Virus gendarmerie nationale

[Jihane]

All processes killed
========== OTL ==========
No active process named Updater.exe was found!
HKU\S-1-5-21-1177238915-1659004503-1547161642-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine
Prefs.js: "http://search.babylon.com/?AF=100996&ba ... 25b34c8f03" removed from browser.startup.homepage
Prefs.js: "http://search.babylon.com/?AF=100996&ba ... 34c8f03&q=" removed from keyword.URL
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\defaults\preferences folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\defaults folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\content\imgs\flgs folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\content\imgs folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\content folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected]\components folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e5g1eajz.default\extensions\[email protected] folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater not found.
File C:\Program Files\Ask.com\Updater\Updater.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-1177238915-1659004503-1547161642-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
Folder C:\Documents and Settings\Propriétaire\Application Data\AskToolbar\ not found.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Babylon\Setup\HtmlScreens folder moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Babylon\Setup folder moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\phwbm5px4k0nqmmm.dat moved successfully.
C:\PhysicalMBR.bin moved successfully.
C:\Documents and Settings\Propriétaire\Bureau\windowsexplorer.exe moved successfully.
C:\WINDOWS\explorer_XP_SP2.zip moved successfully.
Folder C:\Documents and Settings\Propriétaire\Application Data\Babylon\ not found.
C:\WINDOWS\Tasks\MP Scheduled Scan.job moved successfully.
========== FILES ==========
File\Folder C:\Program Files\Ask.com not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Adobe ARM deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\\"MenuShowDelay"|"100" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\\"AlwaysUnloadDll"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\\"link"|hex:00,00,00,00 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"EnableBalloonTips"|dword:00000000 /E : value set successfully!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\IconStreams deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\PastIconsStream deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SetCommand"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SecurityLevel"|dword:00000001 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 234455 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 51424 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire
->Temp folder emptied: 9740602 bytes
->Temporary Internet Files folder emptied: 391731798 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 26876175 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 664 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1086566 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 282832723 bytes

Total Files Cleaned = 680,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12172011_195426

Files\Folders moved on Reboot...
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFC60.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFC70.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFD01.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFD15.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFE02.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFFE14.tmp moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\XEHD0SMQ\ads[3].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\XEHD0SMQ\ads[4].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\JXESYAXS\ads[2].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\JXESYAXS\fastbutton[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\JXESYAXS\like[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\JXESYAXS\virus-gendarmerie-nationale-t35091-30[1].html moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\IWWD8P3T\fastbutton[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\7D2AAVYV\signin[1].htm moved successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

[Jihane]

+ explorer.exe enregistré sans problème

[angelique]

et ç'est mieux ?

[Jihane]

Oui tout va pour le mieux ! Merci encore !

[angelique]

ok cool , tu peux alors relançer OTL et clic Purge outils , un reboot sera demandé.

[Jihane]

C'est fait !

[Miqueu]

Bonjour
suite réponse d'Angélique que je remercie je poste le rapport d'AVIRA que j'avais activé dés l'apparition du problème. J'espère ne pas avoir mal utilisé le lien que tu m'as transmis (il ne s'agit pas d'une réponse au message ci-dessous mais je n'ai pas trouvé de bouton "nouveau".
Vous remerciant
Miqueu


Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 18 décembre 2011 15:32

La recherche porte sur 3585463 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Michel
Nom de l'ordinateur : MICHEL-533B63F2

Informations de version :
BUILD.DAT : 10.2.0.152 35934 Bytes 03/11/2011 17:29:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 07/10/2011 08:39:27
AVSCAN.DLL : 10.0.5.0 56680 Bytes 07/10/2011 08:39:27
LUKE.DLL : 10.3.0.5 45416 Bytes 07/10/2011 08:39:27
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 11:39:11
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 07/10/2011 08:39:27
AVREG.DLL : 10.3.0.9 88833 Bytes 07/10/2011 08:39:27
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 08:39:25
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 08:39:25
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 08:39:25
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 08:39:25
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 08:39:25
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 08:39:26
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05/10/2011 08:39:26
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24/11/2011 09:27:40
VBASE009.VDF : 7.11.18.33 2048 Bytes 24/11/2011 09:27:40
VBASE010.VDF : 7.11.18.34 2048 Bytes 24/11/2011 09:27:40
VBASE011.VDF : 7.11.18.35 2048 Bytes 24/11/2011 09:27:41
VBASE012.VDF : 7.11.18.36 2048 Bytes 24/11/2011 09:27:41
VBASE013.VDF : 7.11.18.89 204800 Bytes 28/11/2011 16:32:41
VBASE014.VDF : 7.11.18.145 143872 Bytes 01/12/2011 16:51:43
VBASE015.VDF : 7.11.18.180 173056 Bytes 02/12/2011 16:51:44
VBASE016.VDF : 7.11.18.208 164864 Bytes 05/12/2011 19:39:09
VBASE017.VDF : 7.11.18.239 177152 Bytes 06/12/2011 11:37:36
VBASE018.VDF : 7.11.19.36 171520 Bytes 09/12/2011 11:37:36
VBASE019.VDF : 7.11.19.77 144896 Bytes 13/12/2011 20:55:20
VBASE020.VDF : 7.11.19.115 177664 Bytes 15/12/2011 14:46:53
VBASE021.VDF : 7.11.19.137 139776 Bytes 16/12/2011 14:32:24
VBASE022.VDF : 7.11.19.138 2048 Bytes 16/12/2011 14:32:25
VBASE023.VDF : 7.11.19.139 2048 Bytes 16/12/2011 14:32:25
VBASE024.VDF : 7.11.19.140 2048 Bytes 16/12/2011 14:32:25
VBASE025.VDF : 7.11.19.141 2048 Bytes 16/12/2011 14:32:25
VBASE026.VDF : 7.11.19.142 2048 Bytes 16/12/2011 14:32:25
VBASE027.VDF : 7.11.19.143 2048 Bytes 16/12/2011 14:32:25
VBASE028.VDF : 7.11.19.144 2048 Bytes 16/12/2011 14:32:25
VBASE029.VDF : 7.11.19.145 2048 Bytes 16/12/2011 14:32:25
VBASE030.VDF : 7.11.19.146 2048 Bytes 16/12/2011 14:32:25
VBASE031.VDF : 7.11.19.153 23552 Bytes 16/12/2011 14:32:25
Version du moteur : 8.2.8.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 25/10/2011 17:27:18
AESCRIPT.DLL : 8.1.3.92 495996 Bytes 17/12/2011 14:32:29
AESCN.DLL : 8.1.7.2 127349 Bytes 07/10/2011 08:39:26
AESBX.DLL : 8.2.4.5 434549 Bytes 03/12/2011 16:52:03
AERDL.DLL : 8.1.9.15 639348 Bytes 07/10/2011 08:39:26
AEPACK.DLL : 8.2.15.1 770423 Bytes 13/12/2011 20:55:22
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 17/12/2011 14:32:28
AEHEUR.DLL : 8.1.3.8 4231543 Bytes 17/12/2011 14:32:28
AEHELP.DLL : 8.1.18.0 254327 Bytes 25/10/2011 17:27:15
AEGEN.DLL : 8.1.5.17 405877 Bytes 11/12/2011 11:37:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 07/10/2011 08:39:26
AECORE.DLL : 8.1.24.2 201080 Bytes 17/12/2011 14:32:25
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 11:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 11:38:56
AVPREF.DLL : 10.0.3.2 44904 Bytes 07/10/2011 08:39:27
AVREP.DLL : 10.0.0.10 174120 Bytes 07/10/2011 08:39:27
AVARKT.DLL : 10.0.26.1 255336 Bytes 07/10/2011 08:39:26
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 07/10/2011 08:39:27
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 11:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 07/10/2011 08:39:24
RCTEXT.DLL : 10.0.64.0 100712 Bytes 07/10/2011 08:39:24

