Virus "gendarmerie nationaleRésolu/Fermé

Question

Bonjour, 


Je pense que je viens d'etre victime d'un virus qui met un pseudo message de la gendarmerie nationale indiquant l'opérateur et une adresse IP. Et je ne sais pas trop quoi faire, c'est pourquoi je sollicite de l'aide, je vous en remercie d'avance.

Bien Cordialement.


Configuration: Windows 7 / Internet Explorer 8.0

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

sky · Answer

Merci ça marche.

g3n-h@ckm@n · Answer

pas fini poste le rapport hebergé comme demandé

Hp67 · Answer

Bonjour,

J'ai suivie les instructions, et voici le résultat http://pjjoint.malekal.com/files.php?id=20111211_j13d6h126k8.

Merci

Hp67 · Answer

Avez-vous bien reçu le lien je sais pas si ça a fonctionné correctement?!

g3n-h@ckm@n · Answer

desinstalle Softonic_France Toolbar  (et ne telecharge plus chez eux ce sont des distributeurs d'adwares , ils les planquent dans les installeurs de programmes)

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]    
"{6F4592A1-356F-1F39-05EB-FFB069CBE69E}"=-
"khclr85t.exe"=-      
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
""=-      
"iTunesHelper"=-
"QuickTime Task"=-
[-HKEY_CLASSES_ROOT\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6436941a-8ad6-42c7-b210-f43face58219]
[-HKCU\Software\0b5adf37]      
[-HKCU\Software\Official-eMule]
[-HKCU\Software\Softonic]   
[-HKLM\Software\3wPlayer]
[-HKLM\Software\Official-eMule]
[-HKLM\Software\Softonic_France]  

file::
C:\Users\Dallel\AppData\Roaming\khclr85t.exe   
C:\Users\Dallel\AppData\Roaming\GhostObjGAFix.xml      
C:\Users\Dallel\AppData\Local\Temp\Low\CLWDB8D.tmp      

folder::
C:\Users\Dallel\AppData\Roaming\Biaf
C:\Program Files (x86)\Softonic_France
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\List_Kill'em    
C:\Users\Dallel\AppData\Roaming\Odnyun      
C:\Program Files (x86)\Conduit    
C:\Program Files (x86)\Softonic_France    

attrib::                      

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Hp67 · Answer

Salut,

J'ai obtenu ceci:
http://pjjoint.malekal.com/files.php?id=20111212_x15f13k6o14r5

merci!!

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

==========


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Hp67 · Answer

voici le rapport de ADWCleaner :
http://pjjoint.malekal.com/files.php?id=20111212_p5p7f7r14v12
et je fais la suite!!

g3n-h@ckm@n · Answer

tu m'as remis un rapport Pre_script ^^

Hp67 · Answer

Ben en faite j ai aussi eu un doute, mais j'avais l'impression qu'il provenait de ADWCleaner... désolée !! par contre on le retrouve ou?
Et je viens de faire l'analyse Malawarebytes:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8360

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

13/12/2011 01:24:52
mbam-log-2011-12-13 (01-24-52).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 379915
Temps écoulé: 1 heure(s), 23 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\3wPlayer (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Kill'em\quarantine\0.3277716017679765.exe.kill'em (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\a916.tmp.kill'em (Rogue.PrivacyProtection) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\f820.tmp.kill'em (Rogue.PrivacyProtection) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\~!#6c74.tmp.kill'em (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\~!#7a3b.tmp.kill'em (Trojan.Agent) -> Quarantined and deleted successfully.

g3n-h@ckm@n · Answer

c:\adwcleaner[S1].txt

Hp67 · Answer

Salut,

Oui je l'ai trouvé:
# AdwCleaner v1.402 - Rapport créé le 12/12/2011 à 23:44:24
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dallel - DALLEL-PC (Administrateur)
# Exécuté depuis : C:\Users\Dallel\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Dallel\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Dallel\AppData\LocalLow\PriceGong

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT1750559
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2542115
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1588 octets] - [12/12/2011 23:44:24]

*************************

Dossier Temporaire : 40 dossier(s)et 106 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1810 octets] ##########


Et donc le resultat de malawarebytes et ds le message précédent.

merci!!!

g3n-h@ckm@n · Answer

plus de soucis ?

