Probléme suite au trojan Gendarmerie
Ganaman
-
Ganaman -
Ganaman -
Bonjour,
voila j' ai eu la belle surprise de choper le trojan concernant la rançon gendarmerie, jusque la pas de souci, redémarrage en mode sans echec, nettoyage complet... et hop disparu...
Sauf que depuis plus d accés à aucun dossier ou fichier, impossible d accés au panneau de configuration, comme ci je n avais plus la main sur rien
Merci d' avance de votre aide
voila j' ai eu la belle surprise de choper le trojan concernant la rançon gendarmerie, jusque la pas de souci, redémarrage en mode sans echec, nettoyage complet... et hop disparu...
Sauf que depuis plus d accés à aucun dossier ou fichier, impossible d accés au panneau de configuration, comme ci je n avais plus la main sur rien
Merci d' avance de votre aide
A voir également:
- Probléme suite au trojan Gendarmerie
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Gendarmerie qui appelle avec un portable - Forum Vos droits sur internet
- Trojan agent ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
10 réponses
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
et :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
et :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/02/16 13:22:09 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\scjqnf.sys
[2012/02/15 15:44:39 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\vnenp.sys
[2012/02/14 19:09:04 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\ryyjwohp.sys
[2011/12/20 12:13:01 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\rglplv.sys
O20 - HKLM Winlogon: Shell - (explоrer.exe) - C:\Windows\explоrer.exe (Microsoft Corporation)
:files
C:\Windows\expl?rer.exe /U
:reg
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/02/16 13:22:09 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\scjqnf.sys
[2012/02/15 15:44:39 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\vnenp.sys
[2012/02/14 19:09:04 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\ryyjwohp.sys
[2011/12/20 12:13:01 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\rglplv.sys
O20 - HKLM Winlogon: Shell - (explоrer.exe) - C:\Windows\explоrer.exe (Microsoft Corporation)
:files
C:\Windows\expl?rer.exe /U
:reg
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
* redemarre le pc sous windows et poste le rapport ici
Re et merci pour ta réponse,
je te mets les rapports en Copier Coller ou pas ? car quand je le fais le forum refuse en me disant que je n ai pas de Titre au message
je te mets les rapports en Copier Coller ou pas ? car quand je le fais le forum refuse en me disant que je n ai pas de Titre au message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Pc de Catherine [Droits d'admin]
Mode: Suppression -- Date: 24/03/2012 14:59:40
¤¤¤ Processus malicieux: 4 ¤¤¤
[SUSP PATH] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[SUSP PATH] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[RESIDUE] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[RESIDUE] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FAKED] dfsc.sys : c:\windows\system32\drivers\dfsc.sys --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543216L9SA00 +++++
--- User ---
[MBR] 51d5c2f56e5bed77848266467c96dccb
[BSP] c5b84c378eeb4ce54f140a3372826456 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 76000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 158722048 | Size: 75125 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Pc de Catherine [Droits d'admin]
Mode: Suppression -- Date: 24/03/2012 14:59:40
¤¤¤ Processus malicieux: 4 ¤¤¤
[SUSP PATH] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[SUSP PATH] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[RESIDUE] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
[RESIDUE] expl?rer.exe -- C:\Windows\expl?rer.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[FAKED] dfsc.sys : c:\windows\system32\drivers\dfsc.sys --> CANNOT FIX
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543216L9SA00 +++++
--- User ---
[MBR] 51d5c2f56e5bed77848266467c96dccb
[BSP] c5b84c378eeb4ce54f140a3372826456 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 76000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 158722048 | Size: 75125 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
Voici le rapport AdwCleaner
' target='_blank' rel='nofollow'>http://pjjoint.malekal.com/files.php?read=20120324_d13k7i1315w12</code>
Voici le rapport OTL
http://pjjoint.malekal.com/files.php?read=OTL_20120324_l7b6x149x11
Voici le rapport EXTRA
http://pjjoint.malekal.com/files.php?read=OTL_Extras_20120324_i1114j14u9p11
http://pjjoint.malekal.com/files.php?read=OTL_20120324_l7b6x149x11
Voici le rapport EXTRA
http://pjjoint.malekal.com/files.php?read=OTL_Extras_20120324_i1114j14u9p11
