Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Gilles le juin 08, 2012, 15:12:09

Titre: Infection Gendarmerie
Posté par: Gilles le juin 08, 2012, 15:12:09

Bjr, je suis infecté par le virus Gendarmerie.
Je pense avoir désinfecté mon PC, hélas il reste de nombreux fichiers  "locked".
Merci pour un coup de main.

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 08, 2012, 15:38:00

Bonjour Gilles et bienvenue sur SX,

Nous allons tout d'abord nous assurer que le Virus Gendarmerie n'est plus actif sur ton système.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   OTL :

• Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de Old_Timer et enregistre le sur le Bureau
  
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
   /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  
  Citer

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  CREATERESTOREPOINT
  
• Clique ensuite sur Analyse et patiente le temps du scan
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  
• Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr (http://pjjoint.malekal.com/) et indique les liens fournis dans ta réponse.
  Les rapports sont sauvegardés sur le Bureau.

D'autre part si tu as des rapports à fournir si tu as utilisé des outils ?

@+

Titre: Re : Infection Gendarmerie
Posté par: Gilles le juin 08, 2012, 18:02:51

Merci pour ton aide,

j'ai suivi tes indications mais au cours de l'analyse il s'est affiché le msg d'erreur suivant : LIST INDEX OUT OF BOUNDS (21) et a donc stoppé sur la ligne "Application Even Log Record 11251..".
L'analyse s'est donc arrêtée et aucune action possible.

@+

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 08, 2012, 18:57:29

Re,

Tu es sous quel système d'exploitation ?
Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Si ton antivirus est Avast, veille à ne pas lancer OTL dans la Sandbox.

Si malgré tout le message d'erreur persiste, fais ce qui suit.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RogueKiller :

• Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
  
• /!\ Important -> Quitte tous les programmes en cours
  
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Patiente le temps du Prescan, puis clique sur Scan
  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.sur-la-toile.com%2F4Z2Y&hash=e0448063f7abd408bec396e63a86c098d7ec20bf)
  
• Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

@+

Titre: Re : Infection Gendarmerie
Posté par: Gilles le juin 08, 2012, 20:04:51

J'avais justement utilisé RogueKiller avant de lancer l'aide suite aux fichiers "locked"

Mon système est windows 7 et mon antivirus Mc Afee Security Center.

J'ai été vigilant au lancement par "executer en tant qu'administrateur".

J'ai tout de même relancé RogueKiller.....rien d'anormal.

Je souhaiterais maintenant résoudre le pb des fichiers locked impossible à ouvrir.

Merci de suivre mon pb

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 08, 2012, 20:56:57

Re,

Oui, mais il faut quand même s'assurer que tout a bien été nettoyé.

Tu peux poster le contenu du rapport RogueKiller, s'il te plaît ?

Tu avais utilisé aussi Malwarebytes ?
Si oui, poste aussi le rapport (dans l'onglet Rapports/Logs)

On va changer d'outil pour le diagnostic.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   ZHPDiag :

• Télécharge ZHPDiag2.exe (http://telechargement.zebulon.fr/telecharger-zhpdiag.html) de Nicolas Coolman et enregistre-le sur ton Bureau
  Sous IE9, le filtre Smart Screen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  
• Double-clique sur ZHPDiag2.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
  
• L'outil a créé 3 icônes ZHPDiag, ZHPFix et MBRCheck sur le Bureau (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fth%2Ficanes10.jpg&hash=50f7222369929facefa3622ce5c30d2e538ef506) (http://www.servimg.com/image_preview.php?i=577&u=12972154)
  
• Double-clique sur ZHPDiag pour lancer l'outil
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur la loupe (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Floupe10.jpg&hash=091d54dc83e26f7a02b2dec5ed16ad043ba286f1) (http://www.servimg.com/image_preview.php?i=613&u=12972154) pour lancer l'analyse et patiente jusqu'à ce que le scan affiche 100%
  Referme ZHPDiag
  
• Le rapport ZHPDiag.txt se trouve sur le Bureau.
  Ce rapport étant trop long pour le forum, héberge-le sur pjjoint.fr (http://pjjoint.malekal.com/) et copie-colle le lien fourni dans ta réponse.

@+

Titre: Re : Infection Gendarmerie
Posté par: Gilles le juin 09, 2012, 10:44:52

Bonjour chantal11,

Merci pour ta persévérance,

J'ai utilisé ZHPDiag et voici le chemin pour consulter le rapport :

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 09, 2012, 10:56:09

Bonjour,



Rkill, AdwCleaner et RannohDecryptor ont été utilisé hier, tu es aidé sur un autre forum ?

@+

Titre: Re : Infection Gendarmerie
Posté par: Gilles le juin 09, 2012, 11:17:29

non

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 09, 2012, 11:34:35

Re,

Tu peux fournir les rapports s'il te plaît ?
(pour RannohDécryptor, je n'ai besoin que de la fin du rapport de la ligne Statistic à la ligne Scan finished)

@+

Titre: Re : Infection Gendarmerie
Posté par: chantal11 le juin 19, 2012, 11:44:00

Bonjour,

Pas de nouvelles ?

C'est bien de venir demander de l'aide sur des sites spécialisés, c'est encore mieux de suivre les instructions et d'aller jusqu'au bout des procédures  ;)