Virus police nationnal
Fermé
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
-
10 nov. 2013 à 00:34
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 nov. 2013 à 10:50
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 nov. 2013 à 10:50
A voir également:
- Virus police nationnal
- Police facebook - Guide
- Police aptos - Guide
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Police d'écriture journal ancien ✓ - Forum Graphisme
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 00:35
10 nov. 2013 à 00:35
Salut,
Tu as lancé RogueKiller sur la session infectée?
Tu as lancé RogueKiller sur la session infectée?
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 00:36
10 nov. 2013 à 00:36
Non, je ne peux pas le faire à partir d'une autre session ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 00:40
10 nov. 2013 à 00:40
ca sert à rien si tu le lances sur une autre session que celle infectée.
Le mieux c'est d'aller farfouiller dans les fichiers de la session infectée.
Mon Ordinateur
Disque C
Dossier Users
puis Appdata
Regarde si tu as des fichiers avec des noms aléatoire
même chose dans Romaing qui est dans Appdata
ou Dossiers Users
puis Local
et Temp
Le mieux c'est d'aller farfouiller dans les fichiers de la session infectée.
Mon Ordinateur
Disque C
Dossier Users
puis Appdata
Regarde si tu as des fichiers avec des noms aléatoire
même chose dans Romaing qui est dans Appdata
ou Dossiers Users
puis Local
et Temp
kingk06
Messages postés
10277
Date d'inscription
mercredi 12 juin 2013
Statut
Membre
Dernière intervention
17 mars 2015
536
10 nov. 2013 à 00:49
10 nov. 2013 à 00:49
salut @Malekal je t'ai laissé la main ;)
@+
@+
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 00:50
10 nov. 2013 à 00:50
merci :)
kingk06
Messages postés
10277
Date d'inscription
mercredi 12 juin 2013
Statut
Membre
Dernière intervention
17 mars 2015
536
Modifié par kingk06 le 10/11/2013 à 00:38
Modifié par kingk06 le 10/11/2013 à 00:38
salut poste moi le rapport de RK ici fais un copier-coller
** Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés **
** Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés **
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
Modifié par fp2031 le 10/11/2013 à 01:06
Modifié par fp2031 le 10/11/2013 à 01:06
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : pc [Droits d'admin]
Mode : Recherche -- Date : 11/09/2013 12:45:09
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internet Explorer (C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T2D4AKE7\5[1].exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4244715780-3859195073-3579627151-1000\[...]\Run : Internet Explorer (C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T2D4AKE7\5[1].exe [-]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" [x][7]) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode [x][7]) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe" [x][7]) -> TROUVÉ
¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\Windows\TEMP\{E2086553-D42D-4532-A240-10856080C43D}.exe - --uninstall=1 [x] -> TROUVÉ
[V2][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv : C:\Windows\TEMP\{E2086553-D42D-4532-A240-10856080C43D}.exe - --uninstall=1 [x] -> TROUVÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3500418AS ATA Device +++++
--- User ---
[MBR] dbcb6ac3a159e555155fc177cd5b5ec0
[BSP] 907c81a5fb08ef905a03714ff00dd719 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 255455 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 523378688 | Size: 221383 Mo
User = LL1 ... OK!
User = LL2 ... OK!
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : pc [Droits d'admin]
Mode : Recherche -- Date : 11/09/2013 12:45:09
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internet Explorer (C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T2D4AKE7\5[1].exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4244715780-3859195073-3579627151-1000\[...]\Run : Internet Explorer (C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T2D4AKE7\5[1].exe [-]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" [x][7]) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode [x][7]) -> TROUVÉ
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : ("C:\Users\game.pc-PC.000\AppData\Local\ghh.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe" [x][7]) -> TROUVÉ
¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\Windows\TEMP\{E2086553-D42D-4532-A240-10856080C43D}.exe - --uninstall=1 [x] -> TROUVÉ
[V2][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv : C:\Windows\TEMP\{E2086553-D42D-4532-A240-10856080C43D}.exe - --uninstall=1 [x] -> TROUVÉ
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3500418AS ATA Device +++++
--- User ---
[MBR] dbcb6ac3a159e555155fc177cd5b5ec0
[BSP] 907c81a5fb08ef905a03714ff00dd719 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 255455 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 523378688 | Size: 221383 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 00:50
10 nov. 2013 à 00:50
T'as des trucs pas bon, mais je pense pas que ce soit le virus gendarmerie.
Fais suppression sur RogueKiller.
Fais suppression sur RogueKiller.
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 00:59
10 nov. 2013 à 00:59
et à propos de suprimer ma session infecter ? j'ai pas grand chose d'important dessus
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 01:00
10 nov. 2013 à 01:00
aussi oui.
Tu dois pouvoir sauver les documents en allant dans les documents de la session.
~~
Par contre, faudra faire un check du PC car tu as vraiment des trucs chelous Oo
J'ai l'impression que le PC était infecté, et le botmaster pour monetiser, à coller le virus gendarmerie.
Fais bien suppression sur RogueKiller puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Tu dois pouvoir sauver les documents en allant dans les documents de la session.
~~
Par contre, faudra faire un check du PC car tu as vraiment des trucs chelous Oo
J'ai l'impression que le PC était infecté, et le botmaster pour monetiser, à coller le virus gendarmerie.
Fais bien suppression sur RogueKiller puis :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 01:03
10 nov. 2013 à 01:03
Que ve tu dire par le botmaster pour monetiser, à coller le virus gendarmerie?
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 01:07
10 nov. 2013 à 01:07
je ne connais vraiment rien en informatique
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 01:27
10 nov. 2013 à 01:27
mais si je suprime ma session infecter et que j'en utilise une autre sur laquelle je mets tout mes logiciel à jour, car ces surement la raison pourquoi il es sur mon ordi, est ce que le virus qui était sur la session que j'ai suprimer risque d'aller dans une session non infecter ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
10 nov. 2013 à 01:30
10 nov. 2013 à 01:30
le virus gendarmerie oui, mais comme je t'ai dit plus haut, tu as d'autres infections.
fp2031
Messages postés
8
Date d'inscription
dimanche 10 novembre 2013
Statut
Membre
Dernière intervention
10 novembre 2013
10 nov. 2013 à 01:52
10 nov. 2013 à 01:52
mais sa fait 6 ans que j'ai mon ordinateur et je ne l'ai jamais reformater, il est bourré de truc fichier inutile et de virus d'apres ce que je viens de constater .je prévoyais le reformater quand je vais avoir un portable dans 1 ans environs. Je n'es jamais connu de gros probleme sauf une " toolbar" qui ne s'en va jamais et le plus gros problème que j'ai eu c'est le virus gendarmerie. Crois tu que je peux attendre jusquau jours ou j'aurais en main mon portable sachant que sa fait 6 ans que je j'ai ordinateur infester de virus et que le seul vrai probleme que j'ai eu c'est celui du virus gendarmerie ? connais tu les infections sur mon ordinateur ? que font elles de graves à part ralentir mon ordinateur ? ( qui va a une vitesse qui me convient parfaitement)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
UTVMotionPictures
Messages postés
128
Date d'inscription
samedi 9 novembre 2013
Statut
Membre
Dernière intervention
14 septembre 2021
11
10 nov. 2013 à 01:58
10 nov. 2013 à 01:58
Bonsoir,
enlevé votre fil qui relie votre connection internet et démarer votre ordinateur.
enlevé votre fil qui relie votre connection internet et démarer votre ordinateur.
