Virus gendarmerie national

Résolu
pierroaccro Messages postés 9 Statut Membre -  
dr.pc1 Messages postés 5077 Statut Contributeur -
Bonjour,
j'ai été infecté par ce super virus
j'ai essayé de m en debarraser grace a une methode de malekal
j'ai été dans le boot et a changé explorer.EXE par iexplorer.exe
mais j'ai perdu mon bureau et peut controler mon pc (xp) que par ctrl alt suppr
j'ai pas mal cherché mais la je vois plus
y a t il une ame charitable pour voler a mon secours?
merci d'avance
encore bravo à votre forum pour aider les billes comme moi en informatique

15 réponses

  1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Salut,

    Est-ce que tu peut démarrer ton pc en mode sans échec avec prise en charge réseau ?
    (F8 ou F5 au démarrage du pc pour les modes sans échecs)
    0
  2. pierroaccro Messages postés 9 Statut Membre
     
    ca oui je peux
    j ai effectuer des scan anti virus
    il les a trouvé
    mais je pense que j'ai pas mon bureau a cause de la manip de iexplorer
    est ce qu il faut que je le reinstal et comment?
    ps mon lecteur cd est mort)
    merci de ton aide
    0
  3. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    * Télécharge sur le bureau RogueKiller : ici

    * Quitte tous les programmes en cours

    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

    * Sinon lance simplement RogueKiller.exe

    * Lorsque demandé, tape 2 et valide

    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donne-moi son contenu .

    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas, le renommer en winlogon.exe
    0
  4. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    * Relance sur le bureau RogueKiller

    * Quitte tous les programmes en cours

    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

    * Sinon lance simplement RogueKiller.exe

    * Lorsque demandé, taper 6 et valide

    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donne-moi son contenu .

    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas, le renommer en winlogon.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pierroaccro Messages postés 9 Statut Membre
     
    j'ai pas de connection pour l instant donc je ne peut t envoyer ca pour le moment
    je pourrais que la semaine prochaine
    merci
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Avec l'ordi avec lequel tu nous écrit, télécharge roguekiller puis met-le sur une clé usb et met la clé usb sur l'ordi qui à le problème et installe roguekiller et fait ce que je t'ai dit plus haut ;-)
      0
  7. pierroaccro Messages postés 9 Statut Membre
     
    RogueKiller V6.2.1 [28/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: PropriÈtaire [Droits d'admin]
    Mode: Suppression -- Date : 18/10/2005 11:52:09

    §§§ Processus malicieux: 0 §§§

    §§§ Entrees de registre: 1 §§§
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    §§§ Fichiers / Dossiers particuliers: §§§

    §§§ Driver: [LOADED] §§§

    §§§ Infection : §§§

    §§§ Fichier HOSTS: §§§
    127.0.0.1 localhost

    §§§ MBR Verif: §§§

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9adf5368dc6ab6dc3870b0ede3d26901
    [BSP] d9ffdb53bb3928b74f6982e24d73a80d : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 50009 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 2bd8669d4a81b7ab1ddf477a55935a68
    [BSP] 22fcdf3a442cbb8b6714d6eff8707755 : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT16 [VISIBLE] Offset (sectors): 32 | Size: 1025 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    voila
    0
  8. pierroaccro Messages postés 9 Statut Membre
     
    RogueKiller V6.2.1 [28/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: PropriÈtaire [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 18/10/2005 11:58:24

    §§§ Processus malicieux: 0 §§§

    §§§ Driver: [LOADED] §§§

    Attributs de fichiers restaures:
    Bureau: Success 86 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 6 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 23 / Fail 0
    Mes documents: Success 24 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 245 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\Harddisk1\DP(1)0-0+17 -- 0x2 --> Restored

    §§§ Infection : §§§

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    et le deuxieme
    0
  9. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    *Télécharge Ransomfix (merci à Xplode) : ici

    *Lance-le. Il n'y a pas d'interface graphique : c'est normal :-)

    Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )

    *Donne-moi ce rapport ;-)
    0
  10. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    *Télécharge et met sur une clé usb Malwarebyte's Anti-Malware : ici

    -Installe-le sur le pc avec le virus

    -Met la base de définition à jour

    -Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )

    A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.

