[Résolu] Virus gendarmerie... le retour !

[OumHilal]

---- 04.10.2012 - 03h36 ----

 

Bonsoir,

 

mon mari a eu la mauvaise surprise de découvrir une nouvelle infection de notre pc familial par le "virus gendarmerie". C'est la deuxième fois que notre pc est infecté et cette fois, j'ai cru que je n'allais pas réussir à le nettoyer car je n'arrivais plus à le faire démarrer en mode sans échec et que la page du virus s'ouvrait quelque soit la manière dont je démarrais le PC. Finalement après maintes et maintes fois, j'ai réussi à forcer le mode sans échec, à lancer MBAM qui m'a trouvé et nettoyé l'infection.

Je ne retrouve plus le premier rapport édité au premier scan, MBAM m'avait trouvé deux infections que j'ai supprimées.

J'ai ensuite pu faire une restauration du syst. à date antérieure.

Puis j'ai lancé Rogue Killer (ms n'ai pas su le lancer en mode sans échec)

Rapport :

Lien CJoint.com BJedFYZz0wn

Lien CJoint.com BJedHqQg50e

Lien CJoint.com BJedH4G7sLY

Lien CJoint.com BJedIILn7a8

 

Ensuite j'ai relancé MBAM

Lien CJoint.com BJedJSu3Kvd

 

J'ai réussi à nettoyer mon PC pr qu'il redevienne fonctionnel. J'aimerais maintenant m'assurer qu'il est propre.

Et surtout rendre mon système plus stable et plus sécurisé car depuis cette première infection

Virus page alerte gendarmerie - Forums Zebulon.fr

, je sens que mon PC est vulnérable.

 

Qui peut m'aider ? Merci d'avance.

 

Système : windows XP SP3 familial

Mon antivirus (avast) est défaillant et je n'arrive plus à le faire fonctionner. J'ai voulu installer antivir à la place mais il semble qu'il y ait conflit entre antivir et MBAM.

 

---- 04.10.2012 - 18h56 ----

 

Bonjour,

 

pendant que je galérais à essayer de désinfecter mon PC, j'ai essayé d'accéder à mes logiciels (MBAM...) en démarrant avec Linux sur CD. J'avais accès à internet mais la connexion ramait à mort et à chaque fois que j'essayais d'aller sur le forum de Zebulon, la page du forum s'affichait puis était bloquée par une demande d'inscription à Twitter.

 

Je le signale parce que j'ai lu ici et là sur le forum que d'autres avaient eu ce souci, mais avec un IPad, contrairement à moi qui suis sur un PC familial classique.

 

Est-ce que les deux pb (virus gendarmerie et site zebulon trusté par twitter) étaient liés ?

 

Merci de l'aide que vous pourrez m'apporter.

 

--------------- EDIT ---------------

 

Regroupement des messages.

Ne pas cumuler les Posts en démarrage de sujet. Ceci induit les Helpers en erreur, en leur donnant l'impression qu'une prise en charge a déjà été effectuée par l'un des leurs.

Tonton.

 

Un p'tit up pr une 'tite réponse plizzzz !

Merci.

Modifié le 29 octobre 2012 par OumHilal
Fusion des 2 Posts

[OumHilal]

Un p'tit up pour une 'tite réponse plizzzz !

Merci.

[OumHilal]

Bonsoir,

 

je viens de découvrir une nouvelle attaque du même ransomware : Virus gendarmerie. La page d'avertissement n'est plus la même et j'ai pu plus facilement accéder au mode sans échec. J'ai lancé Roguekiller et voici les rapports :

Lien CJoint.com BJqr0h7Q7ZG

Lien CJoint.com BJqr0YPoyje

Lien CJoint.com BJqr1tUC6Ud

Je vais lancer MBAM et supprimer les deux programmes qui se sont installés sur mon bureau : Sweetpcfix et sweetim search the web.

 

Qui pourrait, s'il vous plaît, m'aider pour nettoyer enfin cette saleté ? Deux attaques en 15 jours, c'est trop !

Merci d'avance pour votre aide.

[Apollo]

Bonsoir,

 

La cause principale des attaques par les ransomwares et autres malwares est principalement le manque de mises à jour des applications dont on se sert habituellement. (Flash Player dans IE ET autres navigateurs, Java, et bien entendu Windows, etc. en gros tous les programmes installés sur le pc. )

 

Cela doit devenir une habitude de faire ces contrôles >> voir dans ma signature "A tenir à jour" en rouge.

