Après éradication virus gendarmerie, ordi portable bloqué

Résolu/Fermé
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013 - 26 mai 2013 à 13:17
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 mai 2013 à 17:58
Bonjour,

Je me présente, je m'appelle Marie. Je découvre votre forum que j'ai longuement visité pour y trouver une éventuelle solution à mon problème, en vain. Avant de m'inscrire, j'ai également parcouru beaucoup de pages aussi intéressantes les unes que les autres. Je me lance donc en espérant que vous pourrez m'aider. J'essaie d'être le plus claire possible (mais malade avec 39°... ce n'est pas gagné).

Je ne suis pas une pro, bien que j'en apprends beaucoup par le biais des forums. Toutefois, je parviens toujours à me débrouiller, sauf aujourd'hui. Je me connecte à partir de mon propre portable pour pouvoir échanger avec vous, ce sera, à mon sens, plus simple. Je vous explique :

Mon conjoint a eu sur son portable (Acer Aspire 6930G sous vista) un virus gendarmerie. C'est la troisième fois que ça lui arrive. Les deux précédentes, je suis parvenue à régler le problème assez rapidement d'ailleurs, mais pas cette fois et la page du virus était également différente des précédentes. Le virus a aussi supprimé tous les points de restauration, je ne peux donc pas faire de restauration système à une date antérieure.

Je précise que j'ai tenté de faire une restauration à partir des cd de restauration qu'il avait fait, mais ça ne marche pas, car Mr les avait fait sur dvd et l'ordi affiche un message indiquant que les dvd ne sont pas valides. Il y en a deux.

Cette semaine, j'ai démarré en Mode sans échec avec prise en charge du réseau, téléchargé Malwarebytes et fais l'analyse. Il a découvert le virus et l'a mis en quarantaine, je l'ai donc supprimé. J'ai refait un nouveau scan, il n'y avait plus rien. J'ai également téléchargé RogueKiller qui a trouvé 2 logiciels malveillants et les a supprimé. Lorsque j'ai redémarré en mode normal, l'ordi s'est allumé et a atteint le bureau. A partir de là, il est resté bloqué sur le bureau, je ne peux donc rien faire.
Hier et aujourd'hui, j'ai tenté de l'allumer, il démarre, mais il bloque sur le bureau où aucune icone n'est cliquable. Par contre, il démarre bien en Mode sans échec avec prise en charge du réseau.
Je ne sais plus quoi faire, si vous pouviez m'aider ce serait vraiment génial.

Je vous joins les liens suivants :

Rapport MalwareBytes : https://www.cjoint.com/c/CEzokTKUQEk
Rapport RogueKiller : https://www.cjoint.com/c/CEzopjGg0O5

Au plaisir de vous lire, à bientôt,

Marie



A voir également:

17 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 13:38
1
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
Modifié par sos75 le 26/05/2013 à 13:42
Bonjour,
Et merci de me répondre.
Je ne saurai absolument pas dire si il y a avait le logo Hadopi. Je me souviens juste qu'il était écrit "Office centrale de la criminalité...". Mais impossible de me souvenir du reste.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 13:57
Vu la détection Malwarebyte, on dirait Reveton ou Urausy.
et là tu peux aller en mode sans échec sur la session infectée ou tu vas sur une autre ?
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
Modifié par sos75 le 26/05/2013 à 14:16
J'ai fait MalwareBytes et Roguekiller en passant par le mode sans echec avec prise en charge réseau. Je n'avais pas d'autre solution. Apparemment, le virus n'est plus là, mais l'ordi bloque sur le bureau en mode normal. Je n'ai pas d'autre session.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 14:17
ok,

Sur le bureau qui ne démarre pas.
CTRL+ALT+Suppr et gestionnaîre de tâches.
Menu Fichier / Nouvelle tâche
tape explorer.exe et OK.

Ca doit ouvrir le bureau.

Menu Démarrer et tape regedit et OK.

Déroule à gauche :

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

A droite, supprimer la clef Shell

Redémarre l'ordinateur
1
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 14:24
"Sur le bureau qui ne démarre pas.
CTRL+ALT+Suppr et gestionnaire de tâches."

Le problème c'est que sur le bureau qui ne démarre pas, je n'ai pas cette possibilité. Comme il reste bloqué, le CTRL+ALT+Suppr ne répond pas.
Ça ne répond que en Mode sans échec.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 14:25
ok en mode sans échec :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 26/05/2013 à 15:23
C'est la variante Reveton que tu as.
Y aurait pas SpeedMax ou DriverCure qui se lance et c'est après l'avoir fermé que tout se bloque ?


Vas dans le Panneau de Configuration puis Programmes et Fonctionnalités
Désinstalle
DriverCure
Messenger Plus Live France Toolbar
Speedmax

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O2 - BHO: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes0.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\tbMes0.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2567681
[2013/05/17 16:31:05 | 000,002,584 | ---- | C] () -- C:\ProgramData\1dvh.js
[2013/05/16 15:43:40 | 095,023,320 | ---- | C] () -- C:\ProgramData\1dvh.pad
[2013/05/26 11:42:11 | 000,000,000 | ---D | C] -- C:\Users\patrick\AppData\Roaming\DriverCure
[2013/05/26 11:42:10 | 000,000,000 | ---D | C] -- C:\Users\patrick\AppData\Roaming\SpeedMaxPc
[2013/05/26 11:42:02 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc
[2013/05/16 15:42:41 | 000,128,000 | ---- | C] (Hilgraeve, Inc.) -- C:\Users\patrick\2239243.dll

* redemarre le pc sous windows et poste le rapport ici

Vois ce que cela donne.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 15:31
Je ne trouve pas speedmax et drivercure dans programmes et fonctionnalités... C'est gênant ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 15:35
continue alors avec OTL.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 16:21
Y a deux antivirus sur le PC
Avast et Microsoft Security Essentials.