Hp67 · Answer

Ben en faite je crois que ça va, a part le premier jour ou j'ai eu la fameuses page signalant l'infection je n'ai pas eu d'autres signes et j'ai bien vu que lors de l'analyse de malawarebytes il y avait 5 elements detectés.

g3n-h@ckm@n · Answer

oui dans la quarantaine de pre_scan ^^ Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Hp67 · Answer

J'ai un petit soucis, pureRa se presente sous forme compressé et qd je clic D ça ne me propose pas "executer en tant qu'admini." je suis bloquée !!

g3n-h@ckm@n · Answer

extraire ici , puis ensuite exec...etc

Hp67 · Answer

Merci,
et voici le resultat : Total space cleaned: 1343802126 bytes

Hp67 · Answer

et voici le resultat de Delfix:
# DelFix v8.7 - Rapport créé le 13/12/2011 à 18:16:37
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dallel - DALLEL-PC (Administrateur)
# Exécuté depuis : C:\Users\Dallel\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\RSIT
Supprimé : C:\Kill'em
Supprimé : C:\32788R22FWJFW
Supprimé : C:\Program Files (x86)\Navilog1
Supprimé : C:\Program Files (x86)\List_Kill'em
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\List'em.txt
Supprimé : C:\Users\Dallel\Desktop\adwcleaner.exe
Supprimé : C:\Users\Dallel\Desktop\Pre_scan.exe
Supprimé : C:\Users\Dallel\Desktop\Pre_Scan_11_12_2011_11_41_52.txt
Supprimé : C:\Users\Dallel\Desktop\Pre_Script.exe
Supprimé : C:\Users\Dallel\Desktop\Pre_script.txt
Supprimé : C:\Users\Dallel\Desktop\RSIT.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1807 octets] - [13/12/2011 18:16:37]

########## EOF - C:\DelFix[S1].txt - [1931 octets] ##########

g3n-h@ckm@n · Answer

ok

1.3Go de gagnés avec PurerA ^^

Hp67 · Answer

Bonjour,


Merci beaucoup!!!!!
Je suis entraint de finaliser les étapes, j'ai juste une petite question j'ai bcp d'alerte sécurité et notamment lorsque j'essaye d'acceder à ma boite mail "la connexion que vs allez utiliser n'est pas sécurisée. d'autres utilisateurs du web pourront dorénavant accéder aux info que vs envoyez" alors j'ose pas y aller sur mon ordi!!!
Je te remercie infiniment pr ton aide :-)

g3n-h@ckm@n · Answer

bof je fais ok en cochant la case "ne plus afficher" et c est reglé...

Hp67 · Answer

OK, merci, j'avais une appréhension... mais c'est bon!!!
J'essaye de trouver comment mettre le topic en résolu, mais j'y arrive pas j'ai regardé le lien mais  :-(
Et concernant les clé USB que j'avais mis qd j'avais mon virus avant de les remettre sur l'ordi il faut les analyser? les désinfecter?

Hp67 · Answer

c'est bon je l'ai mis en résolu!!!!

g3n-h@ckm@n · Answer

tu peux faire ca :

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques USB sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

lucie · Answer

Bonsoir, j'ai suivi les instructions et voici le rapport de malwarebytes' :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8371

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

14/12/2011 22:55:05
mbam-log-2011-12-14 (22-55-05).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 396970
Temps écoulé: 35 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Luciole\AppData\Local\Temp\0.017379044157142642.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\Luciole\AppData\Local\Temp\0.9616439228649043.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.


Que dois-je faire maintenant ?
Merci pour la réponse

g3n-h@ckm@n · Answer

bonsoir t'ouvrir un nouveau sujet est le mieux :)

lucie · Answer

C'est à dire ?
Merci

g3n-h@ckm@n · Answer

clique sur ce lien il va t'y amener directement :) 

https://forums.commentcamarche.net/forum/virus-securite-7/new 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Hp67 · Answer

salut, 

J'ai mon antivirus qui vient de detecter un virus.
Pourtant y avait plus rien y a 2 jours!!!! :-(((
Et j'ai pas encore nettoyé mes clé USB, mais je ne les ai pas mises non plus, dc je sais pas.


