Virus de la gendarmerie version 2013

Fermé
maj67 Messages postés 3 Date d'inscription vendredi 25 janvier 2013 Statut Membre Dernière intervention 27 janvier 2013 - 25 janv. 2013 à 19:16
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 27 janv. 2013 à 18:58
Bonjour,


J'ai ce "virus" hyper virulent qui vient d'infecter mon ordi portable asus (win7 / IE9).
Ca fait un moment que mon ordi ne marche plus tres bien (windows essential security désactivé, pare-feu inexistant et antivirus ne pouvant plus se lancer).
Il a été simple pour eux de m'implanter ce virus par la suite.
J'ai suivi 3 procédures pour le supprimer (changement clé shell par iexplorer) mais rien ne marche. Anti malware ne se lance pas.
Par contre j'ai trouvé une petite faille qui me permet d'arriver sur mon bureau et de lancer internet.
En appuyant sur ctrl+alt+suppr à l'écran du virus je sélectionne "arreter" puis une fois que ca se lance j'appuie plusieurs fois sur la touche "echap" pour annuler l'arret et me retrouver sur mon bureau.
Par contre j'ai l'impression que ce virus bloque tous les logiciels qui permette de le supprimer.
Merci de me donner une procédure simple et efficace que je pourrais appliquer pour le contourner et le supprimer ...

J'attends vos réponses; merci.

maj
A voir également:

3 réponses

juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
27 janv. 2013 à 18:58
Salut,

T'as chopé en plus de Urausy (le "virus gendarme") du ZeroAccess.

Relance RogueKiller clique sur Suppression et vient poster le rapport.
1
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 janv. 2013 à 19:59
Salut,

▶ Télécharge ici : RogueKiller
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
0
maj67 Messages postés 3 Date d'inscription vendredi 25 janvier 2013 Statut Membre Dernière intervention 27 janvier 2013
27 janv. 2013 à 18:52
Bonjour, voici le rapport.
Merci de me donner la marche à suivre pour éradiquer ce foutu virus.
D'avance je te remercie pour ton aide.
0
maj67 Messages postés 3 Date d'inscription vendredi 25 janvier 2013 Statut Membre Dernière intervention 27 janvier 2013
27 janv. 2013 à 18:51
RogueKiller V8.4.3 [Jan 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Majid [Droits d'admin]
Mode : Recherche -- Date : 27/01/2013 18:46:06
| ARK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[SHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[SHELL][Rans.Gendarm] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\L --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9320325AS ATA Device +++++
--- User ---
[MBR] 623329a2fffb4e737c52ffef9f0acfec
[BSP] 6e31858c65eb10a25c4b2c2d2a550cae : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_27012013_184606.txt >>
RKreport[1]_S_27012013_184606.txt
0