Virus Gendarmerie

Tropik -  
 Tropik -
Il une page de sanction de la "gendarmerie" qui s'est ouverte sur mon ordinateur. J'ai spontanément lancé un redémarrage de mon ordinateur sans réapparition de cette page de menace de sanction judiciaire de la gendarmerie. Je sais maintenant que c'est un virus et il doit être caché quelque dans mon ordinateur. Que faire pour le supprimer définitivement ?

C'est un appel au secours que je lance ici.

Je suis sur Windows 7 Edition Intégrale (32 Bits).

Merci pour les conseils.

39 réponses

  • 1
  • 2
Résumé de la discussion

Une page de sanction simulant une intervention de la gendarmerie s’est ouverte, puis un redémarrage a été effectué, révélant que l’ordinateur est potentiellement infecté par un malware rogue. Plusieurs utilisateurs recommandent des outils de nettoyage comme AdwCleaner et ZHPDiag pour supprimer les composants indésirables et nettoyer les navigateurs et le registre sous Windows 7 32 bits. En cas d’infection, des conseils soulignent d’ignorer les alertes trompeuses, d’utiliser des outils reconnus (RogueKiller) avec les droits administrateur et de redémarrer pour appliquer les nettoyages, puis de vérifier les rapports générés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Marou81 Messages postés 4472 Statut Membre 199
     
    Bonsoir,

    Ton ordinateur est infecté par un rogue, c'est à dire un logiciel qui affiche de fausses alertes pour te faire peur et te pousser à payer (plus d'infos ici)... Ignore les fausses alertes du rogue et ne paye surtout pas, je vais t'aider à t'en débarrasser. Pour commencer, utilise cet outil :

    ▶ Télécharge RogueKiller (de Tigzy) sur le Bureau
    ▶ Quitte tous tes programmes en cours
    ▶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
    ▶ Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
    ▶ A la fin, vérifie que tous les éléments sont cochés puis clique sur "Suppression"
    ▶ Un rapport (RKreport.txt) doit être créé sur le Bureau, poste le dans ta prochaine réponse.
    ▶ Redémarre le pc
    0
  2. Tropik
     
    (Télécharge RogueKiller (de Tigzy) sur le Bureau)

    J'ai cliqué sur "RogueKiller" pour le télécharger mais je n'ai obtenu que l'ouverture d'une boîte de dialogue nommée "RogueKiller" qui a lancé un scan se terminant par une suppression des objets trouvés avec rapports sur le bureau (mais comment les poste-on ,)

    Et je suis toujours à me demander si ce maudit virus a bien été supprimé de mon ordinateur.
    0
    1. Marou81 Messages postés 4472 Statut Membre 199
       
      Regarde sur ton bureau tu va voir des fichiers textes qui se sont crées, ouvre les et poste moi leur contenu avec copier/coller
      0
  3. Tropik
     
    RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://www.adlice.com

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Gosselin [Droits d'admin]
    Mode : Recherche -- Date : 01/17/2014 00:53:59
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH][DLL] rundll32.exe -- C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll [7] -> rundll32.exe TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-3494575990-2449055101-3834266665-1000\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> TROUVÉ
    [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 1 ¤¤¤
    [V2][SUSP PATH] BackgroundContainer Startup Task : "C:\Windows\system32\Rundll32.exe" - "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x] -> TROUVÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) MD03200- BJDW-RO SCSI Disk Device +++++
    --- User ---
    [MBR] e549f9fc12b7053755399d2545efacf7
    [BSP] 93e4f38774cf8b7ea990a615d742de85 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305245 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

    +++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ SCSI) Hitachi HDS721680PLA SCSI Disk Device +++++
    --- User ---
    [MBR] 3517ea3856be2709f7fbb196e155665b
    [BSP] e281e1a00669227f802deff739d0f1e4 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 76317 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

    Termine : << RKreport[0]_S_01172014_005359.txt >>

    RogueKiller V8.8.1 [Jan 14 2014] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://www.adlice.com

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Gosselin [Droits d'admin]
    Mode : Suppression -- Date : 01/17/2014 00:54:20
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH][DLL] rundll32.exe -- C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll [7] -> rundll32.exe TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-3494575990-2449055101-3834266665-1000\[...]\Run : BackgroundContainer ("C:\Windows\system32\Rundll32.exe" "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x]) -> [0x2] Le fichier spécifié est introuvable.
    [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 1 ¤¤¤
    [V2][SUSP PATH] BackgroundContainer Startup Task : "C:\Windows\system32\Rundll32.exe" - "C:\Users\Gosselin\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun [7][7][x] -> SUPPRIMÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) MD03200- BJDW-RO SCSI Disk Device +++++
    --- User ---
    [MBR] e549f9fc12b7053755399d2545efacf7
    [BSP] 93e4f38774cf8b7ea990a615d742de85 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305245 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