C'est pas bon.
Désinstalle les deux, car Avast! ne semble pas à jour.
Tu le réinstalleras plus tard.

Est-ce que tu peux créer une nouvelle session en mode sans échec ?
(Panneau de Configuration / Compte utilisateurs).
Ca donne quoi si tu vas dessus en mode normal ?
1
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 16:45
Concernant Avast, je l'avais retiré (par programmes et fonctionnalités) avant d'installer MSE. Bizarre ! Et là, je ne le vois nulle part. Où le trouver ?

J'ai pu créer un compte "invité", même si ça a été long, mais ça reste là aussi sur un écran noir. Curseur de la souris présent et CTR+ALT+SUP ne fonctionne pas.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 16:49
Désinstalle \Acer Bio Protection

Vois ce que cela donne.


- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.


1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 17:25
Désinstalle
BingBar
Bonjour
Google Toolbar


Relance HijackThis (si tu es sur Vista/Seven - faire un clic droit et executer en tant qu'administrateur) et coche ces lignes :

O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

==> clic sur fix checked


Redémarre l'ordinateur
1
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 14:27
ok, je fais ça et je reviens.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 15:09
Coucou Malekal_morte,

Me revoici avec les rapports :

OTL : https://pjjoint.malekal.com/files.php?id=20130526_n13i10r12r13e7
et Extra : https://pjjoint.malekal.com/files.php?id=20130526_w6x8n811k7

Merci pour ton aide.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 15:55
J'ai donc continué OLT comme tu m'as dit.

Voici le rapport : https://pjjoint.malekal.com/files.php?id=20130526_u9i10b7t9q11

J'ai redémarré sous Windows. L'écran est noir, le curseur de la souris n'apparaît pas. Et CTR+ALT=SUP ne fonctionne pas non plus.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 15:58
c'est pas bon pour OTL tu as refait un scan.
Faut faire une correction.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 16:04
ok, excuse-moi, je recommence.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
Modifié par sos75 le 26/05/2013 à 16:17
Cette fois, j'ai bien fait correction. Désolée.

Voici le lien du rapport : https://pjjoint.malekal.com/files.php?id=20130526_p810h14e10r10

J'ai redémarré sous Windows. L'écran est noir, mais le curseur de la souris apparaît. Et CTR+ALT=SUP ne fonctionne pas non pas.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 16:59
J'ai désinstallé Acer Bio Protection puis redémarré en Mode normal. J'ai le bureau qui fonctionne apparemment mais qui est très long.

Que penses-tu que je doive faire ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 17:01
A priori, y a plus d'infections.
Si tu redémarres, c'est toujours long le démarrage ?
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 17:04
Oui assez long.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 17:06
Bha fais HijackThis pour voir.
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 17:12
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 17:42
C'est mieux sauf lent au démarrage. Sinon en navigation c'est nikel. Dois-je garder MalwareBytes et OLT, ou bien dois-je les supprimer ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mai 2013 à 17:49
Garde Malwarebyte.

~~

Pour information, les virus gendarmerie vont essentielles sur les sites de streaming / pronograhiques via des publiticités malicieuses (voir https://www.malekal.com/tag/malvertising/ ).
Ces infections tirent parties du fait que des logiciels non à jour et vulnérables (java, adobe reader etc) sont installés sur le PC.

~~

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
26 mai 2013 à 17:52
Ok, je vais lui mettre tout à jour. Je te remercie beaucoup pour l'aide que tu m'as apportée.
Si tu as besoin d'aide (je suis écrivain public) dans mon domaine, n'hésite pas à me contacter.

Au plaisir.
Marie
0
sos75 Messages postés 23 Date d'inscription dimanche 26 mai 2013 Statut Membre Dernière intervention 13 juin 2013
27 mai 2013 à 13:11
Coucou Malekal_morte,

Me revoici avec un problème sur mon portable personnel cette fois-ci.
Je le trouve anormalement long depuis ce matin. Ces derniers temps, il était un peu long, mais aujourd'hui c'est pire. Dis-moi si tu peux m'aider (et/ou si je dois ouvrir un autre sujet et où)

Je te mets tout de même les rapports que j'ai fait (MalewareBytes, RogueKiller, OLT et HijackThis) ce jour pour peut-être avancer un peu.

MalewareBytes : https://pjjoint.malekal.com/files.php?id=20130527_v14o12f7s11l7

RogueKiller : https://pjjoint.malekal.com/files.php?id=20130527_v13k10x12u8h10

OLT : https://pjjoint.malekal.com/files.php?id=20130527_h15p5j7u13h5

Extras : https://pjjoint.malekal.com/files.php?id=20130527_b10h8s14u13d7

HijackThis : https://pjjoint.malekal.com/files.php?id=HijackThis_20130527_c15r5o13e13v6

Merci à toi, à très vite.

Marie
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
27 mai 2013 à 17:58
Je ne pense pas pouvoir faire qq chose pour les lenteurs.
Essaye de désinstaller Malwarebyte et de le réinstaller plus tard.

Peut-être qu'i lfaut envisager de réinstaller Windows, si tu veux récupérer la rapidité d'antan.
0