 

Perso, il y a deux programmes que je paie car je ne badine pas avec la sécurité: la licence Windows et ma suite de sécurité. Le reste, ma foi, peut se trouver dans les freewares.

 

J'affirme, quoi qu'en penseront certaines âmes chagrines, qu'il n'y a aucune solution gratuite de sécurité qui vaille une suite payante. Ce qui ne garantit pas nécessairement une sécurité totale; cela dépend du comportement de l'internaute sur le net.

 

Je ne joue jamais avec les P2P et encore moins les cracks, keygens etc. C'est le pire des dangers.

 

JAMAIS, je n'ai chopé le ransomware Gendarmerie ou autre: pourquoi? Parce que j'évite tout ce qui est susceptible de me le faire choper, tout simplement.

 

-----------------

Pour SweetIM et autres toolbars, il faut utiliser AdwCleaner en mode suppression.

 

Poste le rapport stp.

 

Idem pour MBAM si tu as lancé une analyse.

 

@++

[OumHilal]

Bonsoir et merci pour ta réponse Apollo ! (je commençais à désespérer d'obtenir de l'aide sur le forum

 

Merci pour tes mises en garde, j'ai cru sentir de l'énervement ou de la lassitude du genre : "marre de ces gens qui appellent à l'aide et crient au secours qd ils sont infectés, mais qui ne font pas gaffe à ce qu'ils font avec leur PC" Je me trompe ?

 

Tu dis

Je ne joue jamais avec les P2P et encore moins les cracks, keygens etc. C'est le pire des dangers.

JAMAIS, je n'ai chopé le ransomware Gendarmerie ou autre: pourquoi? Parce que j'évite tout ce qui est susceptible de me le faire choper, tout simplement.

Ca fait très longtemps que j'ai arrêté le P2P, (à ma première infection en fait, il y a plusieurs années) quand j'ai compris les dangers que ça comportait. Je ne télécharge jamais de crack...

Donc je ne comprends pas bien pourquoi je me chope à répétition des saletés. En fait, je crois que mon système est instable et c'est vrai que j'ai été négligente vis-à-vis des mises à jour logiciels. J'ai l'impression que mes mises à jour windows ne se font pas convenablement et je n'ai jamais été fouillée plus loin pr confirmer/infirmer cette impression. J'aimerais donc de l'aide pr désinfecter mon PC complètement et le sécuriser ensuite. Peut-être y a-t-il des choses que j'ignore qui le rendent instable.

 

Concernant les mises à jour Windows, quelle est leur fréquence (avec XP) ? Mon impression est qu'on me réclame tjs la même mise à jour mais que celle-ci ne se fait jamais (mais c'est peut-être juste moi qui suis parano, c'est juste une impression).

 

J'ai déjà posté les rapports de Rogue Killer dans mon post précédent et voici celui de MBAM :

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.10.16.08

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.6001.18702

User :: USER-960DE02D0A [administrateur]

 

16/10/2012 18:03:52

mbam-log-2012-10-16 (18-03-52).txt

 

Type d'examen: Examen complet (A:\|C:\|D:\|F:\|G:\|H:\|I:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 322933

Temps écoulé: 1 heure(s), 8 minute(s), 4 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

C:\Documents and Settings\User\Mes documents\Téléchargements\7ZipSetup.exe (PUP.BundleInstaller.BI) -> Mis en quarantaine et supprimé avec succès.

C:\Documents and Settings\All Users\Application Data\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Encore merci pour ton aide.

[Apollo]

Mes commentaires ne visent personne en particulier, c'est général; il n'est pas question d'en avoir marre pour un conseiller, celui qui a ce genre de sentiments n'a qu'à faire autre-chose.

 

Quand on décide d'aider les gens, on fait de son mieux, mais il est vrai que certaines personnes se tapent complètement des avis de prévention (quand on leur en donne... ) Il en est qui désinfectent et basta, la prévention, c'est pas pour eux... ce qui est une erreur monumentale! La prévention est essentielle pour ne pas retomber dans les mêmes pièges.

 

il faut aussi faire gaffe aux endroits où l'on télécharge:

 

Evite les sites alternatifs pour télécharger des programmes, même des sites archi-connus.

 

Va toujours chez l'éditeur d'origine.

 

A éviter particulièrement: Ask, EoRezo et Softonic, 01.net, entr'autres.