    Et poste-moi le rapport dans ta prochaine réponse :-)
    0
  11. pierroaccro Messages postés 9 Statut Membre
     
    # RansomFix v1.0 - Xplode
    # OS : Microsoft Windows XP Service Pack 2 (32 bits)
    # Username : PropriÈtaire - PIERROT-6210898 (Administrateur)

    _____| Winlogon - Shell |_____

    Value : iExplorer.exe [KO]
    Attempting to replace value...
    Successfully replaced, new value : explorer.exe

    _____| HKCU\..\Run |_____

    No bad key found

    _____| Explorer.exe |_____

    Checking explorer.exe...
    Found : C:\WINDOWS\explorer.exe [0xE284A15F1607903D4AB0814CC2412736]
    [KO] Checking for clean copy...
    Found : C:\WINDOWS\twexx32.dll [0x4C33E5B9A6197B6ED215F6CFBA0A2DAA]
    Attempting to replace bad explorer.exe file...
    Copied successfully !
    explorer.exe MD5 after RansomFix : [0x4C33E5B9A6197B6ED215F6CFBA0A2DAA]

    _____| EOF |_____
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Ok tu peux passer à MalwareBytes ;-)
      0
  12. pierroaccro Messages postés 9 Statut Membre
     
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de donnÈes: 8366

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    14/10/2005 14:53:59
    mbam-log-2005-10-14 (14-53-59).txt

    Type d'examen: Examen complet (C:\|)
    ElÈment(s) analysÈ(s): 194196
    Temps ÈcoulÈ: 45 minute(s), 21 seconde(s)

    Processus mÈmoire infectÈ(s): 0
    Module(s) mÈmoire infectÈ(s): 0
    ClÈ(s) du Registre infectÈe(s): 0
    Valeur(s) du Registre infectÈe(s): 0
    ElÈment(s) de donnÈes du Registre infectÈ(s): 1
    Dossier(s) infectÈ(s): 0
    Fichier(s) infectÈ(s): 1

    Processus mÈmoire infectÈ(s):
    (Aucun ÈlÈment nuisible dÈtectÈ)

    Module(s) mÈmoire infectÈ(s):
    (Aucun ÈlÈment nuisible dÈtectÈ)

    ClÈ(s) du Registre infectÈe(s):
    (Aucun ÈlÈment nuisible dÈtectÈ)

    Valeur(s) du Registre infectÈe(s):
    (Aucun ÈlÈment nuisible dÈtectÈ)

    ElÈment(s) de donnÈes du Registre infectÈ(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (iExplorer.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infectÈ(s):
    (Aucun ÈlÈment nuisible dÈtectÈ)

    Fichier(s) infectÈ(s):
    c:\system volume information\_restore{efa57ace-ff8a-4045-a2ee-661fe0d13dec}\rp148\a0158585.exe (Spyware.Password) -> Quarantined and deleted successfully.
    0
  13. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Alors encore des problèmes ?
    ;-)
    0
  14. pierroaccro Messages postés 9 Statut Membre
     
    le virus "shell"
    a ete mis en quarantaine
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      et supprimer aussi
      0
    2. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Tu as retrouvé ton bureau ?
      0
  15. pierroaccro Messages postés 9 Statut Membre
     
    haaaa je me sens nul!
    bravo c'etait tout bêtement ca!
    j'ai fais mon boulet
    un grand merci a toi en tout cas!
    c'est super
    passe de très bonnes fetes!
    0
    1. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
       
      Non c'est pas grave c'était un plaisir de désinfecter ton pc ;-)
      0
  16. dr.pc1 Messages postés 5077 Statut Contributeur 1 039
     
    Attends :-)

    Pour Désinstaller les outils de désinfections :

    ** Télécharge Delfix : ici puis exécute Delfix sur ton bureau.

    * Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message.

    * Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

    Après :

    ------------------------------------------------------------------------------------------------------

    * Télécharge PureRa (par l''editeur de JavaRa) : ici

    - Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

    - clique sur "Clean"

    - L''outil va faire son scan puis son nettoyage

    - à la fin du scan tu auras une ligne comme ca :

    Total space cleaned: 7657532 bytes

    - Donne moi juste cette ligne.

    ----------------------------------------------------------------------------------------------------

    Un peu de lecture :

    Sécuriser son ordinateur : ici

    /!\ à faire /!\ Activer Détection PUP/LPI : ici

    ----------------------------------------------------------------------------------------------------

    N'oublie pas de mettre le sujet en ---> résolu <---

    Si tu as encore des problèmes n'hésite pas à revenir sur CCM :-)

    Et Bonne année d'avance =)
    0