Virus Gendarmerie Fermé

Question

Il une page de sanction de la "gendarmerie" qui s'est ouverte sur mon ordinateur. J'ai spontanément lancé un redémarrage de mon ordinateur sans réapparition de cette page de menace de sanction judiciaire de la gendarmerie. Je sais maintenant que c'est un virus et il doit être caché quelque dans mon ordinateur. Que faire pour le supprimer définitivement ? 

C'est un appel au secours que je lance ici.

Je suis sur Windows 7 Edition Intégrale (32 Bits). 

Merci pour les conseils.

Marou81 · Answer

Bonsoir,

Ton ordinateur est infecté par un rogue, c'est à dire un logiciel qui affiche de fausses alertes pour te faire peur et te pousser à payer (plus d'infos ici)... Ignore les fausses alertes du rogue et ne paye surtout pas, je vais t'aider à t'en débarrasser. Pour commencer, utilise cet outil :

&#x25B6 Télécharge RogueKiller (de Tigzy) sur le Bureau
&#x25B6 Quitte tous tes programmes en cours
&#x25B6 Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
&#x25B6 Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
&#x25B6 A la fin, vérifie que tous les éléments sont cochés puis clique sur "Suppression"
&#x25B6 Un rapport (RKreport.txt) doit être créé sur le Bureau, poste le dans ta prochaine réponse.
&#x25B6 Redémarre le pc

Tropik · Answer

(Télécharge RogueKiller (de Tigzy) sur le Bureau)

J'ai cliqué sur "RogueKiller" pour le télécharger mais je n'ai obtenu que l'ouverture d'une boîte de dialogue nommée "RogueKiller" qui a lancé un scan se terminant par une suppression des objets trouvés avec rapports sur le bureau (mais comment les poste-on ,)

Et je suis toujours à me demander si ce maudit virus a bien été supprimé de mon ordinateur.

Tropik · Answer

RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Gosselin [Droits d'admin]
Mode : Recherche -- Date : 01/17/2014 00:53:59
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH][DLL] rundll32.exe -- C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll [7] -> rundll32.exe TUÉ [TermProc]

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-3494575990-2449055101-3834266665-1000\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] BackgroundContainer Startup Task : "C:\Windows\system32\Rundll32.exe" - "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) MD03200- BJDW-RO SCSI Disk Device +++++
--- User ---
[MBR] e549f9fc12b7053755399d2545efacf7
[BSP] 93e4f38774cf8b7ea990a615d742de85 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305245 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ SCSI) Hitachi HDS721680PLA SCSI Disk Device +++++
--- User ---
[MBR] 3517ea3856be2709f7fbb196e155665b
[BSP] e281e1a00669227f802deff739d0f1e4 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 76317 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

Termine : << RKreport[0]_S_01172014_005359.txt >>

RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Gosselin [Droits d'admin]
Mode : Suppression -- Date : 01/17/2014 00:54:20
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH][DLL] rundll32.exe -- C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll [7] -> rundll32.exe TUÉ [TermProc]

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-3494575990-2449055101-3834266665-1000\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> [0x2] Le fichier spécifié est introuvable.
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] BackgroundContainer Startup Task : "C:\Windows\system32\Rundll32.exe" - "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) MD03200- BJDW-RO SCSI Disk Device +++++
--- User ---
[MBR] e549f9fc12b7053755399d2545efacf7
[BSP] 93e4f38774cf8b7ea990a615d742de85 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305245 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ SCSI) Hitachi HDS721680PLA SCSI Disk Device +++++
--- User ---
[MBR] 3517ea3856be2709f7fbb196e155665b
[BSP] e281e1a00669227f802deff739d0f1e4 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 76317 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

Termine : << RKreport[0]_D_01172014_005420.txt >>
RKreport[0]_S_01172014_005359.txt

Tropik · Answer

As-tu bien reçu les rapports ? Merci de confirmer.

