Virus de la gendarmerie version 2013

maj67 Messages postés 3 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai ce "virus" hyper virulent qui vient d'infecter mon ordi portable asus (win7 / IE9).
Ca fait un moment que mon ordi ne marche plus tres bien (windows essential security désactivé, pare-feu inexistant et antivirus ne pouvant plus se lancer).
Il a été simple pour eux de m'implanter ce virus par la suite.
J'ai suivi 3 procédures pour le supprimer (changement clé shell par iexplorer) mais rien ne marche. Anti malware ne se lance pas.
Par contre j'ai trouvé une petite faille qui me permet d'arriver sur mon bureau et de lancer internet.
En appuyant sur ctrl+alt+suppr à l'écran du virus je sélectionne "arreter" puis une fois que ca se lance j'appuie plusieurs fois sur la touche "echap" pour annuler l'arret et me retrouver sur mon bureau.
Par contre j'ai l'impression que ce virus bloque tous les logiciels qui permette de le supprimer.
Merci de me donner une procédure simple et efficace que je pourrais appliquer pour le contourner et le supprimer ...

J'attends vos réponses; merci.

maj

3 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    T'as chopé en plus de Urausy (le "virus gendarme") du ZeroAccess.

    Relance RogueKiller clique sur Suppression et vient poster le rapport.
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    ▶ Télécharge ici : RogueKiller
    ▶ Enregistre et ferme tous les programmes en cours
    ▶ Lance RogueKiller et attend que le Prescan ait fini
    ▶ Accepte l'EULA puis clique sur Scan.
    ▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
    0
    1. maj67 Messages postés 3 Statut Membre
       
      Bonjour, voici le rapport.
      Merci de me donner la marche à suivre pour éradiquer ce foutu virus.
      D'avance je te remercie pour ton aide.
      0
  3. maj67 Messages postés 3 Statut Membre
     
    RogueKiller V8.4.3 [Jan 27 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Majid [Droits d'admin]
    Mode : Recherche -- Date : 27/01/2013 18:46:06
    | ARK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 12 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Run : Nuvuteag (C:\Users\Majid\AppData\Roaming\Viduci\egho.exe) -> TROUVÉ
    [SHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
    [SHELL][Rans.Gendarm] HKUS\S-1-5-21-4223658115-537882655-3319220681-1000[...]\Winlogon : shell (explorer.exe,C:\Users\Majid\AppData\Roaming\skype.dat) -> TROUVÉ
    [Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
    [Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\c8c77ab72328510b (c8c77ab72328510b.sys) -> TROUVÉ
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n.) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\n --> TROUVÉ
    [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\n --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\@ --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\@ --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Users\Majid\AppData\Local\{9c64dcbc-0e5b-1adb-6f9d-0aa4a93264bc}\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-4223658115-537882655-3319220681-1000\$9c64dcbc0e5b1adb6f9d0aa4a93264bc\L --> TROUVÉ
    [Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9320325AS ATA Device +++++
    --- User ---
    [MBR] 623329a2fffb4e737c52ffef9f0acfec
    [BSP] 6e31858c65eb10a25c4b2c2d2a550cae : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305143 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_27012013_184606.txt >>
    RKreport[1]_S_27012013_184606.txt
    0