Virus Gendarmerie

[ThYb0]

Bonjour,

mon PC s'est bloqué lorsque je naviguais sur Internet, depuis impossible d'utiliser mon Bureau, ni mon PC en général... HELP PLEASE
-----

[ThYb0]

Sous Windows 7 Edition Familiale Premium

[chantal11]

Bonjour,

Je vois que tu as posté les rapports RSIT.
Tu peux donc démarrer en mode sans échec ?

Si c'est bien le cas, nous allons lancer un autre outil de diagnostic, en mode sans échec avec prise en charge du réseau.

---------------------------------------------------------------------------------------------

FRST :

• Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

@+

[ThYb0]

D'avance , merci !!!

[A voir en vidéo sur Futura]

[chantal11]

Re,

Java qui n'est pas à jour, le Virus Gendarmerie a exploité cette faille de sécurité.
Nous nous en occuperons par la suite.

C'est bien AVG ton antivirus ?
Il ne semble pas être actif du tout, il fonctionnait bien avant l'attaque du Virus Gendarmerie ?

Nous allons appliquer un correctif, toujours en mode sans échec donc.

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  HKLM\...\Winlogon: [Shell] iexplorer.exe
  SearchScopes: HKCU - {8BBBC400-9D0C-44F8-BC68-80321B448D3F} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=B8B5C92D-7157-407E-8E25-D948BB2068E5&apn_sauid=C3306F22-B99C-40C5-BC0D-086D6717D527
  FF HKLM-x32\...\Firefox\Extensions: [7go@7go.com] - C:\Users\Pierre\AppData\Roaming\Mozilla\Extensions\7go@7go.com
  FF HKCU\...\Firefox\Extensions: [7go@7go.com] - C:\Users\Pierre\AppData\Roaming\Mozilla\Extensions\7go@7go.com
  2013-10-14 01:07 - 2013-10-14 01:07 - 00000000 ____D C:\ProgramData\Lavasoft
  2013-10-14 01:07 - 2013-10-14 01:07 - 00000000 ____D C:\ProgramData\Lavasoft
  2013-10-14 01:07 - 2013-10-14 01:07 - 00000000 ____D C:\ProgramData\Lavasoft
  Task: {DE4A0DAF-407F-47C0-BC86-FCBC8EF93EAD} - System32\Tasks\{E9BB134E-3D61-4372-B36C-419F39421EB5} => E:\Adaware_Installer.exe [2013-10-14] ()
  E:\Adaware_Installer.exe
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST, dans E:, dans ton cas) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

Est-ce que tu peux redémarrer en mode normal ?

@+

[ThYb0]

AVG était bien sur mon PC mais je ne l'ai jamais installé. Depuis ce problème, j'ai tenté de supprimé AVG mais sans réellement de succès.

Pour répondre à la dernière question, non mon ordinateur ne fonctionne pas en mode normal, l'écran est noir et le bureau ne s'affiche pas (je travaille en mode sans échec)

Le rapport ci-dessous

[chantal11]

Re,

AVG était bien sur mon PC mais je ne l'ai jamais installé

Donc un système sans protection résidente ..... il a eu la part belle, le Virus Gendarmerie.
Je pense qu'il a embarqué avec lui une autre infection plus coriace.

non mon ordinateur ne fonctionne pas en mode normal, l'écran est noir et le bureau ne s'affiche pas (je travaille en mode sans échec)

Donc toujours en mode sans échec.

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Est attendu le rapport RogueKiller - Recherche

@+

[ThYb0]

Voici le rapport RogueKiller

[chantal11]

Re,

Cela ne nous avance pas beaucoup.

Pourrais-tu s'il te plaît désactiver le compte Invité que tu as activé cette nuit vers 2h30 ?

Si ta session ne démarre toujours pas en mode normal, nous allons tenter avec Malwarebytes, en mode sans échec avec prise en charge du réseau.

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Malwarebytes en images

----------------------------------------------------------------------------------------------

Est attendu le rapport Malwarebytes.

@+

[chantal11]

Bonsoir,

Des difficultés pour appliquer les dernières procédures indiquées ?

@+