Virus Gendarmerie, rien ne marche ! :-\

Résolu
mos65c02 -  
 mos65c02 -
Bonjour,

J'essaie de supprimer le virus/rogue Gendarmerie, celui qui se propage via les sites de streaming, mais impossible de l'éradiquer.

J'ai essayé les méthodes préconisées sur internet, mais cela ne fonctionne pas.

Je précise que j'ai à faire à la version la plus coriace des 3 variantes répertoriées (celle qui bloque même le mode sans échec).

Le système infecté est un portable Toshiba qui tourne sous Windows 7.

Voilà, en espérant que quelqu'un puisse m'aider, merci d'avance.

31 réponses

  • 1
  • 2
Résumé de la discussion

Problème de suppression du virus/rogue Gendarmerie sur Windows 7, infectant un portable Toshiba et bloquant même le mode sans échec, malgré les méthodes recommandées sur internet. Plusieurs approches recommandent d’utiliser DelFix pour purger les clés de démarrage et les composants malveillants, puis de démarrer sur un CD live avec OTLPE afin de vérifier les services et restaurer Explorer.exe. Le processus consiste à boot sur CD/DVD, charger OTLPE, lancer un scan personnalisé et copier les résultats afin de supprimer des éléments indésirables et de restaurer les fichiers système critiques. Des échanges signalent aussi des soucis avec une clé USB problématique et des questions sur la localisation du processus qui plante, sans statut final de résolution.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonsoir

    Le mode invite de commande ne fonctionne pas non plus?

    @+
    0
  2. mos65c02
     
    Bonsoir,

    Merci pour ta réponse.

    Si, le mode invite de commande fonctionne.
    Comme je l'ai dit précédemment, j'ai essayé les différentes méthodes conseillées pour tenter de supprimer ce rogue, mais elles n'ont rien données :

    - restauration -> malheureusement il ne trouve pas de point de restauration (pourtant la restauration du système est bien activée).

    - modification de la base de registre pour avoir accès au net via internet explorer et récupérer/remplacer "explorer.exe" malicieux par le "explorer.exe Seven SP1" dispo sur le site de Malekal -> impossible de remplacer l'ancien par le nouveau, il ne veut pas.

    - sfc /scannow -> correction d'un fichier corrompu et pourtant après redémarrage, rebelotte...

    Je ne sais plus trop quoi faire. :-(
    0
  3. Utilisateur anonyme
     
    Re

    Il te reste l'option CDlive.
    Cela permettra de remettre en place ce fichier sain Explorer.exe

    Télécharge OTLPE sur le bureau.
    Prépare un CD vierge
    Utilise un logiciel de gravure dont tu disposes.
    Ou celui-ci Cdburner
    Attention il s'agit de graver une imageISO
    Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
    Pour se faire suivre ce lien : Booter sur un CD
    Tuto OTLPE

    Tu lances l'iso d'OTLPE que tu as gravé.
    * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", select Yes
    * quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
    * vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
    * sous Custom Scan box
    1) copie_colle le contenu du cadre ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    explorer.exe
    winlogon.exe
    wininit.exe
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

    * 2) Clic Run Scan pour démarrer le scan.
    * Une fois terminé , le fichier se trouve là C:\OTL.txt
    * Copie_colle le contenu dans ta prochaine réponse.

    @+
    0
  4. mos65c02
     
    Okay, je vais récupérer OTLPE.

    Je voulais juste ajouter autre chose : est-il normal d'avoir 2 fichiers explorer.exe dans C:\Windows ?

    - 1 explorer.exe qui fait 210 Ko -> qui donne comme infos en Description du fichier : "Wharf Louis Macro" et en Entreprise : "Mach5 software"

    - 1 explorer.exe qui fait 2,49 Mo. Lui je pense que c'est le bon, mais l'autre ?
    0
    1. Utilisateur anonyme
       
      je dirais que non
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mos65c02
     
    OK, merci, c'est bien ce qui me semblait.

