Virus gendarmerie

[flolarajasse]

Bonjour chers amis,
Je me tourne une nouvelle fois vers vous.Un ami a attrapé un virus sur son toshiba (Virus de la gendarmerie je pense) qui lui disait qu'il devait payer une certaine somme sous quelque jours.Il m'a donné son pc pour que je regarde, problème, au démarrage écran blanc et je ne peux absolument rien faire.
Savez vous comment faire et réparer son pc?
Merci à vous!!
-----

[flolarajasse]

Voici l'image qu'il a eu:
http://www.google.fr/imgres?imgurl=h...QEwAg&dur=1894

[chantal11]

Bonjour,

Quel est le système d'exploitation du système infecté ?

Vista, Windows 7, Windows 8 ou XP ?

@+

[flolarajasse]

Le système d'exploitation est Windows Seven!

[A voir en vidéo sur Futura]

[chantal11]

Re,

Le système d'exploitation est Windows Seven!

OK

Tu vas suivre cette procédure :

--------------------------------------------------------------------------------------------------------------

Farbar Recovery Scan Tool :

/!\ Imprime la procédure ou affiche-la sur un autre PC car tu n'y auras pas accès par la suite /!\

• Sur un autre PC fonctionnel, connecte une clé USB
• Sur cette page, télécharge la version FRST de Farbar, compatible avec le système infecté et enregistre le fichier FRST.exe (ou FRST64.exe) sur la clé USB
  (si le téléchargement ne démarre pas automatiquement, clique sur "click here")

Ensuite suis les instructions ci-dessous à faire sur le PC infecté :

1 >>> Ouvrir les Options de récupération système

> Pour ouvrir les Options de récupération système depuis les Options de démarrage avancées:

• Faire redémarrer le PC
• Dès que le BIOS est chargé, tapoter sur la touche F8 jusqu'à l'apparition des Options de démarrage avancées
• Utiliser les flèches du clavier pour sélectionner l'élément de menu Réparer l'ordinateur
• Choisir Français comme paramètre de langue et de clavier, puis cliquer sur Suivant
• Sélectionner le système d'exploitation à réparer, puis cliquer sur Suivant
• Sélectionner son compte d'utilisateur et cliquer sur Suivant
  Aide en images

2 >>> Dans le menu Options de récupération système les options suivantes s'affichent :

- Réparation du démarrage
- Restaurer le système
- Restauration de l'ordinateur Windows
- Outil Diagnostics de la mémoire Windows
- Invite de commandes

• Sélectionne Invite de commandes
• Dans la fenêtre de commande, tape notepad et valide par Entrée
• Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionne Ouvrir
• Clique sur Ordinateur, puis sur Ouvrir, cherche la lettre associée à ta clé USB et ferme le Bloc-notes
• Dans la fenêtre de commande, tape e:\frst.exe et valide par Entrée
  Note: Remplace la lettre e par la lettre de lecteur associée à ta clé USB
• L'outil va commencer à s'exécuter
• Au démarrage de l'outil, à l'affichage du message Disclaimer of warranty clique sur Oui
• Clique sur le bouton Scan
  
• Un rapport d'analyse FRST.txt est créé sur la clé USB.

3 >>> Poste le rapport FRST.txt

---------------------------------------------------------------------------------------------

Est attendu le rapport FRST.txt

@+

[flolarajasse]

Ok merci je poste ça dès que je rentre vers 17h30.@+

[chantal11]

Re,

OK à ce soir donc

[flolarajasse]

En pièce jointe le rapport attendu

[chantal11]

Re,


FRST - Correctif :

• Sur le PC sain, la clé USB connectée, ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
  
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  HKU\Utilisateur\...\Winlogon: [Shell] C:\Users\Utilisateur\AppData\Roaming\imm32.ocx,explorer.exe
  2013-05-27 11:04 - 2013-05-27 11:04 - 00000000 ____D C:\ProgramData\racx
  2013-05-27 11:03 - 2013-05-27 11:03 - 00179704 ____A (fff, Inc.) C:\Users\Utilisateur\Desktop\fhfb.tmp
  C:\Users\Utilisateur\AppData\Roaming\imm32.ocx
  end

• Enregistre le fichier sur la clé USB sous le nom fixlist.txt
• Redémarre le PC infecté en ouvrant le menu des Options de récupération système, comme indiqué précédemment
  
• Sélectionne Invite de commandes
• Dans la fenêtre de commande, tape notepad et valide par Entrée
• Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionne Ouvrir
• Clique sur Ordinateur, puis sur Ouvrir, cherche la lettre associée à ta clé USB et ferme le Bloc-notes
• Dans la fenêtre de commande, tape e:\frst.exe et valide par Entrée
  Note: Remplace la lettre e par la lettre de lecteur associée à ta clé USB
• FRST se lance, clique une seule fois sur le bouton Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt sur la clé USB. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog.txt

Est-ce que le PC redémarre en mode normal ?

@+

[flolarajasse]

En pièce jointe le rapport.
Le PC redémarre bien en mode normal, que faut-il faire maintenant afin que cela ne se reproduise plus?

[JPL]

Conseille à ton ami de ne pas aller sur des sites douteux

[flolarajasse]

Pourquoi dis tu ça?Il m'a dit qu'il était sur le bon Coin et sur Facebook, et la fenêtre est apparue, donc rien de "douteux"

[JPL]

Je l'ai dit parce que c'est fréquent. Cela ne veux pas dire que c'est sur le site qu'il consultait à ce moment que ce malware l'a contaminé. Cela date probablement d'avant.

http://forums.futura-sciences.com/se...-infectes.html

Règle fondamentale : un pare-feu (cela de Windows 7) est correct et un antivirus quotidiennement à jour (parmi les gratuits on en trouve de très efficaces).

