Virus gendarmerie - erreur explorer
lantecoste
Messages postés
78
Statut
Membre
-
lantecoste Messages postés 78 Statut Membre -
lantecoste Messages postés 78 Statut Membre -
Bonjour,
J'ai été infecté par le virus gendarmerie, sur plusieurs solution proposées j'ai pris celle où on modifie la clef Shell.
J'ai suivi toutes les instructions mais lorsque je vais sur le site https://www.malekal.com/download/explorer_Vista_SP2.exe je télécharge le nouveau explorer, je l'enregistre à la place de l'explorer malicieux, je modifie ensuite la clef Shell :
iexplore.exe -> explorer.exe
Puis je redémarre en mode normal, mais lorsque je tappe mon mot de passe, un message s'affiche à l'ouverture de la session :
Explorer_Vista_SP2.exe - Erreur d'application
L'application n'a pas réussi à être démarrée (0xc0000142)
Cliquer sur OK pour fermer l'application.
J'ai essayé plusieurs fois de réenregistrer explorer.exe, aussi sur un autre site :
http://tech2tech.fr/download/explorer_Vista_SP2.exe
Toujours le même message qui s'affiche à l'ouverture de la session.
Aidez moi SVP
Merci
Solène
J'ai été infecté par le virus gendarmerie, sur plusieurs solution proposées j'ai pris celle où on modifie la clef Shell.
J'ai suivi toutes les instructions mais lorsque je vais sur le site https://www.malekal.com/download/explorer_Vista_SP2.exe je télécharge le nouveau explorer, je l'enregistre à la place de l'explorer malicieux, je modifie ensuite la clef Shell :
iexplore.exe -> explorer.exe
Puis je redémarre en mode normal, mais lorsque je tappe mon mot de passe, un message s'affiche à l'ouverture de la session :
Explorer_Vista_SP2.exe - Erreur d'application
L'application n'a pas réussi à être démarrée (0xc0000142)
Cliquer sur OK pour fermer l'application.
J'ai essayé plusieurs fois de réenregistrer explorer.exe, aussi sur un autre site :
http://tech2tech.fr/download/explorer_Vista_SP2.exe
Toujours le même message qui s'affiche à l'ouverture de la session.
Aidez moi SVP
Merci
Solène
A voir également:
- Virus gendarmerie - erreur explorer
- Explorer patcher - Télécharger - Personnalisation
- Internet explorer - Guide
- Internet explorer 11 - Télécharger - Navigateurs
- Virus mcafee - Accueil - Piratage
- Internet explorer 8 - Télécharger - Navigateurs
9 réponses
Salut,
Si tu es sur Vista, ça sert à rien de remplacer le fichier normalement.
Le mode sans échec fonctionne ?
T'as un bureau ou pas ?
Si tu es sur Vista, ça sert à rien de remplacer le fichier normalement.
Le mode sans échec fonctionne ?
T'as un bureau ou pas ?
lantecoste
Messages postés
78
Statut
Membre
1
Le mode sans échec fonctionne, mais le bureau ne s'affiche pas.
Bonjour,
Voici le rapport :
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.04.02
Windows 7 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7600.16385
williams :: WILLIAMS-PC [administrateur]
Protection: Désactivé
04/03/2012 12:36:06
rapport
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 356491
Temps écoulé: 44 minute(s), 42 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Données: C:\Users\williams\AppData\Roaming\04ji4ywu.exe -> Aucune action effectuée.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
C:\Users\williams\AppData\Local\Temp\0.0634376600677728567f76.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.
C:\Users\williams\AppData\Local\Temp\0.1841413618576700567f76.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
C:\Windows\Tasks\CommonControlSchedule.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.
(fin)
Voici le rapport :
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.04.02
Windows 7 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7600.16385
williams :: WILLIAMS-PC [administrateur]
Protection: Désactivé
04/03/2012 12:36:06
rapport
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 356491
Temps écoulé: 44 minute(s), 42 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Données: C:\Users\williams\AppData\Roaming\04ji4ywu.exe -> Aucune action effectuée.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
C:\Users\williams\AppData\Local\Temp\0.0634376600677728567f76.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.
C:\Users\williams\AppData\Local\Temp\0.1841413618576700567f76.exe (Trojan.Cryptbel.Gen) -> Aucune action effectuée.
C:\Windows\Tasks\CommonControlSchedule.exe (Trojan.VUPX.PTI2) -> Aucune action effectuée.
