Virus Gendarmerie, rien ne marche ! :-\ Résolu/Fermé

Question

Bonjour, 

J'essaie de supprimer le virus/rogue Gendarmerie, celui qui se propage via les sites de streaming, mais impossible de l'éradiquer. 

J'ai essayé les méthodes préconisées sur internet, mais cela ne fonctionne pas.

Je précise que j'ai à faire à la version la plus coriace des 3 variantes répertoriées (celle qui bloque même le mode sans échec). 

Le système infecté est un portable Toshiba qui tourne sous Windows 7.


Voilà, en espérant que quelqu'un puisse m'aider, merci d'avance.

Utilisateur anonyme · Answer

Bonsoir

Le mode invite de commande ne fonctionne pas non plus?

@+

mos65c02 · Answer

Bonsoir, 

Merci pour ta réponse.

Si, le mode invite de commande fonctionne.
Comme je l'ai dit précédemment, j'ai essayé les différentes méthodes conseillées pour tenter de supprimer ce rogue, mais elles n'ont rien données :

- restauration -> malheureusement il ne trouve pas de point de restauration (pourtant la restauration du système est bien activée).

- modification de la base de registre pour avoir accès au net via internet explorer et récupérer/remplacer "explorer.exe" malicieux par le "explorer.exe Seven SP1" dispo sur le site de Malekal -> impossible de remplacer l'ancien par le nouveau, il ne veut pas.

- sfc /scannow -> correction d'un fichier corrompu et pourtant après redémarrage, rebelotte...


Je ne sais plus trop quoi faire. :-(

Utilisateur anonyme · Answer

Re

Il te reste l'option CDlive.
Cela permettra de remettre en place ce fichier sain  Explorer.exe


Télécharge OTLPE sur le bureau.
Prépare un CD vierge 
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM 
Pour se faire suivre ce lien : Booter sur un CD 
Tuto OTLPE 

Tu lances l'iso d'OTLPE que tu as gravé. 
*	une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune 

*	Double-clique sur l'icone OTLPE 
*	quand demandé "Do you wish to load the remote registry", select Yes 
*	quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes 
*	vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK 
*	sous Custom Scan box 
1) copie_colle le contenu du cadre ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
cdrom.sys 
disk.sys 
ndis.sys 
mountmgr.sys 
aec.sys 
rasacd.sys 
mrxsmb10.sys 
mrxsmb20.sys 
termdd.sys 
mrxsmb.sys 
win32k.sys 
storport.sys 
IdeChnDr.sys 
viasraid.sys 
explorer.exe 
winlogon.exe 
wininit.exe
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
CREATERESTOREPOINT 

*	copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller. 

*	2) Clic Run Scan pour démarrer le scan. 
*	Une fois terminé , le fichier se trouve là C:\OTL.txt 
*	Copie_colle le contenu dans ta prochaine réponse. 


@+

mos65c02 · Answer

Okay, je vais récupérer OTLPE.


Je voulais juste ajouter autre chose : est-il normal d'avoir 2 fichiers explorer.exe dans C:\Windows ?

- 1 explorer.exe qui fait 210 Ko -> qui donne comme infos en Description du fichier : "Wharf Louis Macro" et en Entreprise : "Mach5 software"

- 1 explorer.exe qui fait 2,49 Mo. Lui je pense que c'est le bon, mais l'autre ?

mos65c02 · Answer

OK, merci, c'est bien ce qui me semblait.

Je vais essayer de le renommer en .OLD pour voir.

Après j'attaque avec OTLPE.

mos65c02 · Answer

Re,

Quand j'ai lancé OTLPE depuis le bureau de Reatogo, un popup est apparu "Browse For Folder". 
Là, j'ai sélectionné le volume correspondant au système d'exploitation, et un message m'a indiqué : Target is not Windows 2000 or later.

Comment faire ?

mos65c02 · Answer

Bonjour,

En insistant j'ai fini par trouver pourquoi OTLPE ne marchait pas. Je ne sélectionnais que le volume Local Disk (qui est E: ici), alors qu'il fallait l'ouvrir et aller jusqu'au dossier Windows. 

