Virus gendarmerie

Zxpizzo54 -  
Zxpizzo54 Messages postés 5 Statut Membre -
Bonjour,

Je vous explique mon problème, je ne sais pas comment j'ai eu le virus gendarmerie, donc j'ai voulu restauré le système, mais celui ci ne s'est pas déroulé correctement, des démarrage défectueux, et quand j'ai enfin réussi a lancer mon ordinateur, maintenant mozilla ne marche plus alors que j'ai pas mal de marque page important pour le travail, windows media ne se lance plus, impossible de désinstaller certain programme, c'est pour cela que je demande votre aide.

Merci d'avance

13 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    aie pour voir :

    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    [*] Copie/colle le contenu du rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    0
  2. Zxpizzo54
     
    J'ai déjà utilisé roguekiller mais j'ai supprimé le rapport :/. j'en refais un ?
    0
  3. Zxpizzo54
     
    Je crois avoir retrouver l'ancien, le voici :

    RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : PIZZO [Droits d'admin]
    Mode : Recherche -- Date : 10/13/2013 19:59:06
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:60726;hxxps=127.0.0.1:60726) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][Jonction] fr-FR : C:\Program Files\Windows Defender\fr-FR >> \systemroot\system32\config [-] --> TROUVÉ
    [ZeroAccess][Repertoire] Install : C:\Users\PIZZO\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HDT721010SLA360 +++++
    --- User ---
    [MBR] 1b743940e129546660c6e4d02c8420d8
    [BSP] 98e01d641fc00a5c911e0d05fd7ab175 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469883 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991199232 | Size: 469884 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_10132013_195906.txt >>
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    fais bien suppression sur RogueKiller puis :

    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Zxpizzo54
     
    D'accord par contre j'ai un fichier Quarantaine de RogueKiller sur mon Bureau, je le supprime aussi ?
    0
  7. Le_Maniouk Messages postés 349 Statut Membre 158
     
    Faut arrêter les sites pOrn ! C'est à cause de ça la plupart du temps !
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu supprimeras tout à la fin.

    y a du mieux ?
    0
  9. Zxpizzo54 Messages postés 5 Statut Membre
     
    Firefox toujours impossible de le lancer avec une erreur : Couldn't load XPCOM

    :/
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Désinstalle le et réinstalle le.
      0
  10. Zxpizzo54 Messages postés 5 Statut Membre
     
    Je n'y arrive pas, quand je clique sur desinstaller rien ne ce passe :/
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Vas sur le lien, télécharge AdwCleaner comme indiqué.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  12. Zxpizzo54 Messages postés 5 Statut Membre
     
    Rapport AdwCleaner :

    # AdwCleaner v3.007 - Rapport créé le 14/10/2013 à 14:05:29
    # Mis à jour le 09/10/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : PIZZO - PIZZO-PC
    # Exécuté depuis : C:\Users\PIZZO\Downloads\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\ProgramData\DSearchLink
    Dossier Supprimé : C:\ProgramData\Partner
    Dossier Supprimé : C:\Program Files (x86)\Duuqu
    Dossier Supprimé : C:\Users\PIZZO\AppData\Local\Duuqu
    Dossier Supprimé : C:\Users\PIZZO\AppData\Roaming\Babylon
    Dossier Supprimé : C:\Users\PIZZO\AppData\Roaming\yourfiledownloader
    Dossier Supprimé : C:\Users\PIZZO\AppData\Roaming\Mozilla\Firefox\Profiles\we3jxw4q.default\Extensions\ffxtlbr@babylon.com
    Fichier Supprimé : C:\Users\PIZZO\AppData\Roaming\Mozilla\Firefox\Profiles\we3jxw4q.default\user.js
    Fichier Supprimé : C:\Windows\System32\Tasks\YourFile Update

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskSLib_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\14919ea49a8f3b4aa3cf1058d9a64cec
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    Clé Supprimée : HKCU\Software\BabSolution
    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\Duuqu
    Clé Supprimée : HKCU\Software\YahooPartnerToolbar
    Clé Supprimée : HKCU\Software\YourFileDownloader
    Clé Supprimée : HKLM\Software\DataMngr
    Clé Supprimée : HKLM\Software\Duuqu
    Clé Supprimée : HKLM\Software\YourFileDownloader

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v10.0.9200.16720

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Default_Page_URL]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Search [Start Page]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Search [Start Default_Page_URL]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Search [Search Bar]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Search [Search Page]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [Start Page]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [Start Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [Search Bar]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [Search Page]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [(Default)]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [(Default)]

    -\\ Mozilla Firefox v24.0 (fr)

    [ Fichier : C:\Users\PIZZO\AppData\Roaming\Mozilla\Firefox\Profiles\we3jxw4q.default\prefs.js ]

    -\\ Google Chrome v30.0.1599.69

    [ Fichier : C:\Users\PIZZO\AppData\Local\Google\Chrome\User Data\Default\preferences ]

    Supprimée : search_url
    Supprimée : keyword

    *************************

    AdwCleaner[R0].txt - [7539 octets] - [14/10/2013 14:04:09]
    AdwCleaner[S0].txt - [4643 octets] - [14/10/2013 14:05:29]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4703 octets] ##########
    0