(fin)
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Voici les liens :
OTL.TXT : https://pjjoint.malekal.com/files.php?id=20120304_b15g5u9q6o10
Extra.TXT : https://pjjoint.malekal.com/files.php?id=20120304_m10f12b7o14t13
OTL.TXT : https://pjjoint.malekal.com/files.php?id=20120304_b15g5u9q6o10
Extra.TXT : https://pjjoint.malekal.com/files.php?id=20120304_m10f12b7o14t13
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Envoie C:\Windows\tasks\CommonControlSchedule.exe sur http://upload.malekal.Com via le bouton Parcourir.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKCU..\Run: [04ji4ywu.exe] C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Belkin Corporation)
[2012/02/22 17:12:12 | 000,214,528 | ---- | C] (Belkin Corporation) -- C:\Users\williams\AppData\Roaming\04ji4ywu.exe
[2012/02/22 17:11:41 | 000,211,968 | ---- | C] (Promise Technology, Inc.) -- C:\Windows\tasks\CommonControlSchedule.exe
* redemarre le pc sous windows et poste le rapport ici
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKCU..\Run: [04ji4ywu.exe] C:\Users\williams\AppData\Roaming\04ji4ywu.exe (Belkin Corporation)
[2012/02/22 17:12:12 | 000,214,528 | ---- | C] (Belkin Corporation) -- C:\Users\williams\AppData\Roaming\04ji4ywu.exe
[2012/02/22 17:11:41 | 000,211,968 | ---- | C] (Promise Technology, Inc.) -- C:\Windows\tasks\CommonControlSchedule.exe
* redemarre le pc sous windows et poste le rapport ici
Voici le rapport :
===== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\04ji4ywu.exe not found.
File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
File C:\Windows\tasks\CommonControlSchedule.exe not found.
OTL by OldTimer - Version 3.2.35.0 log created on 03042012_173800
===== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\04ji4ywu.exe not found.
File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
File C:\Users\williams\AppData\Roaming\04ji4ywu.exe not found.
File C:\Windows\tasks\CommonControlSchedule.exe not found.
OTL by OldTimer - Version 3.2.35.0 log created on 03042012_173800
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Oui je le sais, l'ordinateur (qui appartient à mon oncle) n'avait pas d'antivirus, et certainement aucun logiciel mis à jour, je sais donc d'où vient le problème. Mais mon problème n'est toujours pas résolu, lorsque j'allume l'ordi, j'ai toujours le même message d'erreur qui s'affiche, et toujours pas de bureau (comme je vous l'ai précisé en commentaire dans votre premier message) :
Explorer.exe - Erreur d'application
L'application n'a pas réussi à être démarrée (0xc0000142)
Cliquer sur OK pour fermer l'application.
Explorer.exe - Erreur d'application
L'application n'a pas réussi à être démarrée (0xc0000142)
Cliquer sur OK pour fermer l'application.
Bonjour,
Se rendre en mode sans échec avec prise en charge du réseau.Ensuite
* Téléchargez Malwarebytes'.
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* Installez le logiciel en suivant les étapes indiquées.
* A la fin de l'installation, laissez coché les cases: "Mettre à jour Malwarebytes' Anti-Malware" et "Exécuter Malwarebytes' Anti-Malware" puis cliquez sur "Terminer".
* Le logiciel va alors mettre à jour sa base de données automatiquement, une fois cette étape terminée, cliquez sur "OK".
* Pour effectuer un scan, vous n'aurez alors plus qu'à cliquer sur le bouton "Rechercher" en ayant au préalable sélectionné la case "Exécuter un examen complet".
* Une fois le scan terminé, (entre 10 minutes à plusieurs heures) Malwarebytes' affichera son rapport. Postez-le dans votre prochaine réponse sur le forum.
Se rendre en mode sans échec avec prise en charge du réseau.Ensuite
* Téléchargez Malwarebytes'.
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* Installez le logiciel en suivant les étapes indiquées.
* A la fin de l'installation, laissez coché les cases: "Mettre à jour Malwarebytes' Anti-Malware" et "Exécuter Malwarebytes' Anti-Malware" puis cliquez sur "Terminer".
* Le logiciel va alors mettre à jour sa base de données automatiquement, une fois cette étape terminée, cliquez sur "OK".
* Pour effectuer un scan, vous n'aurez alors plus qu'à cliquer sur le bouton "Rechercher" en ayant au préalable sélectionné la case "Exécuter un examen complet".
* Une fois le scan terminé, (entre 10 minutes à plusieurs heures) Malwarebytes' affichera son rapport. Postez-le dans votre prochaine réponse sur le forum.
