Auteur Sujet: [Hayden76] Infection par un virus gendarmerie nationale-fichiers locked [Résolu]  (Lu 12417 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Salut à tous.
J'ai moi aussi été infecté, tous mes fichiers sont locked.
Je pense pouvoir récupérer un fichier sain sur un autre ordi et un fichier infecté sur ma machine.
J'ai fait un scan OTL comme c'était conseillé.

Voici le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=20120510_e5o6w11n14q13

Et le fichier Extra.txt
http://pjjoint.malekal.com/files.php?id=20120510_w11d13i14f7u6

C'est grave ? merci pour votre coup de Pouce
Hayden
« Modifié: mai 21, 2012, 21:30:18 par chantal11 »

Security-X


Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Une solution qui a fonctionné pour moi. En tout cas pour l'instant, car le logiciel est en plein travail en ce moment.
Ce logiciel c'est l'anti-malware Kapersky qui a réussi à décrypter et récupérer les fichiers Locked.  :sup:
Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
Il faut cependant avoir une copie d'un fichier "sain" et son "clone" crypté par le malware.
Ensuite, la marche à suivre est très simple et intuitive.
Par contre la désinfection d'un gros fichier peut prendre près de 30 minutes pour un Film HD de 15 Go.  :AAM
Donc armez-vous de patience.

Voici le lien que j'ai utilisé :
http://jeje-info.blogspot.fr/2012/04/edit-solution-decrypter-fichier-infecte.html

Dîtes-moi si ça a marché pour vous, bon courage avec cet horrible virus

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour Hayden76 et bienvenue sur le forum,

Citer
Le soft de désinfection Kapersky Trojan-Ransom.Win32.Rannoh Decryptor Tool est très efficace.
Oui, j'indiquais la marche à suivre dans l'autre sujet
http://forum.security-x.fr/desinfections/infection-par-un-virus-gendarmerie-nationale/msg67404/#msg67404

Tu as donc pu récupérer tous les fichiers indiqués locked ?

J'étudie tes rapports pour continuer le nettoyage.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Non pas tous pour l'instant, mais la récuération est en cours donc c'est bien parti.
Peux-tu préciser Chantal d'après l'analyse de mes fichiers issus de l'analyse OTL de quelle infection j'ai été victime ? J'ai lu quelque part qu'il y en avait 3 principales associées à "Gendarmerie".
Merci

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Le ransomware virus-gendarmerie a eu la part belle sur ton système qui n'est pas à jour (Java, Adobe Reader, Flash Player).
Ces failles de sécurité sont très prisées par toutes les variantes du Virus Gendarmerie.
http://forum.security-x.fr/malwares-315/%28fiches-malware%29-roguescareware-et-ransomware/
http://forum.security-x.fr/malwares-315/%28malware%29-suppression-virus-gendarme-3745/

Quand tu auras récupéré tous tes fichiers indiqués locked , applique ce qui suit.

----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\WebScout Toolbar\tbhelper.dll ()
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=5137
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/webscout/{E40900E1-A828-4232-92B4-E996FA957F55}?q={searchTerms}
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {69A0352C-6112-2797-35A5-CB51C4268042} - No CLSID value found.
    O2 - BHO: (no name) - {ba412d26-9ab5-f045-7850-ff61d87f8dad} - No CLSID value found.
    O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
    O3 - HKLM\..\Toolbar: (WebScout Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\WebScout Toolbar\tbcore3.dll ()
    O3 - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    [2010/11/12 15:24:41 | 000,000,000 | ---D | M] -- C:\Users\Kamel\AppData\Roaming\ClickPotatoLite
    [2011/10/23 04:15:00 | 000,000,352 | ---- | M] () -- C:\Windows\Tasks\Driver Robot.job
    [2011/10/23 04:49:00 | 000,000,334 | ---- | M] () -- C:\Windows\Tasks\PC Medkit.job
    [2011/04/15 16:16:50 | 000,099,384 | ---- | M] () -- C:\Users\Kamel\AppData\Roaming\inst.exe
    @Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86

    :files
    C:\Windows\TEMP\E_SA63D.tmp
    C:\Windows\TEMP\E_S8249.tmp

    :reg
    HKU\S-1-5-21-92678074-1496417961-300675889-1000\Software\Microsoft\Windows\CurrentVersion\Run
    "EPSON SX110 Series (Copie 1)"=-
    "EPSON SX110 Series (Copie 2)"=-
    "AdobeBridge"=-
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    "NPSStartup"=-
    [HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "mctadmin"=-
    [HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "mctadmin"=-

