Virus gendarmerie tres costaud
jrmz
-
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité -
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité -
Bonjour,
(desole pour le manque d accents et de certains signes de ponctuation, je suis coince en qwerty)
Comme beaucoup je me retrouve coince avec le sympathique virus Gendarmerie...
Impossible de redemarrer en sans echec (je lance le mode sans echec mais il n arrive pas a se lancer et reboot la machine...)
J ai donc boote sur un liveCD OTLPE, et recupere un OTL.exe
http://pjjoint.malekal.com/files.php?id=20120312_t14t7s10y12g5 (pwd "jjj")
Que faire maintenant...? MERCI BEAUCOUP pour votre aide
(desole pour le manque d accents et de certains signes de ponctuation, je suis coince en qwerty)
Comme beaucoup je me retrouve coince avec le sympathique virus Gendarmerie...
Impossible de redemarrer en sans echec (je lance le mode sans echec mais il n arrive pas a se lancer et reboot la machine...)
J ai donc boote sur un liveCD OTLPE, et recupere un OTL.exe
http://pjjoint.malekal.com/files.php?id=20120312_t14t7s10y12g5 (pwd "jjj")
Que faire maintenant...? MERCI BEAUCOUP pour votre aide
A voir également:
- Virus gendarmerie tres costaud
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
2 réponses
Salut,
Peux-tu envoyer le fichier C:\WINDOWS\system32\C21B66A894573D7F355A.exe sur http://upload.malekal.com à partir du bouton parcourir sur le site.
puis tente ça:
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
F3 - HKU\jeremy.ALVEN_ON_C WinNT: Load - (C:\DOCUME~1\JEREMY~1.ALV\LOCALS~1\Temp\0331763694573D7F4E53.exe) - C:\Documents and Settings\jeremy.ALVEN\Local Settings\Temp\0331763694573D7F4E53.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\C21B66A894573D7F355A.exe) - C:\WINDOWS\system32\C21B66A894573D7F355A.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
[2012/02/29 17:26:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/02/29 17:26:12 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/02/29 17:08:06 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/02/29 17:07:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/02/29 17:07:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh321
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
* redemarre le pc sous windows et poste le rapport ici
Peux-tu envoyer le fichier C:\WINDOWS\system32\C21B66A894573D7F355A.exe sur http://upload.malekal.com à partir du bouton parcourir sur le site.
puis tente ça:
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
F3 - HKU\jeremy.ALVEN_ON_C WinNT: Load - (C:\DOCUME~1\JEREMY~1.ALV\LOCALS~1\Temp\0331763694573D7F4E53.exe) - C:\Documents and Settings\jeremy.ALVEN\Local Settings\Temp\0331763694573D7F4E53.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\C21B66A894573D7F355A.exe) - C:\WINDOWS\system32\C21B66A894573D7F355A.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
[2012/02/29 17:26:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/02/29 17:26:12 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/02/29 17:08:06 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/02/29 17:07:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/02/29 17:07:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh321
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
* redemarre le pc sous windows et poste le rapport ici
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Upload OK
Rapport du fix (tjs a partir du liveCD, pas encore essaye le reboot)
**********************************
========== OTL ==========
C:\Documents and Settings\jeremy.ALVEN\Local Settings\Temp\0331763694573D7F4E53.exe moved successfully.
Registry value HKEY_USERS\jeremy.ALVEN_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\DOCUME~1\JEREMY~1.ALV\LOCALS~1\Temp\0331763694573D7F4E53.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\C21B66A894573D7F355A.exe deleted successfully.
C:\WINDOWS\system32\C21B66A894573D7F355A.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
C:\WINDOWS\system32\winsh324 moved successfully.
C:\WINDOWS\system32\winsh320 moved successfully.
C:\WINDOWS\system32\winsh323 moved successfully.
C:\WINDOWS\system32\winsh322 moved successfully.
C:\WINDOWS\system32\winsh321 moved successfully.
========== REGISTRY ==========
HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
OTLPE by OldTimer - Version 3.1.48.0 log created on 03122012_212045
**********************************
As-tu compris ce qu'était C21B66A894573D7F355A.exe ?
Que dois-je faire maintenant ?