Marou81 · Answer

Hello,

Oui on va juste retirer les restes maintenant.

Utilise ce logiciel de désinfection généraliste :

&#x25B6 Télécharge et installe Malwarebytes' Anti-Malware
&#x25B6 A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. Par contre, il n'est pas nécessaire d'activer l'essai gratuit pour la protection.
&#x25B6 Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
&#x25B6 Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
&#x25B6 A la fin de l'analyse, clique sur Afficher les résultats
&#x25B6 Coche tous les éléments détectés puis clique sur Supprimer la sélection
&#x25B6 S'il t'est demandé de redémarrer l'ordinateur, accepte.
&#x25B6 Poste dans ta prochaine réponse le rapport apparaissant après la suppression.

Tropik · Answer

Je te remercie de patienter car je pense que le travail de "Recherche" est assez long mais tout se passe bien jusqu'ici.
Merci encore d'attendre la suite.

Tropik · Answer

(? S'il t'est demandé de redémarrer l'ordinateur, accepte.)

C'est là que j'en suis mais après le redémarrage, il n'y a pas eu de rapport sur le bureau (comme précédemment). J'en suis désolé. J'aurais dû refuser le redémarrage automatique pour copier/coller les résultats de la suppression des éléments sélectionnés.

Faut-il recommencer (en réactivant "Malwarebyte's Anti-Malware" installé sur le bureau ?)  pour te poster le 2è rapport qui en résultera ?

Merci de continuer à m'aider.

tropik · Answer

J'ai retrouvé les rapports que je croyais perdus (ils étaient stockés dans l'onglet "Rapports/Logs"). Les voici :

Rapport 1 :

    Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.16.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 11.0.9600.16476
Gosselin :: GOSSELIN-PC [administrateur]

17/01/2014 01:51:11
mbam-log-2014-01-17 (01-51-11).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 228025
Temps écoulé: 16 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT3281675 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 7
C:\Users\Gosselin\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\2146FF7CA2F645ED863067E14E2CB4EF (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\28CA697943F04B1CA8E13A64E8039C0A (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\B863C5B723D14ED192227454096354E5 (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\D15681E65AD6482A8D8D650B17F6B3AA (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Conduit\IE\CT3281675 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 8
C:\Users\Gosselin\AppData\Roaming\OpenCandy\B863C5B723D14ED192227454096354E5\Installer.exe (PUP.Optional.Linkury.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\D15681E65AD6482A8D8D650B17F6B3AA\mconduitinstaller.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\Bubble Dock.boostrap.log (PUP.Optional.Bubbledock.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\2146FF7CA2F645ED863067E14E2CB4EF\Trial-14.0.1000.93_fr-FR_1004731_FR.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Gosselin\AppData\Roaming\OpenCandy\28CA697943F04B1CA8E13A64E8039C0A\Trial-14.0.1000.93_fr-FR_1004731_FR.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Conduit\IE\CT3281675\configutaion.json (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Conduit\IE\CT3281675\SetupIcon.ico (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Conduit\IE\CT3281675\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Rapport 2 :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.16.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 11.0.9600.16476
Gosselin :: GOSSELIN-PC [administrateur]

17/01/2014 02:34:17
mbam-log-2014-01-17 (02-34-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 44198
Temps écoulé: 10 minute(s), 44 seconde(s) [abandonné]

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

lilidurhone · Answer

Hello

@Marou

C'était une fausse page suffisait juste de killer le navigateur en gros une arnaque pas le vrai virus!


https://www.malekal.com/virus-securite/ransomwares/



Et adwcleaner??? 

Oui au vu du rapport Mbam
 
Si problème il y a il existe toujours une solution 
N'oubliez pas de passer votre sujet en résolu

Marou81 · Answer

Hello,

Utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

&#x25B6 Télécharge AdwCleaner (de Xplode) sur ton Bureau.
&#x25B6 Lance le, clique sur Nettoyer puis patiente le temps du scan.
&#x25B6 Une fois le nettoyage terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
&#x25B6 Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse.

