Virus gendarmerie - erreur explorer

lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   -  
lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

J'ai été infecté par le virus gendarmerie, sur plusieurs solution proposées j'ai pris celle où on modifie la clef Shell.
J'ai suivi toutes les instructions mais lorsque je vais sur le site https://www.malekal.com/download/explorer_Vista_SP2.exe je télécharge le nouveau explorer, je l'enregistre à la place de l'explorer malicieux, je modifie ensuite la clef Shell :
iexplore.exe -> explorer.exe
Puis je redémarre en mode normal, mais lorsque je tappe mon mot de passe, un message s'affiche à l'ouverture de la session :
Explorer_Vista_SP2.exe - Erreur d'application
L'application n'a pas réussi à être démarrée (0xc0000142)
Cliquer sur OK pour fermer l'application.

J'ai essayé plusieurs fois de réenregistrer explorer.exe, aussi sur un autre site :
http://tech2tech.fr/download/explorer_Vista_SP2.exe

Toujours le même message qui s'affiche à l'ouverture de la session.
Aidez moi SVP
Merci
Solène

9 réponses

  1.
    Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Salut,

    Si tu es sur Vista, ça sert à rien de remplacer le fichier normalement.

    Le mode sans échec fonctionne ?
    T'as un bureau ou pas ?
    2
    1. lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   1
       
      Le mode sans échec fonctionne, mais le bureau ne s'affiche pas.
      0
  2. lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   1
     
    Bonjour,

    Voici le rapport :

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.04.02

    Windows 7 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 8.0.7600.16385
    williams :: WILLIAMS-PC [administrateur]

    Protection: Désactivé

    04/03/2012 12:36:06
    rapport

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 356491
    Temps écoulé: 44 minute(s), 42 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Données: C:\Users\williams\AppData\Roaming\04ji4ywu.exe -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 4
    C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
    C:\Users\williams\AppData\Local\Temp\0.0634376600677728567f76.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.
    C:\Users\williams\AppData\Local\Temp\0.1841413618576700567f76.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
    C:\Windows\Tasks\CommonControlSchedule.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.

    (fin)
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Envoie C:\Windows\tasks\CommonControlSchedule.exe sur http://upload.malekal.Com via le bouton Parcourir.

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKCU..\Run: [04ji4ywu.exe] C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Belkin Corporation)
    [2012/02/22 17:12:12 | 000,214,528 | ---- | C] (Belkin Corporation) -- C:\Users\williams\AppData\Roaming\04ji4ywu.exe
    [2012/02/22 17:11:41 | 000,211,968 | ---- | C] (Promise Technology, Inc.) -- C:\Windows\tasks\CommonControlSchedule.exe

    * redemarre le pc sous windows et poste le rapport ici

    0
  7. lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   1
     
    Voici le rapport :

    ===== OTL ==========
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\04ji4ywu.exe not found.
    File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
    File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
    File C:\Windows\tasks\CommonControlSchedule.exe not found.

    OTL by OldTimer - Version 3.2.35.0 log created on 03042012_173800
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 711
     
    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !
    0
  9. lantecoste Messages postés 76 Date d'inscription   Statut Membre Dernière intervention   1
     
    Oui je le sais, l'ordinateur (qui appartient à mon oncle) n'avait pas d'antivirus, et certainement aucun logiciel mis à jour, je sais donc d'où vient le problème. Mais mon problème n'est toujours pas résolu, lorsque j'allume l'ordi, j'ai toujours le même message d'erreur qui s'affiche, et toujours pas de bureau (comme je vous l'ai précisé en commentaire dans votre premier message) :

    Explorer.exe - Erreur d'application
    L'application n'a pas réussi à être démarrée (0xc0000142)
    Cliquer sur OK pour fermer l'application.
    0
  10. @mesam Messages postés 569 Statut Membre 22
     
    Bonjour,

    Se rendre en mode sans échec avec prise en charge du réseau.Ensuite

    * Téléchargez Malwarebytes'.
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    * Installez le logiciel en suivant les étapes indiquées.
    * A la fin de l'installation, laissez coché les cases: "Mettre à jour Malwarebytes' Anti-Malware" et "Exécuter Malwarebytes' Anti-Malware" puis cliquez sur "Terminer".
    * Le logiciel va alors mettre à jour sa base de données automatiquement, une fois cette étape terminée, cliquez sur "OK".
    * Pour effectuer un scan, vous n'aurez alors plus qu'à cliquer sur le bouton "Rechercher" en ayant au préalable sélectionné la case "Exécuter un examen complet".
    * Une fois le scan terminé, (entre 10 minutes à plusieurs heures) Malwarebytes' affichera son rapport. Postez-le dans votre prochaine réponse sur le forum.
    -2

Discussions similaires

App explorer Sa sert a quoi ?
Mada_alpha -
SATS_fr -

1 réponse
Erreur 3005 sur France TV
Cambodgil -
JeanPierre -

6 réponses
Problème streaming France 2
95 indomptable -
robmat2005 -

1 réponse