Virus gendarmerie nationale moi aussi ...

balbo24 -  
 Utilisateur anonyme -
Bonjour,

Alors je vois que ce virus est à la mode en ce moment ...

Bon, j'ai déjà essayé le mode sans échec, ca ne marche pas. j'ai essayé aussi de passer par l'invite commande mais pas de fenêtre cmd.exe.

Sinon j'ai gravé un cd reatogo et là j'ai réussi à démarrer le pc sur le cd. J'ai donc accès au bureau mais je n'ai pas accès à internet.

Si quelqu'un pouvait m'aider à virer cette m**** ca serait sympa.

Merci d'avance.

(je suis sous windows xp)

19 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Et bien tu mets ce rapport OTLPE ici via un de ces liens:

    http://pjjoint.malekal.com/

    https://www.cjoint.com/

    tu lances OTLPE , l'icône jaune

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", select Yes
    * quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
    * vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
    * sous Custom Scan box
    1) copie_colle le contenu du cadre ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    explorer.exe
    winlogon.exe
    wininit.exe
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

    * 2) Clic Run Scan pour démarrer le scan.
    * Une fois terminé , le fichier se trouve là C:\OTL.txt
    * Copie_colle le contenu dans ta prochaine réponse.

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  2. balbo24
     
    Dejà merci de vous interesser à mon cas.

    je bloque déjà, j'ai essayé de transferer à partir de mon téléphone et d'un disque dur. Ca ne semble pas les détecter.faut il que je tape tout manuellement ? surtout que le clavier semble être qwerty
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. balbo24
     
    non non là je poste de mon ordi portable, mais comme j'ai pas de clé usb j'ai essayer de transférer le bloc note à partir du téléphone et de mon disque dur externe mais y a rien qui apparait dans le poste de travail.

    Et je crois que j'ai tout essayer, il me reste plus que cette méthode.
    0
  5. balbo24
     
    J'ai finalement réussi, il fallait brancher le DD avant de démarrer ...

    http://pjjoint.malekal.com/files.php?read=OTL_20120211_p6m11v9b15d13
    0
  6. Utilisateur anonyme
     
    Re

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", selectionne "Yes"
    * quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
    * verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK

    http://imagesup.org/image

    * sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX


    :OTL
    O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Esent Utl = C:\DOCUME~1\Casanova\LOCALS~1\APPLIC~1\MICROS~1\esentutl.exe /waitservice

    :files
    C:\WINDOWS\explorer.exe | C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace


    tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  7. balbo24
     
    http://pjjoint.malekal.com/files.php?read=OTL_20120211_e5e10c12v69

    voilà
    0
    1. Utilisateur anonyme
       
      Comment as tu procédé que cela n'ai pas fonctionné

      Tu as "copier" et "coller" ces lignes?

      @+
      0
    2. balbo24
       
      mince je recommence désolé je pense que j'ai du remettre run scan
      0
    3. balbo24
       
      ========== OTL ==========
      Registry value HKEY_USERS\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Esent Utl deleted successfully.
      ========== FILES ==========
      File C:\WINDOWS\explorer.exe successfully replaced with C:\WINDOWS\ServicePackFiles\i386\explorer.exe

      OTLPE by OldTimer - Version 3.1.48.0 log created on 02112012_153006
      0
  8. Utilisateur anonyme
     
    Re

    Démarre ton PC normalement.
    Cela fonctionne t 'il?

    @+
    0
  9. balbo24
     
    Oui merci ca marche, plus de trace de fichu virus :)
    0
  10. balbo24
     
    Alors j'ai skype, Adobe Flash Player 10.x et Sun Java JRE 1.6.x / 6.x qui semblent poser problème.

    J'ai lancer sans cocher Enable thorough system inspection, faut il recommencer avec ?
    0
    1. Utilisateur anonyme
       
      Tu procèdes à la mise à jour de chaque logiciel en cliquant sur le lien proposé.
      0
    2. balbo24
       
      ok tout est à jour
      0
  11. Utilisateur anonyme
     
    Re

    1)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=


    2)
    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  12. balbo24
     
    # AdwCleaner v1.408 - Rapport créé le 11/02/2012 à 16:21:17
    # Mis à jour le 29/01/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Casanova - HYACINTHE (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Casanova\Mes documents\Téléchargements\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v10.0 (fr)

    Profil : alrkuvwp.default
    Fichier : C:\Documents and Settings\Casanova\Application Data\Mozilla\Firefox\Profiles\alrkuvwp.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [5129 octets] - [10/02/2012 13:06:02]
    AdwCleaner[S2].txt - [909 octets] - [11/02/2012 16:21:17]

    *************************

    Dossier Temporaire : 7 dossier(s) et 19 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S2].txt - [1129 octets] ##########
    0
  13. balbo24
     
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.11.04

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    [administrateur]

    11/02/2012 16:31:41
    mbam-log-2012-02-11 (16-31-41).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 261763
    Temps écoulé: 50 minute(s), 27 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C73FD00D-A099-405C-92B4-8997710D187D} (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    c:\documents and settings\casanova\mes documents\téléchargements\pdfcreatorsetup.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Casanova\Application Data\Sun\Java\Deployment\cache\6.0\22\64593956-307ca0cd (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.
    C:\WINDOWS\system32\dllcache\explorer.exe (Trojan.Zbot.CBCGen) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    et hop le rapport mbam
    0
  14. Utilisateur anonyme
     
    Re

    1) Télécharge DelFix de Xplode

    * Lance le.
    * A l'invite, [Suppression]
    * Un rapport va s'ouvrir à la fin, colle le dans la réponse

    Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


    2)
    C - Ccleaner :

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .enregistres le sur le bureau
    .double-cliques sur le fichier pour lancer l'installation
    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur <gras>suivant

    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .clique maintenant sur registre et puis sur rechercher les erreurs
    .laisse tout coché et clique sur réparer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner.

    Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

    3)Purge la restauration comme ceci :
    http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

    Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

    @+
    0
  15. balbo24 Messages postés 1 Statut Membre
     
    # DelFix v8.7 - Rapport créé le 11/02/2012 à 17:55:51
    # Mis à jour le 01/12/11 à 20h par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Casanova\Mes documents\Téléchargements\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\_OTL
    Supprimé : C:\Kill'em

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\AdwCleaner[S2].txt
    Supprimé : C:\Documents and Settings\Casanova\Bureau\OTL.txt
    Supprimé : C:\Documents and Settings\Casanova\Bureau\WinsockxpFix.exe
    Supprimé : C:\Documents and Settings\Casanova\Mes documents\Téléchargements\adwcleaner.exe
    Supprimé : C:\Documents and Settings\Casanova\Mes documents\Téléchargements\List_Killem_Install.exe
    Supprimé : C:\Documents and Settings\Casanova\Mes documents\Téléchargements\ToolsCleaner2.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\List_Kill'em
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1345 octets] - [11/02/2012 17:55:51]

    ########## EOF - C:\DelFix[S1].txt - [1469 octets] ##########
    0
  16. balbo24
     
    Bon j'ai tout fait sauf la purge, j'arrive pas à me connecter en tant qu'admin en passant par le mode sans echec.
    0
  17. Utilisateur anonyme
     
    Re

    Pourquoi es tu en mode sans echec?

    @+
    0