Auteur Sujet: virus gendarmerie  (Lu 14381 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
virus gendarmerie
« le: avril 21, 2012, 16:43:55 »
bonjour
je suis sous windows 7 , 64 bits.

alors voila j'ai un chopé un virus dit " virus de la gendarmerie " et je n'arrive pas a m'en débarasser

d'avance je vous remercie de bien vouloir m'aider :)

Security-X

virus gendarmerie
« le: avril 21, 2012, 16:43:55 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #1 le: avril 21, 2012, 21:32:03 »
 :AAC Bonsoir marouane,

Bienvenu sur security-X

En premier lieu, on va déterminer en semble quelle variante de l'infection tu as attrapé, afin de préparer la suite.

- As-tu accès à quelque chose en mode normal sur ton pc, le navigateur par exemple ?

- Si tu n'as rien accès en mode normal, as-tu accès en mode sans échec ?
Aide : Comment faire démarrer son ordinateur en mode sans échec.

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Re : virus gendarmerie
« Réponse #2 le: avril 21, 2012, 21:39:51 »
Salut Hyunkel, c'est un ami à moi.
Son PC a sans doute plusieurs malwares supplémentaires. J'ai préféré ne pas y toucher.
« Modifié: avril 21, 2012, 22:21:33 par Ammonium »

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #3 le: avril 21, 2012, 21:44:38 »
oui aucun souci j'ai un accès a internet.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #4 le: avril 21, 2012, 21:50:34 »
 :III Salut Ammonium, c'est bien de ramener les amis  :D

Ok marouane, on y va alors :

1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse


(S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

/!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\

2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT
  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    3) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.
  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire),  met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.
« Modifié: avril 21, 2012, 22:04:15 par hyunkel30 »

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #5 le: avril 21, 2012, 21:55:58 »
voila la premier rapport "Rkill"

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 21/04/2012 at 21:54:13.
Operating System: Windows 7 Home Premium


Processes terminated by Rkill or while it was running:

C:\Users\marouane\Downloads\eXplorer.exe


Rkill completed on 21/04/2012 at 21:54:18.

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Re : virus gendarmerie
« Réponse #6 le: avril 21, 2012, 21:58:53 »
Re Hyunkel, je l'ai ammener parceque je sais que vous êtes compétent et rapide ^^
Et puis, ca me permet également de  regarder un peu ce qui se passe et d'essayer de comprendre =)

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #7 le: avril 21, 2012, 22:16:03 »

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #8 le: avril 21, 2012, 22:33:09 »
voila le lien de TDS killer pour voir la rapport :

http://pjjoint.malekal.com/files.php?id=20120421_m6l11q15u13z9

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #9 le: avril 21, 2012, 22:47:05 »
Re,

Bon tu as de la chance ce n'est pas la variante la plus dangereuse, mais quand même, cela arrive car certains logiciels ne sont pas à jour, java notamment, tu as aussi des adwares (logiciels/sponsors publicitaire), il faudra faire un peu plus attention.

On y va pour le ménage :

1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

- Linkury Smartbar (sauf si utilité)

- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (adware)
- Babylon toolbar on IE (sponsors)
- Conduit Engine (adware)
- DealScout for Google Chrome (sponsors)
- eoJet 1.1 (adware)
- PriceGong 2.5.1 (adware)
- Softonic_France Toolbar (sponsors)
- Wincore MediaBar (sponsors)
- Outil de notification de cadeaux MSN (sponsors)