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
----------------------------------------------------------------------------------------------

Puisque tu as Malwarebytes sur ton système, fais une analyse complète :

  Malwarebyte's Anti-Malware :

  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Lance une mise à jour dans l'onglet Mise à jour
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
    http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    http://www.java.com/fr/download/
  • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
    http://get.adobe.com/fr/reader/?promoid=HTEGU
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • mbam-log[date-heure].txt
  • SX Check&Update
@+



 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Ok, je pense que j'en ai encore pour une 20aine d'heures à tout récupérer (si j'y arrive), ensuite, je procéderai comme tu me l'as consellé, je vous tiens au courant.
Merci pour ces précieux tuyaux  :AAF

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Oui, bien sûr, tu n'appliques les procédures indiquées que quand tu auras tout récupéré.
Tu nous diras combien de fichiers tu as récupérés.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
J'ai récupéré TOUT mes fichiers !  :AAC
Mais j'ai copié le script que tu ma'as demandé dans mais OTL plante et se met en OTL ne répond pas.
Du coup, pour me débarasser des fichiers locked, j'ai lanc" une recherche des fichiers locked et je les supprime un par un, c'est super long, mais je pense pouvoir les éliminer tous.
A ton avis, que faut-il que je fasse une fois que la supression "manuelle" est terminée ?
Merci

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Normalement RannohDecryptor se charge d’éliminer les fichiers locked après récupération.
Tu n'as pas lu la procédure dans mon lien.

Citer
Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

Pour le correctif OTL, as-tu bien fermé toutes les applications ouvertes ?
Si Malwarebytes est en résident (version Pro ou d'évaluation), désactive-le temporairement.
Relance OTL comme indiqué et retente le script.
Il faut bien tout copier-coller, y compris le début :OTL
Poste le rapport obtenu.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Je ne sais pas ce qui se passe mais OTL plante même quand je désactive malwarebytes

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Désactive aussi ta protection résidente Panda et retente le script.

Indique-moi à quel moment exactement tu penses que OTL a planté.
Il faut laisser normalement l'outil travailler, tu le laisses tourner combien de temps avant de l'arrêter ?

@+

Message édité :

Essaye tout d'abord de lancer le script OTL en mode sans échec
« Modifié: mai 13, 2012, 10:27:33 par chantal11 »
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
C'est peut-être parce que ma configuration a changé et que j'ai fait une restauration avec une image disque ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
C'est peut-être parce que ma configuration a changé et que j'ai fait une restauration avec une image disque ?

Ce n'est pas gentil de nous faire des farces pareilles  :BBB

Bien sûr, le script OTL ne correspond à plus rien, puisque tu as restauré.

Nous allons quand même, par précaution, vérifier ton système maintenant restauré, si tu le viens.

Je te redonne la procédure.

   OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans Registre approfondi, coche Avec liste blanche
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    Citer
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.
@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Sorry, :oups: j'avais même pas fait le rapprochement, j'ai fait l'analyse en mode sans échec et ça me donne ça :

Pour le fichier OTL
http://pjjoint.malekal.com/files.php?id=20120514_o10l715o8k12

Et pour le fichier Extra
http://pjjoint.malekal.com/files.php?id=20120514_t11r8z6l9c11

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Merci pour les rapports.

   Désinstalle via Programmes et fonctionnalités :

  • Google Toolbar for Internet Explorer (sauf si utilité)
  • Iminent (programme indésirable)
----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :OTL
    IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found
    IE - HKU\S-1-5-21-92678074-1496417961-300675889-1000\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=&ref=toolbox&q={searchTerms}
    O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
    O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
    O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()
    O4 - HKLM..\Run: [Iminent] C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
    O4 - HKLM..\Run: [IminentMessenger] C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab (BDSCANONLINE Control)
    [2012/05/10 20:46:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\IMinent Toolbar
    [2012/05/10 20:46:53 | 000,000,000 | ---D | C] -- C:\Users\Kamel\AppData\Roaming\Iminent
    [2012/05/10 20:46:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
    [2012/05/10 20:46:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
    [2012/05/10 20:46:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Iminent
    [2010/11/13 12:39:25 | 000,000,000 | ---D | M] -- C:\Users\Kamel\AppData\Roaming\Panda Security   
    @Alternate Data Stream - 76 bytes -> C:\Users\Kamel\Desktop\Logo Bretzel Prod.jpg:Roxio EMC Stream