[chantal11]

Bonjour,

Le PC redémarre bien en mode normal, que faut-il faire maintenant afin que cela ne se reproduise plus?

Nous allons continuer la désinfection pour l'instant, puis nous mettrons à jour le système.
C'est en général des failles de sécurité sur le système qui sont exploitées par les malwares.

Il faudra aussi dire à ton ami de naviguer avec un navigateur sécurisé afin d'éviter les exploits Web.

Maintenant que le système démarre normalement, nous allons relancer l'outil FRST pour établir un rapport plus complet et éliminer les restes du Virus gendarmerie.

Donc à faire en mode normal (tu ne prends pas la version FRST enregistrée sur la clé USB, tu télécharges une nouvelle version, car l'auteur met à jour régulièrement son outil).

---------------------------------------------------------------------------------------------

FRST - version 64 bits :

• Télécharge FRST de Farbar et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, veille à ce que la case Addition.txt soit cochée
• Clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

---------------------------------------------------------------------------------------------

Sont attendus en PJ les rapports FRST.txt et Addition.txt

@+

[flolarajasse]

En pj les 2 rapports

[chantal11]

Re,

Voilà l'origine de l'infection.
Aucun plugin/extension n'est à jour .... le ransomware a eu la part belle pour s'installer sur ce système.
Nous allons nous en occuper.

A faire dans l'ordre où c'est indiqué :

---------------------------------------------------------------------------------------------

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Mawarebytes en images

----------------------------------------------------------------------------------------------

Ensuite, nous allons mettre à jour les plugins/extensions à risque :

---------------------------------------------------------------------------------------------

Installe la dernière version Adobe Flash Player :

Ouvre Internet Explorer, télécharge et installe cette dernière version :
Adobe Flash Player

Ouvre Firefox, télécharge et installe cette dernière version :
Adobe Flash Player

Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

---------------------------------------------------------------------------------------------

Installe la dernière version Adobe Shockwave Player :

Télécharge et installe cette dernière version Adobe Shockwave Player

---------------------------------------------------------------------------------------------

Mets à jour ta version d'Adobe Reader :

Désinstalle cette version Adobe Reader X (10.1.0)

Télécharge et installe cette dernière version :
Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 30 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 21
http://www.java.com/fr/download/

Pense à décocher la barre Ask qui est proposée


---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
• Poste le rapport_SX.txt dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• Fixlog.txt
• mbam-log[date-heure].txt
• rapport_SX.txt

@+

[flolarajasse]

Voila je pense avoir tout installé.
Dis moi si il manque quelque chose.
@+

[chantal11]

Re,

Bien on va faire d'autres analyses, le virus Gendarmerie a invité son copain ZeroAccess.

---------------------------------------------------------------------------------------------

TDSSKiller :

• Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
• Double-clique sur TDSSKiller.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
  Il faut le valider en cliquant sur Reboot now.
• Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
  L'outil TDSSKiller se relance.
• Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
  - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  - Si Suspicious object est indiqué, l'option Skip soit cochée
• Clique ensuite sur Continue, puis clique sur Reboot computer (si l'option est proposée)
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_ log.txt dans ta réponse sur le forum
  Le rapport TDSSKiller.Version_Date_Heure_ log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heu re_log.txt
  note : 3 rapports TDSSKiller sont enregistrés sous C:\ - il faut poster le plus important en taille

Tutoriel d'utilisation TDSSKiller en images

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
TDSSKiller (c'ets le rapport le plus long qu'il faut poster)
RogueKiller - Recherche

@+

[flolarajasse]

J'ai un fichier tdsskiller de 481ko, donc je ne peux pas le poster .
De plus maintenant, j'ai pas mal de pub qui s'ouvre sur internet!!!

[chantal11]

Re,

J'ai un fichier tdsskiller de 481ko, donc je ne peux pas le poster

C'est bien celui-là qu'il me faut.

Clic-droit sur ce rapport -> Envoyer vers -> Dossier compressé
Tu devrais pouvoir poster le rapport zippé.

De plus maintenant, j'ai pas mal de pub qui s'ouvre sur internet!!!

Quel type de pubs ?

---------------------------------------------------------------------------------------------

AdwCleaner - Recherche :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(R).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
TDSSKiller zippé
AdwCleaner Recherche

@+

[flolarajasse]

La dalle tactile qui remplace la souris ne fonctionne plus!!!

[flolarajasse]

Et voila ; au passage, mon pavé tactile refonctionne (mauvaise manip )

[flolarajasse]

Et le 2ème rapport

[chantal11]

Re,

Tu n'as pas répondu à la question "Quel type de pubs ?"

Relance AdwCleaner en mode Suppression et poste le nouveau rapport obtenu.

@+

[flolarajasse]

Bonjour désolé du retard,
Je te poste le rapport ce soir, n'étant pas chez moi.
Les pubs varient, mais c'est genre La Redoute, des sites comm ça...

@+

[flolarajasse]

Voici le rapport.

[chantal11]

Bonjour,

OK pour le rapport AdwCleaner.

Pour les pubs, c'est sous quel navigateur ?

@+

[flolarajasse]

Internet explorer

[chantal11]

Re,

Tu as aussi des pubs en navigant avec Firefox ou Chrome ?

[flolarajasse]

J'essayes ce soir en rentrant.
Ou en est-on de la désinfection?
Faut-il que j'installe un nouvel antivirus (avira) et que je désinstalle Mc Fee?