    +++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ SCSI) Hitachi HDS721680PLA SCSI Disk Device +++++
    --- User ---
    [MBR] 3517ea3856be2709f7fbb196e155665b
    [BSP] e281e1a00669227f802deff739d0f1e4 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 76317 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

    Termine : << RKreport[0]_D_01172014_005420.txt >>
    RKreport[0]_S_01172014_005359.txt
    0
  4. Tropik
     
    As-tu bien reçu les rapports ? Merci de confirmer.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Marou81 Messages postés 4472 Statut Membre 199
     
    Hello,

    Oui on va juste retirer les restes maintenant.

    Utilise ce logiciel de désinfection généraliste :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware
    ▶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. Par contre, il n'est pas nécessaire d'activer l'essai gratuit pour la protection.
    ▶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    ▶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    ▶ A la fin de l'analyse, clique sur Afficher les résultats
    ▶ Coche tous les éléments détectés puis clique sur Supprimer la sélection
    ▶ S'il t'est demandé de redémarrer l'ordinateur, accepte.
    ▶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression.
    0
  7. Tropik
     
    Je te remercie de patienter car je pense que le travail de "Recherche" est assez long mais tout se passe bien jusqu'ici.
    Merci encore d'attendre la suite.
    0
  8. Tropik
     
    (? S'il t'est demandé de redémarrer l'ordinateur, accepte.)

    C'est là que j'en suis mais après le redémarrage, il n'y a pas eu de rapport sur le bureau (comme précédemment). J'en suis désolé. J'aurais dû refuser le redémarrage automatique pour copier/coller les résultats de la suppression des éléments sélectionnés.

    Faut-il recommencer (en réactivant "Malwarebyte's Anti-Malware" installé sur le bureau ?) pour te poster le 2è rapport qui en résultera ?

    Merci de continuer à m'aider.
    0
  9. tropik
     
    J'ai retrouvé les rapports que je croyais perdus (ils étaient stockés dans l'onglet "Rapports/Logs"). Les voici :

    Rapport 1 :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2014.01.16.07

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 11.0.9600.16476
    Gosselin :: GOSSELIN-PC [administrateur]

    17/01/2014 01:51:11
    mbam-log-2014-01-17 (01-51-11).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 228025
    Temps écoulé: 16 minute(s), 54 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT3281675 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 4
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.HelperBar.A) -> Mauvais: (http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=12/01/2014&type=hp1000) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 7
    C:\Users\Gosselin\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\2146FF7CA2F645ED863067E14E2CB4EF (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\28CA697943F04B1CA8E13A64E8039C0A (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\B863C5B723D14ED192227454096354E5 (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\D15681E65AD6482A8D8D650B17F6B3AA (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Conduit\IE\CT3281675 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 8
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\B863C5B723D14ED192227454096354E5\Installer.exe (PUP.Optional.Linkury.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\D15681E65AD6482A8D8D650B17F6B3AA\mconduitinstaller.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\Bubble Dock.boostrap.log (PUP.Optional.Bubbledock.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\2146FF7CA2F645ED863067E14E2CB4EF\Trial-14.0.1000.93_fr-FR_1004731_FR.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Gosselin\AppData\Roaming\OpenCandy\28CA697943F04B1CA8E13A64E8039C0A\Trial-14.0.1000.93_fr-FR_1004731_FR.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Conduit\IE\CT3281675\configutaion.json (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Conduit\IE\CT3281675\SetupIcon.ico (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\Conduit\IE\CT3281675\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Rapport 2 :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2014.01.16.07

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 11.0.9600.16476
    Gosselin :: GOSSELIN-PC [administrateur]

    17/01/2014 02:34:17
    mbam-log-2014-01-17 (02-34-17).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 44198
    Temps écoulé: 10 minute(s), 44 seconde(s) [abandonné]

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    @Marou

    C'était une fausse page suffisait juste de killer le navigateur en gros une arnaque pas le vrai virus!

    https://www.malekal.com/virus-securite/ransomwares/

    Et adwcleaner???