    :reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{11036192-4EC2-47AA-B8AE-A7D7A1614B0E}"=-
    "{19664140-5C45-4EB9-ACBF-A57D2A9D2D20}"=-

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Puisque tu as Malwarebytes sur ton système, fais une analyse complète :

  Malwarebyte's Anti-Malware :

  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Lance une mise à jour dans l'onglet Mise à jour
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
    http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    http://www.java.com/fr/download/
  • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
    http://get.adobe.com/fr/reader/?promoid=HTEGU
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • AdwCleaner(S).txt
  • mbam-log[date-heure].txt
  • SX Check&Update
@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Voici le fichier obtenu après correction avec OTL :
http://pjjoint.malekal.com/files.php?id=20120515_u6h11x15r6v10

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

OK.

Tu peux enchaîner sur AdwCleaner, Malwarebytes et SX Check&Update.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
« Modifié: mai 15, 2012, 14:41:43 par Hayden76 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Tu as installé des applications depuis hier ?


Tu n'as pas suivi les instructions pour AdwCleaner.
Je te demandais d'utiliser directement l'option Suppression.
Tu peux donc relancer AdwCleaner et tu cliques sur Suppression.

Tu postes le contenu de ce rapport dans ta prochaine réponse.

Il est inutile d'héberger les rapports pour les autres outils, tu copies-colles simplement le contenu dans ta réponse.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Malwarebytes Anti-Malware (PRO) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.15.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Kamel :: KAMEL-PC [administrateur]

Protection: Activé

15/05/2012 13:49:54
mbam-log-2012-05-15 (13-49-54).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 659827
Temps écoulé: 1 heure(s), 26 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

OK pour le rapport Malwarebytes.

Poste aussi le rapport de suppression de AdwCleaner, s'il te plaît.

Ensuite tu lances SX Check&Update et tu postes le contenu du rapport demandé.

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
OK  :NNN

Le rapport SX Check&Update maintenant.

 :D
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Euh, je sais pas comment télécharger et lancer SX Check&Update

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Excuse, il manque la 1ère ligne de ma procédure.

Je te la remets ci-dessous :

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Voici le rapport, j'ai 2 mises à jours que je n'arrive pas à faire, ce sont celles associées à CS4

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Service Pack : 1
UserName : Kamel
15/05/2012
22:59:12
version = v0.2.3 
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX 
Version : 11.2.202.235
Flash Player ActiveX  est à jour


---
Java Information :
   Nom : Java(TM) 7 Update 4
   Version : 7.0.40
Java(TM) 7 Update 4 est à jour

Name : Adobe Type Support CS4
Version : 9.0
Adobe Reader n'est pas à jour!

Nom : Adobe Reader X (10.1.3) - Français
Version : 10.1.3
Adobe Reader est à jour

Name : Adobe PDF Library Files CS4
Version : 9.0
Adobe Reader n'est pas à jour!

Nom : Internet Explorer
   Version : 9.0.8112.16421


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
j'ai 2 mises à jours que je n'arrive pas à faire, ce sont celles associées à CS4

N'en tiens pas compte, c'est une anomalie que Igor51 va corriger à son retour.
Ce qui nous intéresse ici c'est Flash Player, Java et Reader et ils sont maintenant à jour sur ton système.
Pour rappel, l'infection Virus Gendarmerie a exploité une de ces failles de sécurité pour s'installer sur ton système, puisque ni Java, ni Reader n'était à jour.

Nous allons donc pouvoir maintenant finaliser la procédure.


---------------------------------------------------------------------------------------------

  Purge points de restauration :


  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :Commands
    [CLEARALLRESTOREPOINTS]
    [EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
  • Relance AdwCleaner et clique sur Désinstaller
  • Supprime SXCU et Rannoh Decryptor de ton Bureau
  • Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :


  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !


  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
    Maintenir Java, Adobe Reader et le player Flash à jour
    Exploitation SWF/PDF et Java - système non à jour = danger


  • Au niveau de Firefox, tu peux sécuriser ta navigation
    Firefox sécurisé


  • Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu
Pourquoi éviter le P2P ? Point législatif et dangers


[/list]

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

@+
 

Hors ligne Hayden76

  • Membres
  • Members
  • Messages: 16
Un très gros thank you pour tous ces précieux conseils Chantal.
J'ai suivi à la lettre tes instructions.
J'essaierai de garder à l'esprit les précautions de mise à jour régulières, à bientôt ;-)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23596
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Bonne continuation et bon surf  :AAC