Gendarmerie & Police Nationale
Vawyr
-
vawyr Messages postés 1 Statut Membre -
vawyr Messages postés 1 Statut Membre -
Bien le bonjour!
Je me permet de créer une question car après maintes recherches sur le forum, je suis toujours bloqué.
Un ami a chopé le virus Gendarmerie & Police Nationale (il en avait déjà attrapé un au mois de janvier mais j'avais réussi à rentrer dans le mode Sans Echec pour modifier les erreurs).
Comme cette version est plus vicieuse, elle bloque ce mode ce qui me met dans l'incapacité d'effectuer la même manip'.
J'ai donc gravé Kapersky Live CD et Microsoft Standalone System Sweeper Tool afin d'éxaminer le contenu du disque dur. Les logiciels ont donc trouvé le cheval de troie et l'ont (apparement) zigouillé.
A l'aide de l'interface Kapersky, j'ai pu supprimer le explorer.exe et le remplacer par un "sain". Enfin, j'ai tenté une restauration de la clé Shell avec un "windowsunlocker" tapé dans le terminal.
Malheureusement, le virus reste présent puisqu'il se lance au démarrage de windows. Le mode sans échec reste tout le temps indisponible puisqu'il fait reboot le pc.
Je suis actuellement en train de sauvegarder les données avec l'idée de réinstaller entièrement windows (version pro cette fois). Est-ce qu'un windows.old sera créé comme sous seven si je venais à effectuer cette réinstallation?
Merci d'avance pour vos réponses.
Je me permet de créer une question car après maintes recherches sur le forum, je suis toujours bloqué.
Un ami a chopé le virus Gendarmerie & Police Nationale (il en avait déjà attrapé un au mois de janvier mais j'avais réussi à rentrer dans le mode Sans Echec pour modifier les erreurs).
Comme cette version est plus vicieuse, elle bloque ce mode ce qui me met dans l'incapacité d'effectuer la même manip'.
J'ai donc gravé Kapersky Live CD et Microsoft Standalone System Sweeper Tool afin d'éxaminer le contenu du disque dur. Les logiciels ont donc trouvé le cheval de troie et l'ont (apparement) zigouillé.
A l'aide de l'interface Kapersky, j'ai pu supprimer le explorer.exe et le remplacer par un "sain". Enfin, j'ai tenté une restauration de la clé Shell avec un "windowsunlocker" tapé dans le terminal.
Malheureusement, le virus reste présent puisqu'il se lance au démarrage de windows. Le mode sans échec reste tout le temps indisponible puisqu'il fait reboot le pc.
Je suis actuellement en train de sauvegarder les données avec l'idée de réinstaller entièrement windows (version pro cette fois). Est-ce qu'un windows.old sera créé comme sous seven si je venais à effectuer cette réinstallation?
Merci d'avance pour vos réponses.
A voir également:
- Gendarmerie & Police Nationale
- Changer police facebook - Guide
- Police aptos - Accueil - Bureautique
- Police instagram - Guide
- Formate de menace police interpol - Forum Vos droits sur internet
- Police ticket de caisse - Forum Graphisme
4 réponses
Salut,
Toucher explorer.exe avec cette nouvelle variante ne sert à rien.
Si le PC infecté est sous Windows Seven, tu peux faire une restauration du système au démarrage : ttp://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Sinon :
Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.
La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.
Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
Toucher explorer.exe avec cette nouvelle variante ne sert à rien.
Si le PC infecté est sous Windows Seven, tu peux faire une restauration du système au démarrage : ttp://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847
Sinon :
Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.
La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.
Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
Merci d'avoir pris le temps de répondre.
J'ai également gravé OTLPE sur un cd. Seul hic c'est que le système se charge correctement mais le bureau est figé (je ne pense pas à un freeze, l'horloge se met a jour mais pas de réponses venant du clavier et de la souris).
J'ai également gravé OTLPE sur un cd. Seul hic c'est que le système se charge correctement mais le bureau est figé (je ne pense pas à un freeze, l'horloge se met a jour mais pas de réponses venant du clavier et de la souris).
