Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Cassandra13 le mai 13, 2012, 23:01:29
-
Bonsoir,
Mon ordinateur a été contaminé par ce virus il y a quelques jours. J'ai utilisé RogueKiller pour scanner mon PC et supprimer les menaces, en Mode sans échec. Après ça, l'ordinateur a redémarrer normalement mais ensuite j'ai retrouvé tous les fichiers de mon disque C: "locked". Après 2 jours de "délockage" avec Kaspersky, j'ai retrouvé tous mes fichiers.
Mon souci est que les fichiers se sont à nouveau relocker quand j'ai redémarré l'ordi et le virus a contaminé 2 de mes disques durs externes.
Quelqu'un a-t-il le même souci ? ya-t-il une solution définitive pour débloquer les fichiers sans qu'ils se rebloquent à nouveau au redémarrage du PC ?
comment décontaminer mes disques durs externes ?
merci bcp par avance !
-
Bonjour Cassandra13 et bienvenue sur le forum,
Mon souci est que les fichiers se sont à nouveau relocker quand j'ai redémarré l'ordi et le virus a contaminé 2 de mes disques durs externes.
En effet, avant de débloquer les fichiers, il faut s'assurer que le Virus Gendarmerie Nationale n'est plus actif sur le système, sinon, c'est la réinfection assurée.
Nous allons donc établir un diagnostic avec cet outil, suis bien les instructions indiquées :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de Old_Timer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr (http://pjjoint.malekal.com/) et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.
Poste aussi le rapport de suppression Roguekiller.
@+
-
Bonjour Chantal,
Merci de ton retour rapide. Je vais suivre tes instructions et te tiens au courant.
J'ai encore quelques fichiers à délocker.
bonne soirée
-
Bonjour,
Merci de ton retour rapide. Je vais suivre tes instructions et te tiens au courant.
J'ai encore quelques fichiers à délocker.
Justement, il faudrait contrôler le système avant de débloquer les fichiers.
Si tes fichiers ont de nouveau été cryptés la 1ère fois, c'est que le Virus Gendarmerie Nationale était toujours actif sur ton système.
Bon, mais maintenant que tu as recommencé le processus de décryptage, va jusqu'au bout.
N'oublie pas aussi le rapport RogueKiller.
@+
-
Voici le dernier rapport avec Malwarebytes qui détecte 15 objets potentiellement dangereux:
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.05.13.04
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Protection: Désactivé
14/05/2012 19:09:47
mbam-log-2012-05-14 (23-53-57).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 535685
Temps écoulé: 29 minute(s), 56 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 14
HKCR\CrossriderApp0003491.BHO (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.BHO.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.FBApi (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.FBApi.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.Sandbox (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKCR\CrossriderApp0003491.Sandbox.1 (PUP.CrossFire.Gen) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\CLSID\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\TypeLib\{44444444-4444-4444-4444-440044344491} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCR\Interface\{55555555-5555-5555-5555-550055345591} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Program Files (x86)\Vid-Saver\Vid-Saver.dll (PUP.GamePlayLab) -> Aucune action effectuée.
(fin)
-
Bonjour,
Aucune action effectuée
Pour le rapport Malwarebytes, si tu n'as pas supprimé la sélection de tous les éléments détectés, les PUP sont toujours présents sur ton système ;)
Mais ce n'est pas ce qui nous préoccupe pour l'instant.
C'est surtout le rapport de suppression de Roguekiller que je voudrais et impérativement les rapports OTL et Extras pour vérifier si le Virus Gendarmerie est encore présent ou non.
Tu en es où de tes déblocages de fichiers. Ils ont tous été décryptés ?
@+
-
bonsoir, oui j'ai pu décrypter tous mes fichiers. Pour Malwarebytes, j'ai bien supprimer les 15 fichiers virusés juste après avoir édité le rapport en fait.