Merci,merci.

g3n-h@ckm@n · Answer

hello avec si peu d'infos

Hp67 · Answer

J'ai mon antivirus qui a detecter un élément suspect mais c'est vrai, je sais pas trop ce que c'est, par contre j'ai remarqué qu'il y a pas mal de pub qui s'ouvrait, est ce que je dois faire une analyse avec malwarebytes pr confirmer (ou infirmer) cette trouvaille!!

g3n-h@ckm@n · Answer

sur quel fichier ?

Hp67 · Answer

voici le rapport de l'antivirus:


Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 15 décembre 2011  12:00

La recherche porte sur 3573493 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista 64 Bit
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : DALLEL-PC

Informations de version :
BUILD.DAT               : 9.0.0.81      21698 Bytes  22/10/2010 12:02:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.11.0.0   13342208 Bytes  14/12/2010 16:52:06
VBASE002.VDF            : 7.11.3.0    1950720 Bytes  09/02/2011 17:27:38
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 20:04:06
VBASE004.VDF            : 7.11.8.178   2354176 Bytes  31/05/2011 13:35:37
VBASE005.VDF            : 7.11.10.251   1788416 Bytes  07/07/2011 19:42:55
VBASE006.VDF            : 7.11.13.60   6411776 Bytes  16/08/2011 14:14:02
VBASE007.VDF            : 7.11.15.106   2389504 Bytes  05/10/2011 19:36:37
VBASE008.VDF            : 7.11.18.32   2132992 Bytes  24/11/2011 18:50:07
VBASE009.VDF            : 7.11.18.33      2048 Bytes  24/11/2011 18:50:08
VBASE010.VDF            : 7.11.18.34      2048 Bytes  24/11/2011 18:50:08
VBASE011.VDF            : 7.11.18.35      2048 Bytes  24/11/2011 18:50:08
VBASE012.VDF            : 7.11.18.36      2048 Bytes  24/11/2011 18:50:08
VBASE013.VDF            : 7.11.18.89    204800 Bytes  28/11/2011 20:40:00
VBASE014.VDF            : 7.11.18.145    143872 Bytes  01/12/2011 13:13:46
VBASE015.VDF            : 7.11.18.180    173056 Bytes  02/12/2011 20:39:18
VBASE016.VDF            : 7.11.18.208    164864 Bytes  05/12/2011 20:39:21
VBASE017.VDF            : 7.11.18.239    177152 Bytes  06/12/2011 22:44:57
VBASE018.VDF            : 7.11.19.36    171520 Bytes  09/12/2011 20:26:39
VBASE019.VDF            : 7.11.19.77    144896 Bytes  13/12/2011 12:35:06
VBASE020.VDF            : 7.11.19.115    177664 Bytes  15/12/2011 08:31:19
VBASE021.VDF            : 7.11.19.116      2048 Bytes  15/12/2011 08:31:19
VBASE022.VDF            : 7.11.19.117      2048 Bytes  15/12/2011 08:31:19
VBASE023.VDF            : 7.11.19.118      2048 Bytes  15/12/2011 08:31:19
VBASE024.VDF            : 7.11.19.119      2048 Bytes  15/12/2011 08:31:19
VBASE025.VDF            : 7.11.19.120      2048 Bytes  15/12/2011 08:31:19
VBASE026.VDF            : 7.11.19.121      2048 Bytes  15/12/2011 08:31:19
VBASE027.VDF            : 7.11.19.122      2048 Bytes  15/12/2011 08:31:19
VBASE028.VDF            : 7.11.19.123      2048 Bytes  15/12/2011 08:31:20
VBASE029.VDF            : 7.11.19.124      2048 Bytes  15/12/2011 08:31:20
VBASE030.VDF            : 7.11.19.125      2048 Bytes  15/12/2011 08:31:20
VBASE031.VDF            : 7.11.19.126      2048 Bytes  15/12/2011 08:31:20
Version du moteur       : 8.2.8.2  
AEVDF.DLL               : 8.1.2.2      106868 Bytes  25/10/2011 19:06:38
AESCRIPT.DLL            : 8.1.3.90     491899 Bytes  08/12/2011 22:45:01
AESCN.DLL               : 8.1.7.2      127349 Bytes  22/11/2010 21:31:26
AESBX.DLL               : 8.2.4.5      434549 Bytes  02/12/2011 20:39:27
AERDL.DLL               : 8.1.9.15     639348 Bytes  10/09/2011 15:18:01
AEPACK.DLL              : 8.2.15.1     770423 Bytes  13/12/2011 12:35:10
AEOFFICE.DLL            : 8.1.2.23     201083 Bytes  13/12/2011 12:35:08
AEHEUR.DLL              : 8.1.3.6     3895670 Bytes  08/12/2011 22:45:00
AEHELP.DLL              : 8.1.18.0     254327 Bytes  25/10/2011 19:06:33
AEGEN.DLL               : 8.1.5.17     405877 Bytes  08/12/2011 22:44:56
AEEMU.DLL               : 8.1.3.0      393589 Bytes  22/11/2010 21:31:13
AECORE.DLL              : 8.1.24.0     196983 Bytes  25/10/2011 19:06:33
AEBB.DLL                : 8.1.1.0       53618 Bytes  24/04/2010 15:15:09
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 10.0.0.9     174120 Bytes  05/03/2011 18:42:39
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PFS,