2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


:OTL
SRV - [2012/01/10 05:56:54 | 000,827,456 | ---- | M] (McAfee, Inc.) [Disabled | Stopped] -- C:\Users\marouane\AppData\Local\Temp\004436~1.EXE -- (0044361329564181mcinstcleanup) McAfee Application Installer Cleanup (0044361329564181)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B7FF8491-66E5-496F-BD24-5DEBD338A8D3}
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{227EF8F4-F572-4CD3-99C5-3889FBEC3D5C}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=8A5C2BCD-E920-4211-971D-C6540BD5AAD5&apn_sauid=F2AA427D-2786-4E5B-AF65-07B8938F8AF4
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B7FF8491-66E5-496F-BD24-5DEBD338A8D3}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=111015&mntrId=6e3f260c0000000000000026825963ca&q="
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}: C:\Program Files (x86)\PriceGong\2.5.1\FF [2011/10/12 16:31:42 | 000,000,000 | ---D | M]
[2011/12/28 22:00:34 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\marouane\AppData\Roaming\mozilla\Firefox\Profiles\akww82ns.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
[2012/03/23 18:38:24 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\marouane\AppData\Roaming\mozilla\Firefox\Profiles\akww82ns.default\extensions\ffxtlbr@babylon.com
[2011/12/28 22:00:23 | 000,002,517 | ---- | M] () -- C:\Users\marouane\AppData\Roaming\Mozilla\Firefox\Profiles\akww82ns.default\searchplugins\Search_Results.xml
[2012/04/01 10:46:13 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011/12/28 22:00:23 | 000,002,517 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
CHR - default_search_provider: search_url = http://dts.search-results.com/sr?src=crb&appid=1083&systemid=1&sr=0&q={searchTerms}
CHR - Extension: PriceGong = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok\5.6.2_0\
CHR - Extension: General Crawler = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\dednnpigldgdbpgcdpfppmlcnnbjciel\2.5_0\
CHR - Extension: DealScout = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpmfjcpampmdgkjfjbjfloolnfojlogf\2.1.11.0_0\
O2:64bit: - BHO: (DataMngr) - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\BrowserConnection.dll (iMesh, Inc)
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files (x86)\PriceGong\2.5.1\PriceGongIE.dll (PriceGong)
O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O2 - BHO: (DataMngr) - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\BrowserConnection.dll (iMesh, Inc)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\MF.exe" /opentotray File not found
F3:64bit: - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003 WinNT: Load - (C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe) - C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe ()
F3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003 WinNT: Load - (C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe) - C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe ()
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\datamngr.dll (iMesh, Inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\IEBHO.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngr.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\IEBHO.dll (iMesh, Inc)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe ()
O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe ()
MsConfig:64bit - StartUpFolder: C:^Users^marouane^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Outil de notification de cadeaux MSN.lnk - C:\Users\marouane\AppData\Roaming\MICROS~1\OUTILD~1\msnotif.exe - (Microsoft Corporation)
MsConfig:64bit - StartUpReg: DATAMNGR - hkey= - key= - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe (iMesh, Inc)
MsConfig:64bit - StartUpReg: MediaGet2 - hkey= - key= -  File not found
MsConfig:64bit - StartUpReg: SweetIM - hkey= - key= - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
[2012/04/01 10:46:30 | 000,000,000 | ---D | C] -- C:\Users\marouane\AppData\Roaming\Media Finder
[2012/04/01 10:46:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder
[2012/04/01 10:46:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar
[1 C:\windows\SysWow64\*.tmp files -> C:\windows\SysWow64\*.tmp -> ]
[2011/10/15 22:50:06 | 000,000,000 | ---D | M] -- C:\Users\marouane\AppData\Roaming\Babylon

:Files
C:\Program Files (x86)\Softonic_France
C:\Program Files (x86)\PriceGong
C:\Program Files (x86)\iMesh Applications\MediaBar
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\ConduitEngine
C:\Program Files (x86)\SweetIM
C:\Users\marouane\AppData\Roaming\Sys32\explorer.exe

:Commands
[emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #10 le: avril 21, 2012, 23:04:43 »
trois programme ne veulent pas se desinstaller :
- Linkury Smartbar (sauf si utilité)
- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (adware)

j'ai comme message d'erreur :
Imposssible d'accéder au service Windows Installer.
ceci peut se produire si le programme d'instalation de windows n'est pas bien installé. contacter votre support technique pour assistance!


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #11 le: avril 21, 2012, 23:15:06 »
Re,

Ce n'est pas grave, continu la procédure, on s'en occupera après, de toute manière je supprime en grande partie ensuite.

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #12 le: avril 21, 2012, 23:29:53 »
comment on fait pour passer de log a txt ( putin je suis une brele en informatique j'ai bien fait d'aller en medecine mdrrrr )???

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #13 le: avril 21, 2012, 23:35:37 »
Re,

Alors c'est simple ... tu fais un clic-droit sur le fichier -> renommer
Tu enlèves le .log et tu remplaces par .txt
Tu valides, tu auras un avertissement, c'est normal, tu accepte, et c'est bon.