Voici le rapport de Rogue Killer :
RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Cyndie [Droits d'admin]
Mode: Recherche -- Date: 15/05/2012 21:56:43
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] OTL.exe -- C:\Users\Cyndie\Desktop\OTL.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9750423AS +++++
--- User ---
[MBR] e71ed3f9e26943aaece211b96df495cf
[BSP] 177507aede73c8eab31fee7866ebab1f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 286161 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 638488576 | Size: 403641 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
-
Bonsoir,
Tu as relancé RogueKiller ce soir, mais c'était le rapport initial qui m'aurait intéressé, celui qui a permis de nettoyer le ransomware, du moins c'est ce que tu dis dans ton 1er message :
Mon ordinateur a été contaminé par ce virus il y a quelques jours. J'ai utilisé RogueKiller pour scanner mon PC et supprimer les menaces, en Mode sans échec.
Tu n'as plus ce rapport ?
Maintenant que tu as pu décrypter tous tes fichiers, il faut que nous vérifions ton système.
Fais la procédure avec OTL, comme indiqué ici -> http://forum.security-x.fr/desinfections/re-infection-par-un-virus-gendarmerie-nationale-fichiers-locked-sujet-maxgrey/msg68232/#msg68232
et indique-nous les liens pour les rapports OTL et Extras.
@+
-
CI-joint les liens vers les rapports OTL :
http://pjjoint.malekal.com/files.php?id=20120515_q15n8f1315p15
http://pjjoint.malekal.com/files.php?id=20120515_v12h14p10j13s12
-
Non malheureusement je n'ai pas conservé le 1er rapport de Rogue Killer. J'avais également fait une analyse complète avec Bit Defender... mais je n'ai pas les rapports non plus
-
Bonjour,
Non malheureusement je n'ai pas conservé le 1er rapport de Rogue Killer
Ce n'est pas grave ;)
Il y a une raison particulière pour que le SP1 ne soit pas installé sur ton Windows 7 ?
Un Windows non à jour, Java et Flash Player non à jour non plus, le Virus Gendarmerie a eu la part belle sur ton système :III
On s'en occupera par la suite.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Programmes et fonctionnalités :
- Ask Toolbar (Barre d'outil inutile)
----------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:OTL
IE - HKLM\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\SearchScopes\{52129C37-CB50-4767-A8B7-0DD5DC33957E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MGX&o=15351&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=JO&apn_dtid=YYYYYYYYFR&apn_uid=19A2BCDA-B419-4815-9B98-6BD8A6C58AC9&apn_sauid=5DA24706-562F-4E6D-AFE8-7D2617916C5B
IE - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
O2 - BHO: (MAGIX Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MAGIX Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3383274509-1844309855-408724065-1002\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKU\S-1-5-21-3383274509-1844309855-408724065-1002..\Run: [Bubble Dock] C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe (Nosibay)
[2012/05/13 21:10:19 | 000,000,000 | ---D | C] -- C:\Users\Cyndie\AppData\Roaming\Jiptnfkw
[2012/05/12 21:03:47 | 000,000,000 | ---D | C] -- C:\Users\Cyndie\AppData\Roaming\Bjuscscybfd
[7 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[2011/07/19 22:15:34 | 000,000,000 | ---D | M] -- C:\Users\Cyndie\AppData\Roaming\Nosibay
[2011/07/18 16:37:26 | 004,454,512 | ---- | M] (Nosibay) -- C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\Bubble Dock.exe
[2011/07/18 16:37:24 | 000,448,624 | ---- | M] (Nosibay) -- C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe
@Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:D1B5B4F1
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fotl_co10.jpg&hash=4c78298f5e7d37299e9302c79ed0c09e23bc039e) (http://www.servimg.com/image_preview.php?i=470&u=12972154)
- L'outil lance la suppression, ne pas l'interrompre
- Si l'outil te demande de redémarrer le PC, tu acceptes
- Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
----------------------------------------------------------------------------------------------
Tes extensions Chrome ont bien été décryptées, mais il y a toujours encore les extensions "locked".