Tropik · Answer

Voici le rapport de AdwCleaner :

# AdwCleaner v3.017 - Rapport créé le 17/01/2014 à 13:17:53
# Mis à jour le 12/01/2014 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)
# Nom d'utilisateur : Gosselin - GOSSELIN-PC
# Exécuté depuis : C:\Users\Gosselin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D366OJNH\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Conduit
Dossier Supprimé : C:\Windows\system32\Searchprotect
Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Mobogenie
Dossier Supprimé : C:\Users\Gosselin\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Gosselin\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Gosselin\Documents\Mobogenie
Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\bczchxsk.default\searchplugins\Web Search.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasmancs
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3281675
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E44A1809-4D10-4AB8-B343-3326B64C7CDD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E44A1809-4D10-4AB8-B343-3326B64C7CDD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E44A1809-4D10-4AB8-B343-3326B64C7CDD}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{E44A1809-4D10-4AB8-B343-3326B64C7CDD}]
Clé Supprimée : HKCU\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\BackgroundContainer
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.16428

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]

-\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\bczchxsk.default\prefs.js ]

Ligne Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "Web Search");
Ligne Supprimée : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&fr=linkury-tb&installDate=12/01/2014&type=hp1000&p="[...]

[ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\pwk185xp.default\prefs.js ]


[ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\s3ruq385.default\prefs.js ]


[ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\xc6zit2t.default\prefs.js ]


-\ Google Chrome v32.0.1700.76

[ Fichier : C:\Users\Gosselin\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage

*************************

AdwCleaner[R0].txt - [51778 octets] - [04/11/2013 21:40:20]
AdwCleaner[R1].txt - [17501 octets] - [05/11/2013 17:19:35]
AdwCleaner[R2].txt - [28010 octets] - [12/11/2013 00:05:08]
AdwCleaner[R3].txt - [15269 octets] - [12/11/2013 11:19:07]
AdwCleaner[R4].txt - [1609 octets] - [05/12/2013 03:57:51]
AdwCleaner[R5].txt - [1735 octets] - [05/12/2013 06:04:52]
AdwCleaner[R6].txt - [2022 octets] - [08/12/2013 16:41:23]
AdwCleaner[R7].txt - [13385 octets] - [09/12/2013 18:58:28]
AdwCleaner[R8].txt - [2297 octets] - [22/12/2013 22:26:57]
AdwCleaner[R9].txt - [6108 octets] - [17/01/2014 13:16:13]
AdwCleaner[S0].txt - [34162 octets] - [04/11/2013 21:41:45]
AdwCleaner[S1].txt - [1578 octets] - [05/11/2013 17:21:39]
AdwCleaner[S2].txt - [22764 octets] - [12/11/2013 00:06:34]
AdwCleaner[S3].txt - [14899 octets] - [12/11/2013 11:21:11]
AdwCleaner[S4].txt - [1670 octets] - [05/12/2013 03:59:19]
AdwCleaner[S5].txt - [1796 octets] - [05/12/2013 06:06:06]
AdwCleaner[S6].txt - [2091 octets] - [08/12/2013 16:42:43]
AdwCleaner[S7].txt - [12900 octets] - [09/12/2013 18:59:37]
AdwCleaner[S8].txt - [2358 octets] - [22/12/2013 22:28:16]
AdwCleaner[S9].txt - [5667 octets] - [17/01/2014 13:17:53]

########## EOF - C:\AdwCleaner\AdwCleaner[S9].txt - [5727 octets] ##########

Tropik · Answer

Mille excuses car je suis un peu embrouillé par ce flot de manipulations techniques tel que je ne serais rassuré que si tu veux bien me confirmer l'état actuel de ce virus. A t-il été supprimé ? Ou y a t-il d'autres interventions techniques à faire ? Merci encore.

lilidurhone · Answer

Hello tropik

Tu as lu mon lien(celui de malekal)

Tu n'as pas eu le virus gendarmerie juste une page te bloquant ton navigateur ;)

tropik · Answer

Je te remercie de bien vouloir me confirmer que tu m'informes bien qu'il n y a pas de virus "Gendarmerie" caché quelque part dans mon ordinateur. Ta réponse à ma présente demande de confirmation dissipera toues mes inquiétudes.