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\cgs8h0.exe ()
[2012/03/19 12:54:50 | 000,010,752 | ---- | C] () -- C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll
[2012/03/14 09:42:30 | 000,001,542 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\iTunes.lnk
[2012/03/13 10:28:40 | 000,000,776 | ---- | C] () -- C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk
[2012/03/30 11:45:11 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd
[2012/03/30 10:20:38 | 000,145,920 | ---- | M] () -- C:\WINDOWS\System32\cgs8h0.exe
O20 - Winlogon\Notify\rkpoirk: DllName - C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll - C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll ()
O4 - Startup: C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Iadah Toolbar) - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} - C:\Program Files\DevNet\Toolbar\DevNet.dll (DevNet)
[2012/01/26 03:45:10 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/02/23 09:52:14 | 000,000,000 | ---D | M] (ALOT Toolbar) -- C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313
FF - prefs.js..browser.search.defaultenginename: MyStart Rechercher
* redemarre le pc sous windows et poste le rapport ici
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\cgs8h0.exe ()
[2012/03/19 12:54:50 | 000,010,752 | ---- | C] () -- C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll
[2012/03/14 09:42:30 | 000,001,542 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\iTunes.lnk
[2012/03/13 10:28:40 | 000,000,776 | ---- | C] () -- C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk
[2012/03/30 11:45:11 | 000,000,000 | -HS- | M] () -- C:\WINDOWS\System32\dds_trash_log.cmd
[2012/03/30 10:20:38 | 000,145,920 | ---- | M] () -- C:\WINDOWS\System32\cgs8h0.exe
O20 - Winlogon\Notify\rkpoirk: DllName - C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll - C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll ()
O4 - Startup: C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Iadah Toolbar) - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} - C:\Program Files\DevNet\Toolbar\DevNet.dll (DevNet)
[2012/01/26 03:45:10 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/02/23 09:52:14 | 000,000,000 | ---D | M] (ALOT Toolbar) -- C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313
FF - prefs.js..browser.search.defaultenginename: MyStart Rechercher
* redemarre le pc sous windows et poste le rapport ici
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
Rapport après redémarrage sous windows :
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Update deleted successfully.
C:\WINDOWS\system32\cgs8h0.exe moved successfully.
C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll moved successfully.
C:\Documents and Settings\All Users\Bureau\iTunes.lnk moved successfully.
C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk moved successfully.
C:\WINDOWS\system32\dds_trash_log.cmd moved successfully.
File C:\WINDOWS\System32\cgs8h0.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rkpoirk\ deleted successfully.
File C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll not found.
File move failed. C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk scheduled to be moved on reboot.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}\ deleted successfully.
C:\Program Files\DevNet\Toolbar\DevNet.dll moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\META-INF folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults\preferences folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\chrome folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\META-INF folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\gen folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\defaults\preferences folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\defaults folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\components folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\chrome folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com folder moved successfully.
Prefs.js: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 removed from extensions.enabledItems
Prefs.js: MyStart Rechercher removed from browser.search.defaultenginename
OTLPE by OldTimer - Version 3.1.48.0 log created on 03312012_182009
Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk not found!
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!
Registry entries deleted on Reboot...
~~~~
Pas de fichiers suspects détectés avec BitDefender Zero Access
~~~~
J'ai pas pu faire la mise à jour de Malwarebyte, la connexion au réseau échoue. Le pare-feu est K.O ("Windows ne peut pas démarrer le service de Pare-feu Windows / Partage de connexion Internet). J'ai reset le Winsock avec l'invite de commande puis reboot mais toujours rien (+ installation du driver de la carte réseau).
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Update deleted successfully.
C:\WINDOWS\system32\cgs8h0.exe moved successfully.
C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll moved successfully.
C:\Documents and Settings\All Users\Bureau\iTunes.lnk moved successfully.
C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk moved successfully.
C:\WINDOWS\system32\dds_trash_log.cmd moved successfully.
File C:\WINDOWS\System32\cgs8h0.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rkpoirk\ deleted successfully.
File C:\Documents and Settings\HM\Local Settings\Application Data\rkpoirk.dll not found.
File move failed. C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk scheduled to be moved on reboot.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}\ deleted successfully.
C:\Program Files\DevNet\Toolbar\DevNet.dll moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\META-INF folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults\preferences folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\chrome folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\META-INF folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\gen folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\defaults\preferences folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\defaults folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\components folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com\chrome folder moved successfully.
C:\Documents and Settings\HM\Application Data\Mozilla\Firefox\Profiles\01vlk104.default\extensions\toolbar@alot.com folder moved successfully.
Prefs.js: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 removed from extensions.enabledItems
Prefs.js: MyStart Rechercher removed from browser.search.defaultenginename
OTLPE by OldTimer - Version 3.1.48.0 log created on 03312012_182009
Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\HM\Menu Démarrer\Programmes\Démarrage\0.9298065400265765.exe.lnk not found!
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!
Registry entries deleted on Reboot...
~~~~
Pas de fichiers suspects détectés avec BitDefender Zero Access
~~~~
J'ai pas pu faire la mise à jour de Malwarebyte, la connexion au réseau échoue. Le pare-feu est K.O ("Windows ne peut pas démarrer le service de Pare-feu Windows / Partage de connexion Internet). J'ai reset le Winsock avec l'invite de commande puis reboot mais toujours rien (+ installation du driver de la carte réseau).