Tu devrais les supprimer via les paramètres de Google Chrome.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
- Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
- N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
- Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- C:\_OTL\MovedFiles\********_******.log
- SX Check&Update
@+
-
Bonsoir Chantal,
Oui en fait j'avais installé le Pack bien avant de choper le virus mais dans mes multiples tentatives de m'en débarasser, j'ai fait un point de restauration du coup ça la désinstaller. Je le mettrai à jour.
J'ai bien supprimé la ToolBar. Pour OTL : voilà le rapport suite à tes indications :
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\URLSearchHooks\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry key HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\SearchScopes\{52129C37-CB50-4767-A8B7-0DD5DC33957E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52129C37-CB50-4767-A8B7-0DD5DC33957E}\ not found.
Registry key HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater not found.
File C:\Program Files (x86)\Ask.com\Updater\Updater.exe not found.
Registry value HKEY_USERS\S-1-5-21-3383274509-1844309855-408724065-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Bubble Dock deleted successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe moved successfully.
C:\Users\Cyndie\AppData\Roaming\Jiptnfkw folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Bjuscscybfd folder moved successfully.
C:\Windows\SysWow64\SET34D0.tmp deleted successfully.
C:\Windows\SysWow64\SET3A1B.tmp deleted successfully.
C:\Windows\SysWow64\sho2A2.tmp deleted successfully.
C:\Windows\SysWow64\sho4115.tmp deleted successfully.
C:\Windows\SysWow64\sho65A6.tmp deleted successfully.
C:\Windows\SysWow64\sho7E85.tmp deleted successfully.
C:\Windows\SysWow64\shoE325.tmp deleted successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\tmp\download folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\tmp folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\widgets folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\stickers folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\settings folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\nosibox folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules\install folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\modules folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock folder moved successfully.
C:\Users\Cyndie\AppData\Roaming\Nosibay folder moved successfully.
File C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\Bubble Dock.exe not found.
File C:\Users\Cyndie\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe not found.
ADS C:\ProgramData\Temp:D1B5B4F1 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Cyndie
->Temp folder emptied: 1862942385 bytes
->Temporary Internet Files folder emptied: 657300832 bytes
->Java cache emptied: 98696196 bytes
->Google Chrome cache emptied: 403044796 bytes
->Flash cache emptied: 12806408 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 348382024 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36046081 bytes
RecycleBin emptied: 454757440 bytes
Total Files Cleaned = 3 695,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.43.0 log created on 05162012_222004
Files\Folders moved on Reboot...
C:\Users\Cyndie\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YGLV4FIC\tweet_button.1336551279[1].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\T72CLBLE\fastbutton[2].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NJN9Q4NA\re-infection-par-un-virus-gendarmerie-nationale-fichiers-locked-sujet-maxgrey[1].htm moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Cyndie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
Registry entries deleted on Reboot...
-
J'ai bien mis Java et Flash Player à jour. Voici le rapport :
SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Aucun Service Pack
UserName : Cyndie
16/05/2012
23:03:20
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 11.2.202.235
Flash Player ActiveX est à jour
Nom : Trend Micro Titanium Internet Security
Version : 3.1.1109
Nom : Trend Micro Titanium Internet Security
Version : 3.00
---
Name : FlashPlayer Plugin
Version : 10.0.32.18
Flash Player Plugin n'est pas à jour!
Java Information :
Nom : Java(TM) 6 Update 32
Version : 6.0.320
Java(TM) 6 Update 32 est à jour
Nom : Internet Explorer
Version : 9.0.8112.16421
Merci bcp !
-
Bonjour,
Oui en fait j'avais installé le Pack bien avant de choper le virus mais dans mes multiples tentatives de m'en débarasser, j'ai fait un point de restauration du coup ça la désinstaller. Je le mettrai à jour.