Marou81 · Answer

Bonsoir,

Tu es des PUP/LPI => logiciels indésirables.

On va continuer.

Ensuite télécharge Junk Removal Tool. Suis ce tuto et poste moi le rapport : 
https://forum.security-x.fr/tutoriels-317/tutoriel-junkware-removal-tool

Tropik · Answer

Merci pour les infos mais j'ai besoin de ton aide car ça ne marche pas chez moi. 

" Double-clique sur l'icône JRT.exe pour lancer l'installation 
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur "
  

- J'ai fait ce qui est demandé mais je n'ai pas "Exécuter en tant qu'administrateur" dans la boîte de dialogue qui s'ouvre après 1 clic-droit sur l'icône JTR. 

Où est le problème ?

tropik · Answer

Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Windows 7 Ultimate x86
Ran by Gosselin on 17/01/2014 at 20:45:40,60
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Users\Gosselin\AppData\Roaming\dll-files.com"



~~~ FireFox

Emptied folder: C:\Users\Gosselin\AppData\Roaming\mozilla\firefox\profiles\bczchxsk.default\minidumps [4 files]



~~~ Chrome

Successfully deleted: [Folder] C:\Users\Gosselin\appdata\local\Google\Chrome\User Data\Default\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 17/01/2014 at 20:49:12,67
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

tropik · Answer

oui j'ai ouvert ce lien et j'ai lu de très intéressantes et rassurantes informations sur ces virus. 

Toutefois, je reçois des avis tellement différent en même temps que les tiens (sur le forum CCM de ma question) faisant que je ne sais plus quoi faire exactement. Je n'ai pas vos compétences en informatique.

Je préfère abandonner.

tropik · Answer

"oui mais bon vu que adw a trouvé des trucs, on va finir, dans tout les cas son pc est infecté"

Ne comprenant pas le sens caché de cette remarque, je préfère renoncer car je reçois des réponses contradictoires que mon faible niveau de compétences informatiques n'est pas en mesure de traiter.

Ne sachant plus quoi faire de judicieux, je préfère abandonner.

Merci pour l'aide.

Marou81 · Answer

Bonsoir,

Rassure toi, je te guide pour désinfecter le pc. 

Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

&#x25B6 Télécharge ZHPDiag (de Nicolas Coolman)
&#x25B6 Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
&#x25B6 Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
&#x25B6 Clique sur configurer puis sur l'icône représentant une loupe sans + ni - («Rapport full options »)
&#x25B6 le rapport se trouve sur ton Bureau
&#x25B6 Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Si tu as besoin d'aide, suis ce tuto : http://www.sosvirus.net/canned-speech-zhpdiag-t712.html. Confond pas ZHPFix et ZHPDiag !

A+

tropik · Answer

Télécharge ZHPDiag (de Nicolas Coolman) 

j'ai lancé le téléchargement de ce logiciel comme tu l'as demandé mais j'ai tout arrêté à l'apparition de cette boîte de dialogue :

"ZHDiag existe déjà. Souhaitez-vous installer dans ce dossier malgré tout ? Oui/Non.
C:/ProgramFiles\ZHPDiag

J'ai arrêté le téléchargement d'autant plus qu'en tout début (au lancement de ce logiciel), j'avais dû me "bousculer" pour continuer après lecture de cette mise en garde : 

"ZHDiag2.exe n'est pas fréquemment téléchargé et pourrait nuire à votre ordinateur". 
  
Je préfère m'assurer que tu es ok pour que je télécharge ce logiciel malgré les recommandations de ces boîtes de dialogues.

