Après éradication virus gendarmerie, ordi portable bloqué Résolu/Fermé

Question

Bonjour,

Je me présente, je m'appelle Marie. Je découvre votre forum que j'ai longuement visité pour y trouver une éventuelle solution à mon problème, en vain. Avant de m'inscrire, j'ai également parcouru beaucoup de pages aussi intéressantes les unes que les autres. Je me lance donc en espérant que vous pourrez m'aider. J'essaie d'être le plus claire possible (mais malade avec 39°... ce n'est pas gagné). 

Je ne suis pas une pro, bien que j'en apprends beaucoup par le biais des forums. Toutefois, je parviens toujours à me débrouiller, sauf aujourd'hui. Je me connecte à partir de mon propre portable pour pouvoir échanger avec vous, ce sera, à mon sens, plus simple. Je vous explique :

Mon conjoint a eu sur son portable (Acer Aspire 6930G sous vista) un virus gendarmerie. C'est la troisième fois que ça lui arrive. Les deux précédentes, je suis parvenue à régler le problème assez rapidement d'ailleurs, mais pas cette fois et la page du virus était également différente des précédentes. Le virus a aussi supprimé tous les points de restauration, je ne peux donc pas faire de restauration système à une date antérieure.

Je précise que j'ai tenté de faire une restauration à partir des cd de restauration qu'il avait fait, mais ça ne marche pas, car Mr les avait fait sur dvd et l'ordi affiche un message indiquant que les dvd ne sont pas valides. Il y en a deux.

Cette semaine, j'ai démarré en Mode sans échec avec prise en charge du réseau, téléchargé Malwarebytes et fais l'analyse. Il a découvert le virus et l'a mis en quarantaine, je l'ai donc supprimé. J'ai refait un nouveau scan, il n'y avait plus rien. J'ai également téléchargé RogueKiller qui a trouvé 2 logiciels malveillants et les a supprimé. Lorsque j'ai redémarré en mode normal, l'ordi s'est allumé et a atteint le bureau. A partir de là, il est resté bloqué sur le bureau, je ne peux donc rien faire. 
Hier et aujourd'hui, j'ai tenté de l'allumer, il démarre, mais il bloque sur le bureau où aucune icone n'est cliquable. Par contre, il démarre bien en Mode sans échec avec prise en charge du réseau.
Je ne sais plus quoi faire, si vous pouviez m'aider ce serait vraiment génial.

Je vous joins les liens suivants :

Rapport MalwareBytes : https://www.cjoint.com/c/CEzokTKUQEk
Rapport RogueKiller : https://www.cjoint.com/c/CEzopjGg0O5

Au plaisir de vous lire, à bientôt,

Marie



Configuration: Windows Vista / Chrome 26.0.1410.64

Malekal_morte- · Answer

Salut,

C'est cette variante : https://www.malekal.com/flimrans-ransomware-office-central-de-la-lutte-contre-la-criminalite-lie-aux-technologies/ ?

ou y a le logo Hadopi ?

Malekal_morte- · Answer

ok,

Sur le bureau qui ne démarre pas.
CTRL+ALT+Suppr et gestionnaîre de tâches.
Menu Fichier / Nouvelle tâche
tape explorer.exe et OK.

Ca doit ouvrir le bureau.

Menu Démarrer et tape regedit et OK. 

Déroule à gauche : 

HKEY_CURRENT_USER 
\SOFTWARE 
\Microsoft 
\Windows NT 
\CurrentVersion 
\Winlogon 

A droite, supprimer la clef Shell 

Redémarre l'ordinateur

Malekal_morte- · Answer

ok en mode sans échec :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

sos75 · Answer

ok, je fais ça et je reviens.

sos75 · Answer

Coucou Malekal_morte,

Me revoici avec les rapports :

OTL : https://pjjoint.malekal.com/files.php?id=20130526_n13i10r12r13e7
et Extra : https://pjjoint.malekal.com/files.php?id=20130526_w6x8n811k7

Merci pour ton aide.

Malekal_morte- · Answer

C'est la variante Reveton que tu as.
Y aurait pas SpeedMax ou DriverCure qui se lance et c'est après l'avoir fermé que tout se bloque ?


 Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle
DriverCure
Messenger Plus Live France Toolbar
Speedmax

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O2 - BHO: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMes0.dll (Conduit Ltd.) 
IE - HKLM\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMes0.dll (Conduit Ltd.) 
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2567681
[2013/05/17 16:31:05 | 000,002,584 | ---- | C] () -- C:\ProgramData\1dvh.js 
[2013/05/16 15:43:40 | 095,023,320 | ---- | C] () -- C:\ProgramData\1dvh.pad
[2013/05/26 11:42:11 | 000,000,000 | ---D | C] -- C:\Users\patrick\AppData\Roaming\DriverCure 
[2013/05/26 11:42:10 | 000,000,000 | ---D | C] -- C:\Users\patrick\AppData\Roaming\SpeedMaxPc  
[2013/05/26 11:42:02 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc
[2013/05/16 15:42:41 | 000,128,000 | ---- | C] (Hilgraeve, Inc.) -- C:\Users\patrick\2239243.dll

* redemarre le pc sous windows et poste le rapport ici  
 
Vois ce que cela donne.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

sos75 · Answer

J'ai donc continué OLT comme tu m'as dit.

Voici le rapport : https://pjjoint.malekal.com/files.php?id=20130526_u9i10b7t9q11

J'ai redémarré sous Windows. L'écran est noir, le curseur de la souris n'apparaît pas. Et CTR+ALT=SUP ne fonctionne pas non plus.

sos75 · Answer

Cette fois, j'ai bien fait correction. Désolée.

Voici le lien du rapport : https://pjjoint.malekal.com/files.php?id=20130526_p810h14e10r10

J'ai redémarré sous Windows. L'écran est noir, mais le curseur de la souris apparaît. Et CTR+ALT=SUP ne fonctionne pas non pas.

Malekal_morte- · Answer

Y a deux antivirus sur le PC 
Avast et Microsoft Security Essentials.

C'est pas bon.
Désinstalle les deux, car Avast! ne semble pas à jour.
Tu le réinstalleras plus tard.

Est-ce que tu peux créer une nouvelle session en mode sans échec ?
(Panneau de Configuration / Compte utilisateurs).
Ca donne quoi si tu vas dessus en mode normal ?

Malekal_morte- · Answer

Désinstalle \Acer Bio Protection

Vois ce que cela donne.


- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

sos75 · Answer

J'ai désinstallé Acer Bio Protection puis redémarré en Mode normal. J'ai le bureau qui fonctionne apparemment mais qui est très long.

Que penses-tu que je doive faire ?

Malekal_morte- · Answer

A priori, y a plus d'infections.
Si tu redémarres, c'est toujours long le démarrage ?

sos75 · Answer

Voici le lien de KijackThis : https://pjjoint.malekal.com/files.php?id=HijackThis_20130526_l13b10q513l15

Malekal_morte- · Answer

Désinstalle
BingBar
Bonjour
Google Toolbar 
 

Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes :

O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

==> clic sur fix checked


Redémarre l'ordinateur

sos75 · Answer

C'est mieux sauf lent au démarrage. Sinon en navigation c'est nikel. Dois-je garder MalwareBytes et OLT, ou bien dois-je les supprimer ?

Malekal_morte- · Answer

Garde Malwarebyte.

~~

Pour information, les virus gendarmerie vont essentielles sur les sites de streaming / pronograhiques via des publiticités malicieuses (voir https://www.malekal.com/tag/malvertising/ ).
Ces infections tirent parties du fait que des logiciels non à jour et vulnérables (java, adobe reader etc) sont installés sur le PC.

~~

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

sos75 · Answer

Coucou Malekal_morte, 

Me revoici avec un problème sur mon portable personnel cette fois-ci.
Je le trouve anormalement long depuis ce matin. Ces derniers temps, il était un peu long, mais aujourd'hui c'est pire. Dis-moi si tu peux m'aider (et/ou si je dois ouvrir un autre sujet et où)

Je te mets tout de même les rapports que j'ai fait (MalewareBytes, RogueKiller, OLT et HijackThis) ce jour pour peut-être avancer un peu.

MalewareBytes : https://pjjoint.malekal.com/files.php?id=20130527_v14o12f7s11l7

RogueKiller : https://pjjoint.malekal.com/files.php?id=20130527_v13k10x12u8h10

OLT : https://pjjoint.malekal.com/files.php?id=20130527_h15p5j7u13h5

Extras : https://pjjoint.malekal.com/files.php?id=20130527_b10h8s14u13d7

HijackThis : https://pjjoint.malekal.com/files.php?id=HijackThis_20130527_c15r5o13e13v6

Merci à toi, à très vite.

Marie

Après éradication virus gendarmerie, ordi portable bloqué

17 réponses

Discussions similaires