Virus gendarmerie Nationale

[lydie]

Bonjour,

depuis hier j'ai attrapé ce virus "Gendarmerie Nationale" sur un site de streaming :(
j'ai cru m'en être débarrassée mais la page du virus occupe mon Bureau après chaque redémarrage, j'arrive à faire disparaitre la page en fermant la session plusieurs fois et l'image disparait.

j'ai essayé de supprimer le virus avec Malewarebytes mais rien n'y fait.

Si quelqu'un peut m'aider

Merci

[hackinginterdit]

Bonjour

Redémarre l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

Télécharge sur le bureau RogueKiller (par tigzy)
* * Quitter tous les programmes en cours
* * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* * Sinon lancer simplement RogueKiller.exe
* * Lorsque demandé, taper 2 et valider
* * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


Tu Mets à jour Malwarebytes tu fais un scan rapide tu supprimes tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!

[lydie]

Merci pour votre aide !

On dirait que suite à une réparation au redémarrage de l'ordinateur, le virus a été supprimé vu que lapage n'apparait plus mais j'ai souhaité suivre vos conseils tout de même au cas où !

Voici le rapport Roguekiller

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Lydie [Droits d'admin]
Mode: Suppression -- Date : 27/12/2011 19:19:18

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 06afc7be72b0e3993e9f08981cd25ece
[BSP] 7188033a47e7a25fffcd68cb881f03a7 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 41 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 81920 | Size: 15728 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 30801920 | Size: 484336 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

[hackinginterdit]

Ok tu supprimes Roguekiller et tu fais Malwarebytes comme demandé

[lydie]

Ok voilà le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 911122703

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

27/12/2011 19:41:12
mbam-log-2011-12-27 (19-41-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 183547
Temps écoulé: 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Je penses que c'est ok ? tu peux me le confirmer ?
Merci

[hackinginterdit]

Je penses que c'est ok ? tu peux me le confirmer ?

Moi aussi

Très important A LIRE Mais surtout a faire

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash ==> http://forum.malekal.com/logiciels-pour ... 15960.html

Fais ceci quand même:

• Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner[S].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner[S].txt

[lydie]

voilà j'ai fait Adw cleaner. j'ai aussi nettoyé mon PC des programmes dont je ne me servais plus. J'ai pas eu le temps de faire plus vite n'étant pas très disponible en cette période de l'année.
Merci en tout cas. Je pense que tout est Ok .


# AdwCleaner v1.403 - Rapport créé le 29/12/2011 à 13:56:20
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Lydie - LYDIE-PC (Administrateur)
# Exécuté depuis : C:\Users\Lydie\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Lydie\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Program Files (x86)\facemoods.com
Dossier Supprimé : C:\Users\Lydie\AppData\Roaming\Mozilla\Firefox\Profiles\vzrfkljz.default\extensions\[email protected]
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\CT4_CTM
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\CT4_CTS
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\CT4_PAK
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0 (fr)

Profil : vzrfkljz.default
Fichier : C:\Users\Lydie\AppData\Roaming\Mozilla\Firefox\Profiles\vzrfkljz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2298 octets] - [29/12/2011 13:56:07]
AdwCleaner[S1].txt - [1823 octets] - [29/12/2011 13:56:20]

*************************

Dossier Temporaire : 46 dossier(s)et 79 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [2044 octets] ##########

[hackinginterdit]

Bonjour

Relance le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.

C’est OK, ton PC n’est plus infecté. Quelques conseils en vracs !

Il faut modifier tous les mots de passe importants.
De nos jours, la plupart des nuisibles sont créés dans le seul but de voler des informations personnelles et/ou des mots de passe.
Je te conseille de modifier tous les mots de passe importants comme ceux concernant la banque, les sites marchands, les réseaux sociaux, etc...
Il est très important de créer des mots de passe solides et d'utiliser un mot de passe différent pour chaque site.

- Sécurise la navigation avec Firefox Sécurité (NoScript + AdBlock) : https://www.malekal.com/securiser_Firefox.php

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c’est ton problème et non les programmes que tu installes (Antivirus , anti spywares etc etc,)

- Il ne faut pas ouvrir n’importe quel fichier quelque soit le prétexte. Un malware peut s'y cacher.

Proscrire l'utilisation de cracks, keygens et autres warez!
Proscrire l'utilisation de P2P illicite comme:
Azureus, BitTorrent, uTorrent etc!!!!!

- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : http://forum.malekal.com/logiciels-pour ... 15960.html

Sécuriser son ordinateur http://forum.malekal.com/securiser-son- ... -t381.html

Je te souhaite une bonne fin de journée et une joyeuse année sans malwares bien sur

[Wisticrabe]

Bonjour, cela fait 5 jours que je suis infecter par ce virus gendarmerie j'ai tout essayer mais rien n'y fait. Je n'arrive pas a m'en débarrasser. Quand je me connecte en mode sans échec avec prise en charge du réseau ça fait comme si le réseau n'etait pas pris en charge mon ordi s'éteint lorsque que je clique sur invite de commande et quoi que je fasse je n'ai jamais accès a internet je ne peut donc rien télécharger ...

[solarbeam]

Bonjour a tous et a toutes
Pour moi impossible de faire quoi que ce soit Windows 7 / 64
j'ai la version la plus virulente qui remplace explorer.exe

la solution a consisté a démarrer sur un iso windows 7
d'utiliser les options de récupération système
j'ai cliqué sur microsoft diagnostique and recovery toolset
et ensuite j'ai fait un scan avec standalone system sweeper
j'ai fait une mise a jour du logiciel (la base antivirale)
machine connecté en Ethernet câble réseau a la box ...
il as détecté le ransonware en full scan que j'ai interrompue
après 10 mn
j'ai fait ensuite remove ça as prit environ 30S
ensuite reboot et la machine est totalement fonctionnelle

j'ai télécharger malwarebytes j'ai fait un scan il a détecter
les deux explorateur.exe un dans Système 32 et un dans
le système 64 je les ais viré et la machine est totalement clean

[oryprab]

Bonsoir,
j'aimerais savoir à quoi sert de poster le rapport du scan de Malwarebytes ?
Cordialement

[oryprab]

De plus voici le mien :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.24.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Ory :: PC-DE-ORY [administrateur]

24/02/2012 21:51:46
mbam-log-2012-02-24 (21-51-46).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 397387
Temps écoulé: 1 heure(s), 55 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Ory\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\58c4e806-5d07a377 (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Baptiste\AppData\Local\Temp\0.991753249879176767f76.exe (Exploit.Drop.4) -> Mis en quarantaine et supprimé avec succès.

(fin)

Sauf que petit bémol, même après la suppression de ces fichiers, j'ai toujours la page de la gendarmerie qui s'affiche et qui me bloque mon ordinateur. Si quelqu'un aurait une solution. Merci d'avance.
Cordialement.

[angelique]

Créer vos propre sujet ! posting.php?mode=post&f=3