Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Encore du Gendarme


Messages recommandés

Bonjour, et tout d'abord, un grand merci pour ce forum plein de bonnes infos et d'aides.

J'ai contracté le virus de la Gendarmerie nationale (qui remplace explorer.exe par un écran indiquant qu'il faut payer, etc.) et j'ai commencé à chercher des infos pour le supprimer, mais si j'écris ici un sujet, c'est parce que j'ai eu l'impression que le problème se traitait un peu au cas par cas.

Dans mon cas :

- j'ai d'abord fait un reset inefficace, puis j'ai voulu éteindre mon PC, ce qui, à mon avis, a causé un bug du virus (?) : un programme ne voulait pas s'arrêter (le launcher Steam), du coup, j'ai eu le pop-up de Windows ("voulez-vous fermer le programme ?", etc.), et j'ai fait annuler, et du coup, je me suis retrouvé sur mon vrai bureau (alors que le virus devait sans doute encore fonctionner).

- Passé cette étape un peu floue, j'ai téléchargé Malwarebytes et j'ai réalisé un premier scan rapide qui a supprimé diverses choses (dont je n'ai hélas plus le rapport).

- J'ai réalisé ensuite que je n'avais plus accès à taskmgr ("fichier introuvable"), du coup, j'ai réalisé la manip en bas de cette page : Taskmgr ne démarre plus - Forums Zebulon.fr (la réponse de Pear à 5h15 du matin), mais ce qui me fait un peu peur, c'est qu'après coup, je n'ai plus, à cet endroit, aucun signe de taskmgr. Ceci dit, ça fonctionne et j'ai accès à cette fonctionnalité.

- N'osant pas rallumer mon PC suite au coup de chance de l'étape 1, j'ai désinstallé adobe reader/flash/java et j'ai ensuite cherché à les réinstaller (mais ça semble ne pas bien fonctionner).

- J'ai ensuite refait un scan plus complet de Malwarebytes, avec le rapport ci-après: Lien CJoint.com BCilhHvvXcf

- J'ai également fait un ZHPDiag dont voici le rapport : Lien CJoint.com BCiliE1T9Pw

- J'ai également fait un scan RogueKiller dont voici le rapport : Lien CJoint.com BCiloMVa3O2

 

J'espère que ces infos aideront quelqu'un à résoudre mon problème.

J'ai jeté un coup d'œil à la restauration système, mais a priori, je n'aurai rien avant 14h12 aujourd'hui (?). Est-ce que cette restauration vaudrait le coup ? Le virus se déclenche-t-il automatiquement, ou y a-t-il eu une sorte de période de gestation ? ^^' (pour info, je rentre de vacances, et du coup, je n'avais pas touché mon pc depuis 3 jours. Je n'ai vu aucun site "à problème", seulement des sites avec pas mal de pub, en effet, et je pensais que mes reader/flash/java étaient à jour).

 

Merci d'avance pour votre réponse.

Si je pouvais être assez sûr que mon problème est résolu avant d'éteindre mon PC, ce serait cool. Rien ne dit que j'aurais encore la main sur lui en mode normal (non sans échec) au prochain redémarrage...

 

EDIT du 08/03 à 11h : j'ai dû réteindre mon pc pour la nuit, et du coup, au rallumage, j'ai découvert que le virus était toujours là... J'ai refait la même manip que l'étape 1 ci-dessus afin de récupérer le contrôle de mon PC, et ça semble marcher (?).

Avant d'éteindre mon pc hier, j'ai fait un RogueKiller + suppression, dont voici le rapport : Lien CJoint.com BCiljntYAdE

Selon lui ou malewarebytes, il n'y a plus rien oO

Modifié par Vorador
Lien vers le commentaire
Partager sur d’autres sites

Vraiment désolé d'insister, mais y a-t-il quelqu'un qui pourrait m'aider ?

Est-ce que malewarebytes et roguekiller verraient des choses en mode sans échec qu'ils ne voient pas en mode normal ?

Est-ce qu'une réparation via le CD de win7 serait utile ?

Merci par avance

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Windows\system32\19E26F03A48E68879CE6.exe,

 

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

Spybot, totalement obsolète va être désinstallé.

Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.

