.249 gs.apple.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 697fe5d5f8f6c594432ea117b4bfe546
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 18:30
ok,

Ne lance pas Roguekiller en suppression pour le moment certaines lignes sont légitimes.
Je vois déjà plusieurs problèmes, avant toute chose, faisons un diagnostic plus complet du système :

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

msconfig 
netsvcs 
showhidden
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 19:36
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 19:38
MDP: virus
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 20:38
Ok, je regarde et je reviens pour la procédure, A +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 20:58
re,

Il ne reste pas grand chose à faire.

1. Relance RogueKiller.exe
● Décoche la ou les cases des lignes suivantes :

[TASK][BLPATH] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900
[TASK][SUSP PATH] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215"
[STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry

● Clique sur Suppression

2. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

3. Poste les rapports

A +
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 21:26
Re,



-- Ci dessous le rapport de OTL:


https://pjjoint.malekal.com/files.php?id=20121014_e15n5h10j13p13



-- Ci dessous le rapport de RogueKiller:

RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur :[Droits d'admin]
Mode : Recherche -- Date : 14/10/2012 21:18:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[TASK][PREVRUN] HPCustParticipation HP Deskjet 3050A J611 series : "C:\Program Files\HP\HP Deskjet 3050A J611 series\Bin\HPCustPartic.exe" /UA 9.5 /DDV 0x0900 -> TROUVÉ
[TASK][PREVRUN] {A1B818FC-E18E-41E1-BA7A-F913FF74527E} : C:\Windows\system32\pcalua.exe -a "C:\Users\Gautier Lydie\Desktop\SX215\epson323814eu.exe" -d "C:\Users\Gautier Lydie\Desktop\SX215" -> TROUVÉ
[TASK][PREVRUN] {BC881A70-E17E-49C0-9921-9081EC833858} : C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\ATI Technologies\ATI.ACE\MOM-InstallProxy\MOM.InstallProxy.exe" -d "C:\Program Files (x86)\ATI Technologies\ATI.ACE\MOM-InstallProxy" -> TROUVÉ
[STARTUP][BLACKLIST DLL] Alertes de surveillance de l'encre - HP Deskjet 3050A J611 series (réseau).lnk @Gautier Lydie : C:\Windows\system32\RunDll32.exe|"C:\Program Files\HP\HP Deskjet 3050A J611 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN18F4D2C205PJ;CONNECTION=NW;MONITOR=1; -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

ÿþ1

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 697fe5d5f8f6c594432ea117b4bfe546
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

-- Une autre question, j ai passé malware et voilà ce qu'il m'a trouvé, je peux supprimer? Est ce que ça provient de mon virus ?

Merci bcp!!
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 21:29
Poste le rapport de Malwarebytes stp

A +
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 21:33
Dslé j'avais oublié de le coller.


Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.14.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
[administrateur]

14/10/2012 11:15:49
mbam-log-2012-10-14 (11-15-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|I:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 399652
Temps écoulé: 1 heure(s), 13 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 21:35
Oui, c'était lié, d'ailleurs le second aurait du être supprimé par RogueKiller.

Encore des soucis ?

A +
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 21:39
Alors c'est bon, plus de soucis sur mon pc ?

En tout cas merci de votre aide !!

Je passe en résolu :-)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 21:42
ok,

Mais la fin est aussi importante !

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Lance OTL

● Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

2. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau


== == == == == == == == == MISES A JOUR == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent (et que tu as été infecté par celle-ci) :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 21:44
Si si encore une question !!

J'ai trouvé ce fichier sur mon bureau--> RKquarantine avec des .vir a l'interieur, que faut il en faire ??

Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 21:46
C'est la quarantaine de RogueKiller, à supprimer aussi.
C'est indiqué dans ma procédure ;)
0
Lydnight Messages postés 9 Date d'inscription dimanche 14 octobre 2012 Statut Membre Dernière intervention 14 octobre 2012
14 oct. 2012 à 21:50
Merci bcp ;)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
14 oct. 2012 à 22:08
De rien :)

Bonne soirée
0
c'est-à-dire
0
j'ai essayé de faire ce qu'auparavant une personne disait sur ce forum avast me dit qu'il a mis en quarantaine un fichier détecté mais je voudrais savoir comment faire pour vraiment supprimer qu'il ne soit plus dans l'ordi
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 029
17 oct. 2012 à 17:23
Bonjour Sophie,

Merci de créer un nouveau sujet pour te faire aider : https://forums.commentcamarche.net/forum/virus-securite-7/new
0