 ;)

Ps : la suite et fin sera demain, bonne nuit ;)
« Modifié: avril 21, 2012, 23:36:02 par hyunkel30 »

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #14 le: avril 21, 2012, 23:44:22 »
merci beaucoup pour l'aide deja fourni je te passe le lien du rapport de otl :

http://pjjoint.malekal.com/files.php?id=20120421_j10r6j15c6n15


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #15 le: avril 22, 2012, 09:54:19 »
 :) Bonjour,

Dis-moi si tout est ok sur le pc.

Pour compléter la suppression des adwares :

Télécharge AdwCleaner (de Xplode) sur ton Bureau.


  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Recherche.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #16 le: avril 22, 2012, 10:34:31 »
euhhh j'ai des rapport desktop.ini qui sont apparu que dois-je en faire ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #17 le: avril 22, 2012, 10:45:22 »
Re,

N'y touche pas, ce sont des fichiers cachés qui sont apparus, on les masquera de nouveau plus tard ;)

Fournis-moi le rapport Adwcleaner s'il te plait

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #18 le: avril 22, 2012, 10:53:21 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #19 le: avril 22, 2012, 10:55:42 »
Re,

On passe au nettoyage, y'a encore des restes des logiciels publicitaires :

Relance AdwCleaner :

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.
  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #20 le: avril 22, 2012, 11:16:38 »
voici le rapport de suppression de Adw Cleaner :

 http://pjjoint.malekal.com/files.php?id=20120422_i8h5g9g10b5

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #21 le: avril 22, 2012, 12:39:34 »
voila le rapport de malware byte après un exam complet :

 http://pjjoint.malekal.com/files.php?id=20120422_m5w7k15c13h12

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #22 le: avril 22, 2012, 14:22:11 »
Re,

Parfait, niveau infections on a terminé.

As-tu encore des soucis sur le PC ? (mis à part les fichiers desktop.ini)

Sinon on passera au ménage final et à la conclusion.

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #23 le: avril 22, 2012, 15:52:53 »
de quel type de soucis parles tu ? ^^'

Hors ligne Ammonium

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 2786
  • May the force be with you !
    • Twitter : AmmoniumFR
Re : virus gendarmerie
« Réponse #24 le: avril 22, 2012, 15:58:23 »
Je pense qu'il veut dire ralentissements et autre soucis.
« Modifié: avril 22, 2012, 16:02:29 par Ammonium »

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #25 le: avril 22, 2012, 16:00:45 »
ahh non non aucun soucis apparent a part le fait que je suis sur MSE parceque je sais pas si le virus a été correctement éliminé et tant que j'aurai pas eu un feu vert cleir et definitif de ta part ... on peut donc passer a la suite :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #26 le: avril 22, 2012, 22:34:05 »
 :D

Effectivement j'aurais dû te dire que tu pouvais travailler en mode normal.

Donc redémarre en mode normal et regarde si tu as encore des problèmes lié à l'infection.

On finira ensuite.

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #27 le: avril 22, 2012, 22:54:11 »
youhouuuuu no problem thank you !!!

on peut finir je pense ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #28 le: avril 22, 2012, 23:02:50 »
 ;) Oui, on termine :


1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance  OTL.exe[/color]
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement Rkil : eXploRer.exe (sur ton bureau)


    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.


    Si après redémarrage du pc, les fichiers desktop.ini sont toujours présent, fais ceci :
    Clique sur Ordinateur dans le menu du haut -> Organiser -> Options des dossiers et de recherche/ puis la nouvelle fenêtre, clique sur l'onglet Affichage :
  • Coche Ne pas afficher les fichiers et dossiers cachés
  • Coche Masquer les extensions des fichiers dont le type est connu
  • Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.



    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    @ bientôt sur Security-X
     :AAN

Hors ligne marouane-93320

  • Membres
  • Members
  • Messages: 16
Re : virus gendarmerie
« Réponse #29 le: avril 22, 2012, 23:36:38 »
euhhh juste pour savoir tu pourrai me conseiller un anti virus gratuit le temps que je m'en installe un payant ? merci

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus gendarmerie
« Réponse #30 le: avril 23, 2012, 10:56:47 »
Bonjour,

Tu as déjà Avast! non ? Il est tout à fait convenable.

Ici, aucun antivirus ne t'aurais protégé, l'infection est dû à une faille d'un logiciel tiers non à jour, Java je pense, et pour les Adwares, peu d'antivirus avec les paramètres de bases les bloquent.

Pour Avast!, tu peux en touchant aux réglages :
http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

(plus bas dans l'explication)

 :AAN