N.B. : je suis sur Windows 7 Edition Intégrale (32 Bits) avec Internet 11 & Mozilla Firefox, Avast notamment.

tropik · Answer

J'ai dominé mes craintes et j'ai téléchargé puis lancé ZHPDiag mais voici ce qui s'affiche après téléchargement du rapport sur le bureau et 1 clic sur "Envoyer" :

Vous n'avez pas choisi de fichier !

118139 fichier(s) dans la base - 341247 lignes rÃ©fÃ©rencÃ©es - 87106 commentaires - 25.53% lignes commentÃ©es - - RSS  

Que faire alors ? Ou j'ai peut-être loupé quelque chose dans l'exécution de tes instructions ? (Pourtant bien clairement expliquées et facilement compréhensibles à mon avis).

Marou81 · Answer

Bonjour,

Regarde dans ton bureau, tu as un icone en forme de parchemin il y a marqué ZHPDiag lance le en suivant les instructions demandés.

A+

tropik · Answer

C'est pourtant ce que j'ai ce matin après le non fonctionnement du bouton (ou commande ?) "Envoyer" de "pjjoint.malekal.com - Dépôt de fichiers" (de Malekal).

Je vais donc recommencer

tropik · Answer

Tropik · Answer

Je viens d'examiner le 

"Rapport de ZHPDiag v2014.1.17.19 - Nicolas Coolman (17/01/2014) 
~ Lancé par Gosselin (18/01/2014 11:53:28) 

Je suis très surpris de découvrir la présence dans ma bécane du logiciel AVG que je croyais avoir désinstallé il y a plusieurs mois déjà!!!

---\ Logiciels de protection du système
AVG 2013 v13.0.3199
---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: AVG WatchDog (avgwd) . (...) - C:\Program Files\AVG\AVG2013
---\ Logiciels installés (O42)
O42 - Logiciel: AVG 2013 - (.AVG Technologies.) [HKLM] -- {2AE79B77-E3FA-4F9C-93D7-4FC643516D6A}

Peux-tu m'aider à m'en débarrasser définitivement stp merci ?

Tropik · Answer

dans "http://cjoint.com." Est-ce qu'il me suffit de cliquer sur "Parcourir" pour y joindre successivement tous ces rapports qui se trouvent sur mon bureau ? Sinon merci de me briefer une succincte explication d'utilisation de ce lien.

Tropik · Answer

Je ne sais si j'ai compris le "mécanisme" (Merci de me corriger en cas d'erreur).
Liens des rapports qui se trouvent sur mon bureau :

1 - http://cjoint.com/?DAsqSbWBHTi
2 - http://cjoint.com/?DAsqY3s1NBs
3 - http://cjoint.com/?DAsq2qVNkY7
4 - http://cjoint.com/?DAsq3pJtw4w

Mais, c'est pour ce rapport que le boutron "Créer le lien Cjoint" ne marche pas (C:\Program Files\ZHPDiag\ZHPhep.exe)

Tropik · Answer

Le 'rapport ZHPdiag ne passe pas pour ce motif apparu au-dessus de la case "parcourir" :

"Ce type de fichier n'est pas accueilli par CJoint" (en caractères de couleur rouge)

Tropik · Answer

"j'attend le rapport ZHPDiag, tu choisis le fichier ZHPDiag et tu fais pareille."

Désolé, le fichier ZHPDiag qui est sur mon bureau ne passe pas.

Tropik · Answer

Il doit y avoir un dysfonctionnement quelque part car je t'avais déjà envoyé le texte du rapport ZHPDiag et voici la référence de mon envoi qui se trouve sur le forum de nos échanges : 

 tropik 18 janv. 2014 à 12:04 

N.B. & La totalité du texte de ce rapport doit OBLIGATOIREMENT y être. 