Donc voici le rapport OTLPE (après avoir suivi tes indications, en copiant/collant la liste que tu m'as donnée dans "Custom Scans"), je l'ai uploadé sur cjoint.com car il est assez long : 

http://cjoint.com/?3BqkOJ9U9pR

angelina1002 · Answer

tu fais réparer ordinateur et c'est bon moi jlais fais car les autres mode sans échec etc ne marchai pas et réparer ordinateur impeccable voila

mos65c02 · Answer

angelina1002,  

Heu... si c'est de l'option "réparer" dont tu parles, déjà essayé sans succès...

Utilisateur anonyme · Answer

Bonsoir

* Double-clique sur l'icone OTLPE 
* quand demandé "Do you wish to load the remote registry", selectionne "Yes" 
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes" 
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK 


http://imagesup.org/image 

* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX 

:otl
O20 - HKLM Winlogon: Shell - (expl?rer.exe) -  File not found

:files  
E:\Windows\explorer.exe | E:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe /replace


tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse


@+

mos65c02 · Answer

Bonsoir,

Merci pour ton aide.

Juste une question avant de copier/coller les lignes dans OTLPE.
Ce soir, mon "Local Disk" n'est plus E: mais est devenu D: (vas savoir pourquoi).


Donc concernant la ligne ci-dessous, ne faut-il pas remplacer E: par D: ?

:files
E:\Windows\explorer.exe | E:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe /replace


Excuse-moi de t'embêter avec mes questions, mais je ne voudrais pas faire de bétises.

mos65c02 · Answer

Okay, merci. Je fais la modif et je lance RUNFIX.

mos65c02 · Answer

Bon, c'est fait ça a été quasi instantané. 

Maintenant j'ai un popup qui me dit "The system requires a reboot to finish removing files."

Je reboote sur Reatogo ou sur Windows 7 ?

mos65c02 · Answer

J'ai fait DEMARRER/Redémarrer, l'écran s'est foncé puis il est resté bloqué comme ça, le CDlive s'est arrété de tourner. J'ai attendu un moment puis j'ai éteint le micro avec le bouton marche/arrêt. 

J'ai ensuite redémarré l'ordi sur Reatogo. 

Qu'est-ce que je fais, je relance OTLPE ?
(je n'ai aucun rapport qui s'est affiché ou qui a été enregistré à la racine de D: cette fois, le seul rapport enregistré est celui fait ce matin)

mos65c02 · Answer

Le démarrage normal de Windows se passe correctement jusqu'à la page de bienvenue de Windows 7. Ensuite, l'écran passe au noir et le pointeur de la souris s'affiche. Pas de Bureau, ni de barre de tâche, ni de menu Démarrer, ni d'icônes... rien qu'un écran noir !

En revanche, CTRL+ALT+SUPPR permet de passer à la page d'accueil et d'éventuellement lancer le Gestionnaire des tâches.

Par curiosité, j'ai fait Exécuter -> explorer.exe
Et là il m'ouvre le gestionnaire de fichier ! (la même fenêtre que lorsqu'on clique sur "Poste de Travail" ou "Ordinateur" ou Win+E).

J'ai l'impression qu'on progresse. ;-)

En tout cas toujours pas de Bureau pour le moment.

Utilisateur anonyme · Answer

Re

As tu accès à Internet;après exécution de explorer.exe?

Fait ceci:

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

YakuSound · Answer

salut si ton ton ordinateur est toujour bloquer lors du demarrage appui sur F8 plsieur foi jusqua que tu puisse voir un menu ou il y a ecrit demmarrage de windows en mode sans echec avec prise en charge du réseau pui telecharge malwarebyte fais un scan COMPLET  sa prendras peu etre 1 bonne heur voir+ puis detruit les voila

mos65c02 · Answer

J'ai posté le rapport RogueKiller sur :

http://cjoint.com/?3BqwnRzWYeu

Utilisateur anonyme · Answer

Re

Procède à la mise à jour de ton Windows via Windows Update.