OK, il faudra bien y penser à la fin de la procédure.
J'ai bien mis Java et Flash Player à jour
Ce n'est pas tout à fait à jour.
Le plugin Flash Player pour Firefox n'est pas à jour.
Ouvre cette page avec Firefox
http://get.adobe.com/fr/flashplayer/
Télécharge et installe la dernière version 11.2.202.235
Java n'est pas à jour non plus.
Désinstalle via Programmes et Fonctionnalités Java(TM) 6 Update 32
Ouvre cette page avec n'importe quel navigateur
http://www.java.com/fr/download/
Télécharge et installe la dernière version 7 Update 4
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Purge points de restauration :
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
- Colle l'intégralité du code dans le cadre Personnalisation
- Clique ensuite sur le bouton Correction
- Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstallation des outils utilisés :
Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Purge d'outils
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pu10.jpg&hash=dc5fbf287c3bfd6a19d5f935367d8fcaa683bbaf) (http://www.servimg.com/image_preview.php?i=559&u=12972154)
- Valide l'avertissement par OK et laisse le pc redémarrer
- Supprime SXCU et RannohDecryptor de ton Bureau
- Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Mets à jour ton système via Windows Update
Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Quelques précisions et conseils :
- D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)
/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
- Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java (http://java.com/fr/download/manual.jsp) et Flash Player (http://get.adobe.com/fr/flashplayer/)
Il faut l'installer Flash Player sous chaque navigateur présent sur le système
Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
Maintenir Java, Adobe Reader et le player Flash à jour (http://www.malekal.com/2010/11/15/maintenir-java-adobe-reader-et-le-player-flash-a-jour/)
Exploitation SWF/PDF et Java - système non à jour = danger (http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html)
- Au niveau de Firefox, tu peux sécuriser ta navigation
Firefox sécurisé (http://forum.security-x.fr/tutoriels-317/firefox-securise/)
- Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu (http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html)
Pourquoi éviter le P2P ? Point législatif et dangers (http://forum.zebulon.fr/prevention-le-p2p-et-ses-consequences-t85544.html)
[/list]
N'hésite pas si tu as des questions.
Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
-
Bonjour,
Merci pour ton aide. J'ai bien suivi toutes les instructions et installé également tous les updates Windows + le Pack. :)
je penserai à faire des mises à jour plus régulièrement. J'admets ne pas etre une pro de l'informatique et j'ai tendance à zapper ce genre de mises à jour. A priori les fichiers ne se relockent plus. Comment puis-je être certaine que le virus est bien parti ? est ce que les disques durs externes où les fichiers avaient été lockés peuvent être connectés à mon PC sans risque ?
Merci encore
-
Bonjour,
je penserai à faire des mises à jour plus régulièrement. J'admets ne pas etre une pro de l'informatique et j'ai tendance à zapper ce genre de mises à jour.
Comme tu as pu le constater, c'est primordial d'être à jour au niveau de Java, Flash Player et Reader?
Ces failles des écurité, quand elles sont présentes sur un système, sont très exploitées.
Visite régulièrement le forum, nous annonçons en général qu'une mise à jour est disponible.
A priori les fichiers ne se relockent plus. Comment puis-je être certaine que le virus est bien parti ? est ce que les disques durs externes où les fichiers avaient été lockés peuvent être connectés à mon PC sans risque ?
Oui, tu peux en effet sans risque reconnecter des supports externes.
Il n'y avait plus trace du Virus Gendarmerie dans ton rapport OTL, ni dans RogueKiller.
Bonne continuation et bon surf :AAC
-
Merci beaucoup pour tes conseils ! :)
Bonne fin de journée
-
Bonjour,
@ nanou93150 : ton propre sujet a été ouvert ici -> http://forum.security-x.fr/desinfections/infection-virus-gendarmerie-nationale-fichiers-locked-%28nanou93150%29/msg70186/#msg70186
Patiente le temps d'être pris en charge par un bénévole,
@+