    Je vais essayer de le renommer en .OLD pour voir.

    Après j'attaque avec OTLPE.
    0
  7. mos65c02
     
    Re,

    Quand j'ai lancé OTLPE depuis le bureau de Reatogo, un popup est apparu "Browse For Folder".
    Là, j'ai sélectionné le volume correspondant au système d'exploitation, et un message m'a indiqué : Target is not Windows 2000 or later.

    Comment faire ?
    0
  8. mos65c02
     
    Bonjour,

    En insistant j'ai fini par trouver pourquoi OTLPE ne marchait pas. Je ne sélectionnais que le volume Local Disk (qui est E: ici), alors qu'il fallait l'ouvrir et aller jusqu'au dossier Windows.

    Donc voici le rapport OTLPE (après avoir suivi tes indications, en copiant/collant la liste que tu m'as donnée dans "Custom Scans"), je l'ai uploadé sur cjoint.com car il est assez long :

    http://cjoint.com/?3BqkOJ9U9pR
    0
  9. angelina1002
     
    tu fais réparer ordinateur et c'est bon moi jlais fais car les autres mode sans échec etc ne marchai pas et réparer ordinateur impeccable voila
    0
  10. mos65c02
     
    angelina1002,

    Heu... si c'est de l'option "réparer" dont tu parles, déjà essayé sans succès...
    0
  11. Utilisateur anonyme
     
    Bonsoir

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", selectionne "Yes"
    * quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
    * verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK

    http://imagesup.org/image

    * sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX

    :otl
    O20 - HKLM Winlogon: Shell - (expl?rer.exe) - File not found

    :files
    E:\Windows\explorer.exe | E:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe /replace


    tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse

    @+
    0
  12. mos65c02
     
    Bonsoir,

    Merci pour ton aide.

    Juste une question avant de copier/coller les lignes dans OTLPE.
    Ce soir, mon "Local Disk" n'est plus E: mais est devenu D: (vas savoir pourquoi).

    Donc concernant la ligne ci-dessous, ne faut-il pas remplacer E: par D: ?

    :files
    E:\Windows\explorer.exe | E:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe /replace


    Excuse-moi de t'embêter avec mes questions, mais je ne voudrais pas faire de bétises.
    0
    1. Utilisateur anonyme
       
      Effectivement il faut mettre D
      0
  13. mos65c02
     
    Okay, merci. Je fais la modif et je lance RUNFIX.
    0
  14. mos65c02
     
    Bon, c'est fait ça a été quasi instantané.

    Maintenant j'ai un popup qui me dit "The system requires a reboot to finish removing files."

    Je reboote sur Reatogo ou sur Windows 7 ?
    0
    1. Utilisateur anonyme
       
      oui;tu redémarres
      Par défaut si le CDlive reste en place ;reboot sur REATOGO
      0
  15. mos65c02
     
    J'ai fait DEMARRER/Redémarrer, l'écran s'est foncé puis il est resté bloqué comme ça, le CDlive s'est arrété de tourner. J'ai attendu un moment puis j'ai éteint le micro avec le bouton marche/arrêt.

    J'ai ensuite redémarré l'ordi sur Reatogo.

    Qu'est-ce que je fais, je relance OTLPE ?
    (je n'ai aucun rapport qui s'est affiché ou qui a été enregistré à la racine de D: cette fois, le seul rapport enregistré est celui fait ce matin)
    0
    1. Utilisateur anonyme
       
      essaie le démarrage normal Windows
      0
  16. mos65c02
     
    Le démarrage normal de Windows se passe correctement jusqu'à la page de bienvenue de Windows 7. Ensuite, l'écran passe au noir et le pointeur de la souris s'affiche. Pas de Bureau, ni de barre de tâche, ni de menu Démarrer, ni d'icônes... rien qu'un écran noir !

