Virus de la gendarmerie version 2013
maj67
Messages postés
3
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai ce "virus" hyper virulent qui vient d'infecter mon ordi portable asus (win7 / IE9).
Ca fait un moment que mon ordi ne marche plus tres bien (windows essential security désactivé, pare-feu inexistant et antivirus ne pouvant plus se lancer).
Il a été simple pour eux de m'implanter ce virus par la suite.
J'ai suivi 3 procédures pour le supprimer (changement clé shell par iexplorer) mais rien ne marche. Anti malware ne se lance pas.
Par contre j'ai trouvé une petite faille qui me permet d'arriver sur mon bureau et de lancer internet.
En appuyant sur ctrl+alt+suppr à l'écran du virus je sélectionne "arreter" puis une fois que ca se lance j'appuie plusieurs fois sur la touche "echap" pour annuler l'arret et me retrouver sur mon bureau.
Par contre j'ai l'impression que ce virus bloque tous les logiciels qui permette de le supprimer.
Merci de me donner une procédure simple et efficace que je pourrais appliquer pour le contourner et le supprimer ...
J'attends vos réponses; merci.
maj
J'ai ce "virus" hyper virulent qui vient d'infecter mon ordi portable asus (win7 / IE9).
Ca fait un moment que mon ordi ne marche plus tres bien (windows essential security désactivé, pare-feu inexistant et antivirus ne pouvant plus se lancer).
Il a été simple pour eux de m'implanter ce virus par la suite.
J'ai suivi 3 procédures pour le supprimer (changement clé shell par iexplorer) mais rien ne marche. Anti malware ne se lance pas.
Par contre j'ai trouvé une petite faille qui me permet d'arriver sur mon bureau et de lancer internet.
En appuyant sur ctrl+alt+suppr à l'écran du virus je sélectionne "arreter" puis une fois que ca se lance j'appuie plusieurs fois sur la touche "echap" pour annuler l'arret et me retrouver sur mon bureau.
Par contre j'ai l'impression que ce virus bloque tous les logiciels qui permette de le supprimer.
Merci de me donner une procédure simple et efficace que je pourrais appliquer pour le contourner et le supprimer ...
J'attends vos réponses; merci.
maj
A voir également:
- Virus de la gendarmerie version 2013
- Word 2013 - Télécharger - Traitement de texte
- Dernière version ccleaner gratuit français - Télécharger - Nettoyage
- Excel 2013 - Télécharger - Tableur
- Splitcam ancienne version - Télécharger - Messagerie
- Powerpoint 2013 - Télécharger - Présentation
3 réponses
Salut,
T'as chopé en plus de Urausy (le "virus gendarme") du ZeroAccess.
Relance RogueKiller clique sur Suppression et vient poster le rapport.
T'as chopé en plus de Urausy (le "virus gendarme") du ZeroAccess.
Relance RogueKiller clique sur Suppression et vient poster le rapport.
Salut,
▶ Télécharge ici : RogueKiller
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
▶ Télécharge ici : RogueKiller
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
RogueKiller V8.4.3 [Jan 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Majid [Droits d'admin]
Mode : Recherche -- Date : 27/01/2013 18:46:06
| ARK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[SHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[SHELL][Rans.Gendarm] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\L --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9320325AS ATA Device +++++
--- User ---
[MBR] 623329a2fffb4e737c52ffef9f0acfec
[BSP] 6e31858c65eb10a25c4b2c2d2a550cae : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_27012013_184606.txt >>
RKreport[1]_S_27012013_184606.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Majid [Droits d'admin]
Mode : Recherche -- Date : 27/01/2013 18:46:06
| ARK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 12 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
[SHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[SHELL][Rans.Gendarm] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\L --> TROUVÉ
[Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9320325AS ATA Device +++++
--- User ---
[MBR] 623329a2fffb4e737c52ffef9f0acfec
[BSP] 6e31858c65eb10a25c4b2c2d2a550cae : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_27012013_184606.txt >>
RKreport[1]_S_27012013_184606.txt