Tiens moi au courant;merci

@+

mos65c02 · Answer

D'accord, d'ailleurs il me le propose quand je fais CTRL+ALT+SUPPR (Eteindre l'ordinateur et appliquer les mises à jour).

mos65c02 · Answer

Guillaume5188,

J'ai pu faire les quelques petites mises à jour que Windows 7 me proposait en éteignant l'ordinateur (le fameux petit bouclier jaune sur l'icône "extinction").

Ensuite, j'ai fait : Redémarrage de l'ordinteur -> toujours écran noir -> donc ctrl+alt+suppr -> gestionnaire des tâches -> exécuter wscui.cpl -> et enfin, Windows update. Et là, impossible d'installer la grosse mise à jour disponible dans Windows Update, à savoir le SP1 de Win 7.
Lorsque je lance la mise à jour, il m'affiche un message m'indiquant qu'il prépare l'installation, et 15 minutes après, j'ai un autre message d'erreur, il n'a pas pu installer la mise à jour (le Service Pack 1).

J'ai re-essayé 3 fois et toujours le même message, même après avoir arrêté l'ordi et redémarré.


@ YakuSound : Non, car ce n'est pas mon ordinateur. C'est celui d'un ami que j'essaie d'aider (c'est son employeur qui lui a prété le PC, et c'est pour cela que c'est un cas un peu sensible en fait). Si ça avait été ma machine, ça fait belle lurette que j'aurais tout réinstallé (surtout que je fais régulièrement des images du système pour réinstall + rapide quand nécessaire).


Encore une petite question : lorsque Windows 7 démarre sur l'écran noir et que je lance explorer.exe, ce n'est pas le Bureau qui démarre, mais le gestionnaire de fichiers.
A partir de là, on a accès à pas mal de choses, au contenu du disque dur, aux dossiers, aux fichiers etc., il est même possible de lancer iexplore.exe pour accéder à internet.

Cependant lorsque j'insère une clé USB, il ne semble pas la détecter.
Y aurait-il un moyen, une manip' particulière pour qu'il puisse détecter une clé USB si j'en insère une ?

Utilisateur anonyme · Answer

Bonjour

Lis tranquillement ce poste.

Modification de la clé shell 

https://www.malekal.com/virus-gendarmerie-sur-seven-unicode-powa/

Tiens moi au courant
Dans un premier temps on rétablit le bureau.

On verra le reste ensuite

@+

mos65c02 · Answer

Bonjour Guillaume5188,

Il y a du nouveau, le Bureau est revenu ! Ouf ! (J'en connais un qui va être content quand il va l'apprendre !).

En fait, hier soir, tu m'as demandé de passer par OTLPE pour faire RUNFIX avec les 2 lignes à ajouter que tu avais collées dans ton post, ce que j'ai fait, OTLPE m'a demandé de redémarrer, mais lorsque j'ai cliqué sur "Restart" l'ordi s'est bloqué.
Il m'a alors fallu l'éteindre par le bouton marche/arrêt du portable. 
Puis après le redémarrage, toujours écran noir.

Tout à l'heure, je me suis dit qu'OTLPE n'avait peut-être pas finalisé la modification hier soir. J'ai ainsi retenté la même manip' avec OTLPE. Cette fois il ne s'est pas bloqué, a redémarré, je n'ai pas eu le temps de faire F12 pour choisir de démarrer sur le CD et donc la séquence de démarrage s'est poursuivie jusqu'au bout pour finalement se terminer par l'apparition du Bureau !

Là-dessus, j'en ai profité pour faire les mises à jour, elles sont toutes passées. Ca a pris un moment, mais tout s'est bien déroulé. Win 7 est maintenant en SP1.

J'ai également mis à jour Adobe Reader 9.

Par contre le Centre de Sécurité refuse de s'activer, il m'affiche une alerte dans la zone de notification. J'ai vérifié le service, il est désactivé (mais j'ai un doute sur ce point). Pareil pour Windows Defender, refuse de s'activer. 

Quant à la clé USB, toujours rien. :-(

Enfin, bref, on a quand même sacrément progressé !