    En revanche, CTRL+ALT+SUPPR permet de passer à la page d'accueil et d'éventuellement lancer le Gestionnaire des tâches.

    Par curiosité, j'ai fait Exécuter -> explorer.exe
    Et là il m'ouvre le gestionnaire de fichier ! (la même fenêtre que lorsqu'on clique sur "Poste de Travail" ou "Ordinateur" ou Win+E).

    J'ai l'impression qu'on progresse. ;-)

    En tout cas toujours pas de Bureau pour le moment.
    0
  17. Utilisateur anonyme
     
    Re

    As tu accès à Internet;après exécution de explorer.exe?

    Fait ceci:

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+
    0
  18. mos65c02
     
    J'ai posté le rapport RogueKiller sur :

    http://cjoint.com/?3BqwnRzWYeu
    0
  19. Utilisateur anonyme
     
    Re

    Procède à la mise à jour de ton Windows via Windows Update.

    Tiens moi au courant;merci

    @+
    0
  20. mos65c02
     
    D'accord, d'ailleurs il me le propose quand je fais CTRL+ALT+SUPPR (Eteindre l'ordinateur et appliquer les mises à jour).
    0
    1. Utilisateur anonyme
       
      fait le ;-)
      0
    2. YakuSound Messages postés 112 Statut Membre 4
       
      Solution radical l'inux mais bon je sais pas vraiment si tu veux vraiment l'employer il suffit de creer une image de l'inux sur un disque ou une clee usb pui tu l'install a partir de la tu pourra recupéré tout tes dossier puis reformater ton disque dur (je ne sais pas vraiment si les terme que j'emploi soit exact car voila je suis étudian en informatique en 2nd voila tout) bonne chance
      0
    3. Utilisateur anonyme
       
      Bonsoir YakuSound

      Regarde ce qu'est OTLPE

      @+
      0
    4. YakuSound Messages postés 112 Statut Membre 4
       
      oui bon je croi que jvai me tair sa vaut mieu surtout si c'est pour me fair remballer ...@+
      0
  21. mos65c02
     
    Guillaume5188,

    J'ai pu faire les quelques petites mises à jour que Windows 7 me proposait en éteignant l'ordinateur (le fameux petit bouclier jaune sur l'icône "extinction").

    Ensuite, j'ai fait : Redémarrage de l'ordinteur -> toujours écran noir -> donc ctrl+alt+suppr -> gestionnaire des tâches -> exécuter wscui.cpl -> et enfin, Windows update. Et là, impossible d'installer la grosse mise à jour disponible dans Windows Update, à savoir le SP1 de Win 7.
    Lorsque je lance la mise à jour, il m'affiche un message m'indiquant qu'il prépare l'installation, et 15 minutes après, j'ai un autre message d'erreur, il n'a pas pu installer la mise à jour (le Service Pack 1).

    J'ai re-essayé 3 fois et toujours le même message, même après avoir arrêté l'ordi et redémarré.

    @ YakuSound : Non, car ce n'est pas mon ordinateur. C'est celui d'un ami que j'essaie d'aider (c'est son employeur qui lui a prété le PC, et c'est pour cela que c'est un cas un peu sensible en fait). Si ça avait été ma machine, ça fait belle lurette que j'aurais tout réinstallé (surtout que je fais régulièrement des images du système pour réinstall + rapide quand nécessaire).

    Encore une petite question : lorsque Windows 7 démarre sur l'écran noir et que je lance explorer.exe, ce n'est pas le Bureau qui démarre, mais le gestionnaire de fichiers.
    A partir de là, on a accès à pas mal de choses, au contenu du disque dur, aux dossiers, aux fichiers etc., il est même possible de lancer iexplore.exe pour accéder à internet.

    Cependant lorsque j'insère une clé USB, il ne semble pas la détecter.
    Y aurait-il un moyen, une manip' particulière pour qu'il puisse détecter une clé USB si j'en insère une ?
    0
  • 1
  • 2