Le pointeur (fléché de ma souris) posé sur la page du rapport, j'avais cliqué sur :

- Edition
- Sélectionner tout

Puis copier/coller dans mon mail sus-référencé.

Tropik · Answer

Dans Propriétés :

A l'Onglet "Général"

 - Type de Fichier : Raccourci (.lnk)
 - Taille : 1.72 Ko (1 770 octets)

Tropik · Answer

Il doit y avoir un dysfonctionnement quelque part car je t'avais déjà envoyé le texte du rapport ZHPDiag et voici la référence de mon envoi qui se trouve sur le forum de nos échanges : 

 tropik 18 janv. 2014 à 12:04 

N.B. & La totalité du texte de ce rapport doit OBLIGATOIREMENT y être. 

Le pointeur (fléché de ma souris) posé sur la page du rapport, j'avais cliqué sur : 

- Edition 
- Sélectionner tout 

Puis copier/coller dans mon mail sus-référencé.

C'EST EN CONSULTANT LE COPIER/COLLER DE CE MAIL QUE J'AI DECOUVERT LA PRESENCE DE AVG DANS MON ORDI.

Merci de revérifier si tu le peux sinon avec ton ok, je te l'envoie de nveau (par la même méthode).

Tropik · Answer

Tropik · Answer

"Le rapport est incomplet ... essaie le site http://pjjoint.malekal.com"

Réponse du site : 

"Les fichiers avec l'extension .exe ne peuvent pas être uploadés !"

Tropik · Answer

Pour "Télécharge http://www.usbfix.net/"

& "Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir". Je dois d'abord t'informer que :

"Clé USB/Disque dur externe/lecteur mp3 etc..." (je ne comprends pas) :

1°) Actuellement toutes mes clefs USB (3 ou 4) sont vides.

2°) Le disque dur externe, je ne sais pas ce que c'est (je sais ce que c'est que le Disque dur C:\ ou D:\ sur ma bécane mais l'externe ? Connais pas).

3°) Lecteur mp3 (je n'en ai pas au sens d'un objet matériel autonome et je n'en ai jamais eu de ma vie). 

J'attends ton ok pour faire le téléchargement sus-mentionné (en m'informant sur les éventuelles modifications relativement aux infos sus-listées).

Tropik · Answer

J'ai branché seulement une clé USB (même si je ne sais pas à quoi cela peut bien servir), puis il n y a plus rien d'autre à brancher excepté mon imprimante qui est toujours branchée sur mon unité centrale.

Je vais commencer l'exploitation du lien "http://www.usbfix.net/" à la réception de ton ok qui pour moi signifiera : Aucune perte des données contenues dans mon ordinateur (documents divers, programmes, Realplayer, Microsoft Office, Songr, Xilsoft & autres logiciels divers, etc...).

Merci de confirmer.

Tropik · Answer

Je comprends. J'avais déjà noté ton "impatience" et comme j'aurai très certainement d'autres demandes à formuler - car j'ai la faiblesse de vouloir comprendre ce que j'exécute - il va être très difficile de collaborer avec un instructeur "impatient".

Merci pour l'aide apportée mais à mon grand regret, il est préférable de s'en tenir là comme tu le proposes.

Tropik · Answer

On dit que la nuit porte conseil.

 Pour ma part je vais m'efforcer de ne plus vous poser des questions, me contentant simplement de faire ce que vous m'indiquez. C'est d'ailleurs dans mon intérêt car, mon ordinateur me pose quelques problèmes nouveaux logiquement liés - pour moi - à la non finition de votre technique de désinfection de PC. Je reconnais que je ne serais en totale confiance que si c'est vous-même qui terminez le travail commencé ensemble.

Merci d'accepter mes sincères excuses si vous le pouvez encore.

"Venir à résipiscence ne peut qu'aider un membre du corps social dans l'amélioration de ses rapports avec les autres" 
*Montesquieu (De l'Esprit Des Lois).

Virus Gendarmerie

39 réponses

Discussions similaires