Là j'envisage de créer un point de restauration. Et d'installer quelques programmes (Ccleaner, Spywareblaster, Revouninstaller, Secunia PSI etc.) et de faire un bon nettoye de l'engin.


Qu'en penses-tu ?

Utilisateur anonyme · Answer

Re

1)Active le centre de sécurité et également Windoxs Defender.


2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


3)Adobe reader est lourd ;un petit logiciel comme Foxit reader suffit amplement pour lire un fichier au format PDF.


Inutile d'installer Spywaresblaster;Malwaresbytes suffit 
Ccleaner peut être utile également


On verra ensuite pour la détection de cette clé usb.

@+

mos65c02 · Answer

Re,

1) Fait
2) Fait
3) Fait

Pour le problème de clé USB, j'ai fait quelques essais avec mes 2 autres clés USB qui, elles, sont reconnues sans problèmes. Donc il y en a 1 sur les 3 qui est récalcitrante. En fait, ce qui est bizarre c'est qu'elle apparaît dans "périphériques et imprimantes", mais elle n'est pas reconnue dans le gestionnaire de fichiers (où seulement le Disque dur et le graveur de DVD sont présents).

C'est étonnant car cette même clé USB a toujours très bien fonctionné sur tous les ordinateurs sur lesquels je l'ai branché...

Utilisateur anonyme · Answer

Re Laisse tomber avec cette clé. Toutes les autres fonctionnent. 1) Télécharge DelFix de Xplode * Lance le. * A l'invite, [Suppression] * Un rapport va s'ouvrir à la fin, colle le dans la réponse Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation] 2)C - Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ .enregistres le sur le bureau .double-cliques sur le fichier pour lancer l'installation .sur la fenêtre de l'installation langage bien choisir français et OK .cliques sur suivant .lis la licence et j'accepte .cliques sur suivant .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner .cliques sur installer .cliques sur fermer .double-cliques sur l'icône de Ccleaner pour l'ouvrir .une fois ouvert tu cliques sur option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures .cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch .cliques sur analyse une fois l'analyse terminé .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien .clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK .il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner. Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm 3)Purge la restauration sur Seven Comment faire : http://www.forum-seven.com/forum/ Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections Pour se qui te concerne la partie activation de la restauration et la création d'un point de restauration. @+

mos65c02 · Answer

J'ai fait ce que tu m'as demandé.

Voici le rapport de Delfix :

# DelFix v8.8 - Rapport créé le 17/02/2012 à 20:44:59
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)
# Nom d'utilisateur : EB (Administrateur)
# Exécuté depuis : C:\Users\EN\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [629 octets] - [17/02/2012 20:44:42]
DelFix[S1].txt - [586 octets] - [17/02/2012 20:44:59]

########## EOF - C:\DelFix[S1].txt - [709 octets] ##########



L'ordinateur fonctionne bien.
Y'a juste un petit truc, c'est que lorsqu'on éteint l'ordinateur, il y a systématiquement une page qui s'affiche indiquant que qu'un programme a planté, avant que l'ordi ne s'éteigne 20 secondes après. Ce n'est pas gênant outre mesure. Mais est-ce qu'il y a un moyen de savoir quel programme a du mal a s'arrêter ?

Voilà, à part ça tout est OK ! :-)

mos65c02 · Answer

Ben en fait il m'affiche :

"Encore un programme doit se fermer :
Disque Local (C:)

Pour fermer le programme qui empêche Windows de s'arrêter, cliquer sur Annuler, puis fermez le programme." 


Y'a aucun nom de programme particulier.

Utilisateur anonyme · Answer

Re

Regarde dans le journal des événements

@+

mos65c02 · Answer

Très bien, je vais vérifier le journal des événements.

Sinon, pour le reste tout est OK.
Je pense que c'est bon.

Il ne me reste plus qu'à te remercier, et l'ami qui m'a confié son ordi se joint à moi pour te remercier également pour ton aide et tes conseils. 

Merci !

Frédéric

mos65c02 · Answer

Oui, c'est bon de mon côté !

Merci encore !

A plus,
Fred

Virus Gendarmerie, rien ne marche ! :-\

31 réponses

Discussions similaires

Newsletters