    Oui au vu du rapport Mbam

    Si problème il y a il existe toujours une solution
    N'oubliez pas de passer votre sujet en résolu
    0
    1. Marou81 Messages postés 4472 Statut Membre 199
       
      Tu pense qu'il faut un rapport adwcleaner ?
      0
    2. Marou81 Messages postés 4472 Statut Membre 199
       
      Je ne pense pas que cela soit nécessaire après on peut toujours le faire pour d'éventuelles LPI/PUP.
      0
  11. Marou81 Messages postés 4472 Statut Membre 199
     
    Hello,

    Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

    ▶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
    ▶ Lance le, clique sur Nettoyer puis patiente le temps du scan.
    ▶ Une fois le nettoyage terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
    ▶ Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse.
    0
  12. Tropik
     
    Voici le rapport de AdwCleaner :

    # AdwCleaner v3.017 - Rapport créé le 17/01/2014 à 13:17:53
    # Mis à jour le 12/01/2014 par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)
    # Nom d'utilisateur : Gosselin - GOSSELIN-PC
    # Exécuté depuis : C:\Users\Gosselin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D366OJNH\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\ProgramData\Conduit
    Dossier Supprimé : C:\Windows\system32\Searchprotect
    Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Mobogenie
    Dossier Supprimé : C:\Users\Gosselin\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Gosselin\AppData\LocalLow\PriceGong
    Dossier Supprimé : C:\Users\Gosselin\Documents\Mobogenie
    Dossier Supprimé : C:\Users\Gosselin\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl
    Fichier Supprimé : C:\END
    Fichier Supprimé : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\bczchxsk.default\searchplugins\Web Search.xml

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasapi32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\smartbar_rasmancs
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3281675
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E44A1809-4D10-4AB8-B343-3326B64C7CDD}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E44A1809-4D10-4AB8-B343-3326B64C7CDD}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E44A1809-4D10-4AB8-B343-3326B64C7CDD}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{E44A1809-4D10-4AB8-B343-3326B64C7CDD}]
    Clé Supprimée : HKCU\Software\SmartBar
    Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Software\BackgroundContainer
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v11.0.9600.16428

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]

    -\\ Mozilla Firefox v26.0 (fr)

    [ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\bczchxsk.default\prefs.js ]

    Ligne Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
    Ligne Supprimée : user_pref("browser.search.selectedEngine", "Web Search");
    Ligne Supprimée : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=FR&userid=758aae4e-2282-ed9b-8d1a-8205665644a4&searchtype=ds&fr=linkury-tb&installDate=12/01/2014&type=hp1000&p="[...]

    [ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\pwk185xp.default\prefs.js ]

    [ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\s3ruq385.default\prefs.js ]

    [ Fichier : C:\Users\Gosselin\AppData\Roaming\Mozilla\Firefox\Profiles\xc6zit2t.default\prefs.js ]

    -\\ Google Chrome v32.0.1700.76

    [ Fichier : C:\Users\Gosselin\AppData\Local\Google\Chrome\User Data\Default\preferences ]

    Supprimée : homepage

    *************************

    AdwCleaner[R0].txt - [51778 octets] - [04/11/2013 21:40:20]
    AdwCleaner[R1].txt - [17501 octets] - [05/11/2013 17:19:35]
    AdwCleaner[R2].txt - [28010 octets] - [12/11/2013 00:05:08]
    AdwCleaner[R3].txt - [15269 octets] - [12/11/2013 11:19:07]
    AdwCleaner[R4].txt - [1609 octets] - [05/12/2013 03:57:51]
    AdwCleaner[R5].txt - [1735 octets] - [05/12/2013 06:04:52]
    AdwCleaner[R6].txt - [2022 octets] - [08/12/2013 16:41:23]
    AdwCleaner[R7].txt - [13385 octets] - [09/12/2013 18:58:28]
    AdwCleaner[R8].txt - [2297 octets] - [22/12/2013 22:26:57]
    AdwCleaner[R9].txt - [6108 octets] - [17/01/2014 13:16:13]
    AdwCleaner[S0].txt - [34162 octets] - [04/11/2013 21:41:45]
    AdwCleaner[S1].txt - [1578 octets] - [05/11/2013 17:21:39]
    AdwCleaner[S2].txt - [22764 octets] - [12/11/2013 00:06:34]
    AdwCleaner[S3].txt - [14899 octets] - [12/11/2013 11:21:11]
    AdwCleaner[S4].txt - [1670 octets] - [05/12/2013 03:59:19]
    AdwCleaner[S5].txt - [1796 octets] - [05/12/2013 06:06:06]
    AdwCleaner[S6].txt - [2091 octets] - [08/12/2013 16:42:43]
    AdwCleaner[S7].txt - [12900 octets] - [09/12/2013 18:59:37]
    AdwCleaner[S8].txt - [2358 octets] - [22/12/2013 22:28:16]
    AdwCleaner[S9].txt - [5667 octets] - [17/01/2014 13:17:53]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S9].txt - [5727 octets] ##########
    0
  13. Tropik
     