 

------------------

Fais une analyse avec l'une des deux solutions proposées par DrWeb: Apollo Et Compagnie :: Analyser avec DrWeb CureIt.

 

Ou avec KVRT, à ton choix: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

N'héberge pas la totalité d'un rapport de ces outils, c'est immense: sélectionne dans le texte, ce qui a été découvert et traité par DrWeb ou Kasper, c'est largement suffisant. (sinon on a des fichiers de 50 Mo :lol )

 

@++

Modifié le 16 octobre 2012 par Apollo

[OumHilal]

Voici le rapport d'AdWcleaner :

 

Lien CJoint.com BJqvta4N9cJ

 

Je passe à la suppression.

[Apollo]

A lire à tête reposée car il y a de la matière

 

Logiciels et sponsors : Questions sur la Sécurité Windows

 

Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

 

++

[OumHilal]

Mes commentaires ne visent personne en particulier, c'est général; il n'est pas question d'en avoir marre pour un conseiller, celui qui a ce genre de sentiments n'a qu'à faire autre-chose.

 

Quand on décide d'aider les gens, on fait de son mieux

Merci pour ta tolérance et ton dévouement !

 

Bon, je suis partagée entre l'envie de vraiment sécuriser mon PC et la tentation de garder certains "outils" qui doivent générer des failles ds mon système.

Quand je disais que je ne savais pas d'où venaient les pb, j'avoue que je sais qu'il y a certaines choses que je devrais supprimer mais auxquelles j'ai du mal à renoncer.

Il s'agit d'une part d'Incredimail, dont on m'avait dit qu'il fonctionnait comme un spyware (c'était oGu sur ce site qui m'en avait parlé) et je vois bien qu'il envoie sans cesse des messages de pub pr d'autres Incredi-produits... et surtout une barre d'outils que j'avais installée pr mon fils, pr lui permettre de progresser plus vite ds son jeu (c'est un jeu bigpoint, qui s'appelle Zoomumba et qui est un jeu d'"évolution", un peu comme farmville & co...). Bon,mais je vois qu'AdwareCleaner a tranché pr moi et l'a supprimée. Quels sont les dangers de ces deux machins (incredimail et la barre d'outils bigpoint ) ?

 

Pr en revenir à la désinfection, j'ai lancé la suppression d'Adw Cleaner, qui semble avoir fait un super boulot, car il a supprimé des vieux résidus de mon PC. Voici le rapport :

Lien CJoint.com BJqwsr2IBl0

 

Je lirai à tête reposée tes liens. Merci.

J'ai lu les explications concernant les sites qui proposent des logiciels à télécharger et en profitent pr installer des trojans et autres adwares, comme O1.net.

C'est quand même super pernicieux et révoltant !

 

Sinon, pour finir, tu as dit :

Perso, il y a deux programmes que je paie car je ne badine pas avec la sécurité: la licence Windows et ma suite de sécurité. Le reste, ma foi, peut se trouver dans les freewares.

Quand tu parles de la licence Windows, tu veux dire que ta version de Windows est officielle ou tu parles d'une licence à repayer chaque année (jamais entendu parler de ça)?

 

Merci encore pour ton aide et tes explications d'expert!

[Apollo]

Ahhh bin non, hein, je paie Windows une seule fois, c'est bon comme ça hein

 

D'ailleurs j'ai encore deux licences XP Home et une pour... Win98 2e édition mdr.

 

J'ai lu les explications concernant les sites qui proposent des logiciels à télécharger et en profitent pr installer des trojans et autres adwares, comme O1.net.

C'est quand même super pernicieux et révoltant !

Eh!oui Madame, mais les sirènes du fric de la pub crée ces trucs honteux et sur un site qui a été sérieux, c'est intolérable, car beaucoup de personnes lui a fait confiance pendant longtemps...

 

Antivir leur a d'ailleurs remis les idées en place s'ils voulaient continuer à héberger leur logiciel. (mais antivir n'est pas à l'abri des reproches non plus avec sa Ask Toolbar dans la version free).

 

Incredimail? ça ne date pas d'hier, il faut lire tout l'article car on se met en danger mais aussi ses contacts... Incredimail

 

Quant aux mises à jour diverses, on les fait soit manuellement soit à l'aide du PSI de Secunia. Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

++

 

Je reste à ta disposition si tu as toujours des ennuis ou si tu as besoin de renseignements

 

@++

Modifié le 16 octobre 2012 par Apollo