Téléchargez MBAM

ICI

ou LA

Vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H- PanelHelper.jpg

 

O61 - LFC:Last File Created 30/12/1899 - 16:54:15 --HA- C:\Users\Vorador\AppData\Local\Temp\0AD0B54CA48E68877718.exe [40448] => Infection Rogue (Trojan.Dropper)

[MD5.FD469BADD3718B789F44ED7631211C08] [sPRF][07/03/2012] (.Mister Group - Prior.) -- C:\Users\Vorador\AppData\Local\Temp\0AD0B54CA48E68877718.exe [40448] => Infection Rogue (Trojan.Dropper)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436a-86E4-9690573BEE8A}] => Infection BT (PUP.Dealio)

O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O4 - HKUS\S-1-5-21-1376766976-1508142040-2644589445-1000\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 17/01/2010 - 11:06:54 - [71,393] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 25/10/2009 - 16:12:58 - [0,143] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

[HKCU\Software\Freecorder] => Toolbar.Conduit

O4 - HKCU\..\Run: [steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe => Valve/GameSpy Industries®Steam

O4 - HKUS\S-1-5-21-1376766976-1508142040-2644589445-1000\..\Run: [steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe => Valve/GameSpy Industries®Steam

O87 - FAEL: "{84B6D2A6-3D5D-4D2B-9991-D401A155075D}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{670C2D67-C7BA-42F6-8DBC-2D9E9D3C272C}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

EmptyFlash

EmptyTemp

FirewallRaz

110926125340285987.jpg

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup Pear pour votre implication !

Alors, dans l'ordre :

 

Virustotal (il ne semble pas y avoir d'export du résultat ?) :

Voici un lien Cjoint qui reprend le tableau donné par Virustotal: Lien CJoint.com BCjn2s1e1Q6

ou le lien direct qui semble fonctionner : https://www.virustotal.com/file/624ca1f3130cda3dffe93274ecd09d5dbcb275189bfd933757d4a243a1dfd9d6/analysis/1331297331/

 

Ensuite, pour la suppression de spybot : Lien CJoint.com BCjotShz6QY

A noter que lors de la suppression, j'ai eu un message d'erreur :

Service "SBSD security center service" failed to uninstall, error: "system error code 1060", le service spécifié n'existe pas en tant que service installé

 

J'ai ensuite redémarré, mais, sachant que je retombe ensuite sur l'écran du virus, il m'est difficile d'avoir la main sur mon pc sans faire ma petite manip de reset, ce à quoi je me suis employé ensuite. Du coup, je n'ai pas vu le second rapport de ZHPfix :/

Lors du 2e redémarrage, j'ai eu "une erreur s'est produite lors de l'envoi d'une commande au programme." (avec en en-tête ZHPfix)

Y a-t-il moyen de retrouver l'historique des rapports?

 

PS : on a supprimé Steam ?

Modifié par Vorador
Lien vers le commentaire
Partager sur d’autres sites

on a supprimé Steam ?

 

Seulement du démarrage.

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

 

* Copiez /Collez les lignes ci dessous)

:Processes

:Files

C:\Windows\system32\19E26F03A48E68879CE6.exe

:Services

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Voici le rapport de OTM. Je me lance dans Combofix...

A noter que le gendarme a disparu au démarrage ! L'ordi s'est allumé normalement...

Voici le rapport : Lien CJoint.com BCjpILWyIpp

 

Il y aurait encore beaucoup de choses à supprimer ?

A noter aussi que je ne pourrais brancher tous mes stockages externes pour combofix... En raison d'un manque de ports USB disponibles et d'une capacité de stockage énorme qui engendrerait un scan particulièrement long.

Est-ce extrêmement grave ? Pourrais-je refaire un scan de mes stockages externes petit à petit avec combofix, par la suite ?

 

Merci pour le suivi !

Lien vers le commentaire
Partager sur d’autres sites

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\program files\Bonjour

c:\users\Vorador\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

c:\users\Vorador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

[-HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

CFScriptB-4.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Lien vers le commentaire
Partager sur d’autres sites

Horreur !

J'ai fait comme demandé, le pc a ensuite redémarré, le log s'est affiché, mais je ne peux rien lancer d'autre car j'ai le message d'erreur «tentative d'opération non autorisée sur une clef du registre marquée pour suppression».

Je ne peux donc pas lancer Internet ni vous envoyer le rapport... Que dois je faire?

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...