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : dimanche 18 décembre 2011 15:32

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '61' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '103' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '73' module(s) sont contrôlés
Processus de recherche 'cmd.exe' - '25' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '67' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '50' module(s) sont contrôlés
Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '76' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0

i

Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' i Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '1111' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <Windows> C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\WM4UZQOX\field[1].swf [0] Type d'archive: SWC --> Object [RESULTAT] Contient le modèle de détection de l'exploit EXP/SWF.AH Début de la désinfection : C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\WM4UZQOX\field[1].swf [RESULTAT] Contient le modèle de détection de l'exploit EXP/SWF.AH [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cb1b751.qua' ! Fin de la recherche : dimanche 18 décembre 2011 17:22 Temps nécessaire: 1:49:24 Heure(s) La recherche a été effectuée intégralement 13431 Les répertoires ont été contrôlés 325611 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 325610 Fichiers non infectés 3835 Les archives ont été contrôlées 0 Avertissements 1 Consignes

[angelique]

reste dans ton sujet et utilise l'onglet "repondre" : virus-gendarmerie-t35228.html

[Alejandro94]

Bonsoir a tous . J ai actuellement le virus et j ai effectue toutes les etapes mais je ne comprend pas celle la

* copie_colle le contenu dans ta prochaine reponse

Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine



Quand j ai le rapport je dois faire quoi avec ?

Merci

[angelique]

Tu crées ton propre sujet là : posting.php?mode=post&f=3 car tu interferes dans le sujet du demandeur de ce sujet!

[abouishac]

Bonjours

je suis nouveau sur ce forum j’espère posté au bon endroit

en faite j'ai aussi le virus gendarmerie. Donc j'ai gravé OTLPE Live CD
je poste mon rapport si vous pouvez m'aider merci beaucoup

http://pjjoint.malekal.com/files.php?id ... 14q12r9d12

(j'utilise windows XP sp2)

Merci beaucoup

[angelique]

abouishac, recupere tes données depuis Reatogo, le PC est infecté Ramnit en plus de gendarmerie truc, ça sert rien de chercher à le desinfecter , surtout Ramnit, donc apres recup des données , restaure d'usine ou formate.

[abouishac]

abouishac, recupere tes données depuis Reatogo, le PC est infecté Ramnit en plus de gendarmerie truc, ça sert rien de chercher à le desinfecter , surtout Ramnit, donc apres recup des données , restaure d'usine ou formate.

merci beaucoup Angelique
je vais récupérer mes données et le restauré.

[laurentj]

Bonjour à tous
Je suis nouveau sur le forum. Je suis depuis hier soir victime du virus "gendarmerie nationale". Hier soir j'ai aperçu la fenêtre avec le logo de la gendarmerie puis une page à fond rouge me disant que le site avait été fermé par sécurité! Le tout sur ie explorer alors que j'utilise firefox!
Comme il était tard j'ai éteint mon ordi que je n'ai rallumé que ce matin. Evidemment la gendarmerie était toujours là et mon antivirus bloqué. Je suis allé faire un tour dans les programmes de démarrage de l'ordinateur (en mode sans échec) et j'ai trouvé ce programme:"oleda0.36758031053867524.ex.Ink" Je l'ai désactivé et relancé ma machine. Depuis plus de trace de gendarmerie nationale! Coup de chance ou simple hasard?

[angelique]

jour laurentj,

ç'est bien ça oui, en startup oleda0.36758031053867524.ex.Ink appelle oleda0.36758031053867524.exe qui doit etre en %temp%

Créer ton propre sujet pour faire du nettoyage.