Début de la recherche : jeudi 15 décembre 2011  12:00

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'calc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'HPSA_Service.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DVDAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés
Processus de recherche 'PresentationFontCache.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LightScribeControlPanel.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPAdvisor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sttray64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SmartMenu.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WLIDSVCM.EXE' - '0' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WLIDSVC.EXE' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPDrvMntSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '0' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AESTSr64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'armsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atieclxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'hpservice.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'stacsv64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'atiesrxx.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
'21' processus ont été contrôlés avec '21' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '22' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Users\Dallel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3b7abd48-4ca16e4c
  [0] Type d'archive: ZIP
    --> Market.class
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/2011-3544.A.1
Recherche débutant dans 'D:\' <RECOVERY>

Début de la désinfection :
C:\Users\Dallel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3b7abd48-4ca16e4c
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f20ebc0.qua' !


Fin de la recherche : jeudi 15 décembre 2011  13:43
Temps nécessaire:  1:37:55 Heure(s)

La recherche a été effectuée intégralement

  37190 Les répertoires ont été contrôlés
 638107 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 638104 Fichiers non infectés
   3257 Les archives ont été contrôlées
      2 Avertissements
      3 Consignes

g3n-h@ckm@n · Answer

tu as bien mis java à jour ?

Hp67 · Answer

La je viens de le faire, tu pense que ça peut etre lié à java?!

g3n-h@ckm@n · Answer

C:\Users\Dallel\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3b7abd48-4ca16e4c

Hp67 · Answer

Cette ligne prouve que ça peut venir de java? c'est ça?! 
Et le fait d'avoir effectué la mise à jour, ça peut résoudre le pb?!

g3n-h@ckm@n · Answer

passe un coup de ccleaner , puis refais une alnalyse avec ton antivirus

au fait , Antivir est à la version 10 il me semble.....

Hp67 · Answer

C'est réglé comme par magie, je te remercie!!!!!!!

nemrod18 · Answer

Bonsoir,

J'ai débloqué l'ordi d'un ami avec ce site : https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

g3n-h@ckm@n · Answer

c'est un peu tard ^^

charpok · Answer

bonjour, 
j'ai aussi été affecté par ce virus et j'ai fais la première étape et voila ce que j'ai obtenu  http://pjjoint.malekal.com/files.php?id=20111222_s7p9h15t10t14, qu'es ce que je dois faire maintenant?

charpok · Answer

oui j'ai essayé mais je n'arrive pas a redémarrer mon pc en mode sans echec

darkputsh · Answer

salut moi aussi j'ai eu ce virus et voilà ce que j'ai obtenu: http://pjjoint.malekal.com/files.php?id=20120105_o8v10r8f9f10
Voilà, que dois-je faire maintenant ?

g3n-h@ckm@n · Answer

salut ouvrir un nouveau sujet Merci

math · Answer

Bonjour, voila en allumant mon netbook jai pu voir qu'un message de la gendarmerie nationale apparaissait apres avoir saisie mon mot de passe. Probleme c'est que jai lu vos post precedent, mais moi je ne peux rien faire. Je ne peux meme pas acceder a mon scan antivirus. Auriez vous une solution ?
 Merci davance

g3n-h@ckm@n · Answer

salut il faut t'ouvrir un nouveau sujet merci

Virus "gendarmerie nationale

49 réponses

Discussions similaires

Newsletters