    Mille excuses car je suis un peu embrouillé par ce flot de manipulations techniques tel que je ne serais rassuré que si tu veux bien me confirmer l'état actuel de ce virus. A t-il été supprimé ? Ou y a t-il d'autres interventions techniques à faire ? Merci encore.
    0
  14. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello tropik

    Tu as lu mon lien(celui de malekal)

    Tu n'as pas eu le virus gendarmerie juste une page te bloquant ton navigateur ;)
    0
  15. tropik
     
    Je te remercie de bien vouloir me confirmer que tu m'informes bien qu'il n y a pas de virus "Gendarmerie" caché quelque part dans mon ordinateur. Ta réponse à ma présente demande de confirmation dissipera toues mes inquiétudes.
    0
    1. Marou81 Messages postés 4472 Statut Membre 199
       
      @ lili ; sujet pris en charge, tu permet :D
      0
    2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      @Marou

      Oki lis quand même le lien que je t'ai donné ;)
      0
    3. Marou81 Messages postés 4472 Statut Membre 199
       
      oui mais bon vu que adw a trouvé des trucs, on va finir, dans tout les cas son pc est infecté.
      0
  16. Tropik
     
    Merci pour les infos mais j'ai besoin de ton aide car ça ne marche pas chez moi.

    " Double-clique sur l'icône JRT.exe pour lancer l'installation
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur "

    - J'ai fait ce qui est demandé mais je n'ai pas "Exécuter en tant qu'administrateur" dans la boîte de dialogue qui s'ouvre après 1 clic-droit sur l'icône JTR.

    Où est le problème ?
    0
  17. tropik
     
    Junkware Removal Tool (JRT) by Thisisu
    Version: 6.1.0 (01.07.2014:1)
    OS: Windows 7 Ultimate x86
    Ran by Gosselin on 17/01/2014 at 20:45:40,60
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ~~~ Services

    ~~~ Registry Values

    ~~~ Registry Keys

    ~~~ Files

    ~~~ Folders

    Successfully deleted: [Folder] "C:\Users\Gosselin\AppData\Roaming\dll-files.com"

    ~~~ FireFox

    Emptied folder: C:\Users\Gosselin\AppData\Roaming\mozilla\firefox\profiles\bczchxsk.default\minidumps [4 files]

    ~~~ Chrome

    Successfully deleted: [Folder] C:\Users\Gosselin\appdata\local\Google\Chrome\User Data\Default\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl

    ~~~ Event Viewer Logs were cleared

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 17/01/2014 at 20:49:12,67
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    0
  18. tropik
     
    oui j'ai ouvert ce lien et j'ai lu de très intéressantes et rassurantes informations sur ces virus.

    Toutefois, je reçois des avis tellement différent en même temps que les tiens (sur le forum CCM de ma question) faisant que je ne sais plus quoi faire exactement. Je n'ai pas vos compétences en informatique.

    Je préfère abandonner.
    0
  19. tropik
     
    "oui mais bon vu que adw a trouvé des trucs, on va finir, dans tout les cas son pc est infecté"

    Ne comprenant pas le sens caché de cette remarque, je préfère renoncer car je reçois des réponses contradictoires que mon faible niveau de compétences informatiques n'est pas en mesure de traiter.

    Ne sachant plus quoi faire de judicieux, je préfère abandonner.

    Merci pour l'aide.
    0
  20. Marou81 Messages postés 4472 Statut Membre 199
     
    Bonsoir,

    Rassure toi, je te guide pour désinfecter le pc.

    Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)
    ▶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    ▶ Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
    ▶ Clique sur configurer puis sur l'icône représentant une loupe sans + ni - («Rapport full options »)
    ▶ le rapport se trouve sur ton Bureau
    ▶ Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    Si tu as besoin d'aide, suis ce tuto : http://www.sosvirus.net/canned-speech-zhpdiag-t712.html. Confond pas ZHPFix et ZHPDiag !

    A+
    0
  • 1
  • 2