Virus gendarmerie je crois

Résolu
bab123 Messages postés 108 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

je crois bien avoir choppé le virus gendarmerie, mon ordi depuis plusieurs jours déjà "cliquetait" dès l'ouverture, rien de visible mais toujours ce clic clic clic, comme si quelque chose bossait en arrière plan, et aussi la fenetre du registre qui s'ouvrait au démarrage ....

j'ai passé antivir, malwarebytes et spybot, qui m'ont enlevé quelques trojans, mais hier soir d'un seul coup gros message de la gendarmerie

j'ai reussi à venir en mode sans echec, pourriez vous m'aider ? mais en termes ultra simples svp je ne suis pas très douée ...

merci d'avance pour votre aide
bleue

30 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  2. g3n-h@ckm@n
     
    tu es sure que tu as passé l'outil à partir de la session infectée .?
    0
  3. bab123 Messages postés 108 Statut Membre 15
     
    je suis en mode administrateur, je vais refaire la manip avec la bonne seccion, desolée je savais pas que ce serait différent
    @ tout à l'heure
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. bab123 Messages postés 108 Statut Membre 15
     
    hooo j'ai un souci
    je clique sur f8 pour passer en mode sans echec
    j'ai l'écran qui me demande quel mode je veux, je choisis mode sans echec avec prise en charge du reseau
    ensuite écran avec system ... drivers/ etc etc qui défile
    puis je retombe sur la fenetre qui me demande si je veux entrer en administrateur ou sous une autre session

    quand je demande administrateur, ça passe
    quand je demande sous mon nom, on me dit que windows doit s'arreter et ça redemarre
    on dirait que je ne peux plus entrer sous mon nom

    ????
    0
  6. g3n-h@ckm@n
     
    retourne dans ta session admin

    va dans C:\<users ou utilisateurs>\la session infectée\appdata\Roaming\Microsoft\windows\Start Menu ( ou menu demarrer)\Programs\Startup ( ou demarrage )

    si tu trouves le fichier runctf tu le vires
    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  7. bab123 Messages postés 108 Statut Membre 15
     
    j'ai affiché les dossiers cachés et je suis allée là où tu me le dis, mais aucun fichier runctf, juste un desktop . ini, rien d'autre ...
    0
  8. g3n-h@ckm@n
     
    ok regarde :

    C:\<users ou utilisateurs>\la session infectée\appdata\Roaming

    si un fichier skype.dat et skype.ini ne se trouvent pas
    0
  9. bab123 Messages postés 108 Statut Membre 15
     
    skype.dat et skype.ini
    j'ai les deux
    je les efface ?
    0
  10. bab123 Messages postés 108 Statut Membre 15
     
    voilà, j'ai effacé les deux fichiers et j'ai pu acceder et refaire un scan
    voici le lien

    http://cjoint.com/data3/3AEtVABQNmk.htm
    0
  11. g3n-h@ckm@n
     
    ben voilà !!

    relance l outil de la session infectée , clique sur diag , heberge le rapport pre_diag et donne le lien

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  12. bab123 Messages postés 108 Statut Membre 15
     
    bonsoir
    merci pour ton aide :-)

    j'ai un message d'erreur quand je lance diag :

    autoIt error

    line 16487 (file "c:\users\babeth\desktop\winlogon.exe")

    error : variable used without being declared

    j'ai essayé les trois autres liens ça ne passe pas non plus ...
    0
  13. g3n-h@ckm@n
     
    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  14. bab123 Messages postés 108 Statut Membre 15
     
    voilaaaaaaaaaaa le rapport
    pour ce soir, je tombe de sommeil, @ demain pour la suite
    merciiiiii

    # AdwCleaner v2.109 - Rapport créé le 31/01/2013 à 01:57:36
    # Mis à jour le 26/01/2013 par Xplode
    # Système d'exploitation : Windows 7 Ultimate (64 bits)
    # Nom d'utilisateur : Babeth - BABETH-PC
    # Mode de démarrage : Mode sans échec avec prise en charge réseau
    # Exécuté depuis : C:\Users\Babeth\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\1ClickDownload
    Dossier Supprimé : C:\ProgramData\Premium
    Dossier Supprimé : C:\Users\Babeth\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\1ClickDownload
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKCU\Software\AppDataLow\SProtector
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKCU\Software\IM
    Clé Supprimée : HKCU\Software\ImInstaller
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
    Clé Supprimée : HKLM\Software\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASMANCS
    Clé Supprimée : HKLM\Software\SP Global
    Clé Supprimée : HKLM\Software\SProtector
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKLM\SOFTWARE\DataMngr
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16447

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Babeth\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [5343 octets] - [29/01/2012 19:53:49]
    AdwCleaner[R2].txt - [5462 octets] - [29/01/2012 19:55:26]
    AdwCleaner[R3].txt - [3148 octets] - [31/01/2013 01:56:56]
    AdwCleaner[R4].txt - [3208 octets] - [31/01/2013 01:57:28]
    AdwCleaner[S1].txt - [302 octets] - [29/01/2012 19:54:38]
    AdwCleaner[S2].txt - [4220 octets] - [29/01/2012 19:55:30]
    AdwCleaner[S3].txt - [6119 octets] - [17/12/2012 13:42:45]
    AdwCleaner[S4].txt - [380 octets] - [31/01/2013 01:56:38]
    AdwCleaner[S5].txt - [3174 octets] - [31/01/2013 01:57:36]

    ########## EOF - C:\AdwCleaner[S5].txt - [3234 octets] ##########
    0
  15. g3n-h@ckm@n
     
    re

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  16. bab123 Messages postés 108 Statut Membre 15
     
    voilaaaaa
    tu crois que j'en suis débarrassée ?

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.01.31.04

    Windows 7 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    Babeth :: BABETH-PC [administrateur]

    31/01/2013 11:02:42
    mbam-log-2013-01-31 (11-02-42).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 725961
    Temps écoulé: 1 heure(s), 20 minute(s), 20 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 4
    C:\Pre_Scan\Quarantine\C'_$Recycle.bin_S-1-5-21-2376454940-2447641469-2106438017-500_$RF37W20.dat.P_S (Trojan.Ransom.NDF) -> Mis en quarantaine et supprimé avec succès.
    C:\Pre_Scan\Quarantine\C'_Users_Babeth_AppData_Local_Temp_qm7jgnd9c25jkquoebxniw.exe.P_S (Trojan.Ransom.NDF) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Administrateur\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Babeth\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  17. bab123 Messages postés 108 Statut Membre 15
     
    salut
    j'ai un autre souci, depuis hier, j'ai réouvert en mode normal au lieu de sans échec, et windows mail à l'ouverture me dit que le certificat n'est pas sécurisé et me demande si je veux ouvrir tout de même, j'ai refusé, et si je clique sur afficher le certificat, je vois marqué "nouvelles antilles", c'est encore un trojan ?
    merci d'avance de ton aide
    0
  • 1
  • 2