Virus gendarmerie-Mode sans échec impossible [Résolu/Fermé]

Signaler
-
Messages postés
1
Date d'inscription
lundi 22 octobre 2012
Statut
Membre
Dernière intervention
22 octobre 2012
-
Bonjour,

Je suis donc infecté depuis ce matin par le virus "gendarmerie" qui bloque mon PC après un démarrage normal.
J'ai déjà regardé les divers tuto présents sur le net, mais je ne peux pas démarrer mon PC en mode sans échec ou via l'invité de commande (écran bleu).

Il faut savoir aussi que mon antivirus (Avira) détectait depuis hier un virus toute les heures et même après plusieurs lavages de mon pc (Malware, CCleaner...) rien ne semblait arranger les choses.

Le virus en question : http://imageshack.us/photo/my-images/641/dsc0049zn.jpg/
Merci d'avance.

Ma config : XP Pro SP3, 3GB RAM, Intel Core Quad Q6600 2.4GHz, Dual Nvidia GTS 260

10 réponses

Messages postés
178388
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
28 mai 2020
21 028
Salut,

Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan.
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
Merci je vais tenter de faire ce que vous m'avez indiqué.

Je vous tiens au courant de la suite.
Voilà le lien même si j'ai pas trop compris pourquoi je faisais ça : http://pjjoint.malekal.com/files.php?id=20120419_j15w6h5j9b7
Merci de ton aide.
Messages postés
178388
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
28 mai 2020
21 028
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\seti0.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\loris.73DA77BAF6BB406_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
:files
C:\WINDOWS\tasks\At*.job


* redemarre le pc sous windows et poste le rapport ici

~~

Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.


puis :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

puis :

Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
J'ai fait tout ce que vous m'aviez dit.

Rapport OTL (fix) :

========== OTL ========== 
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Update deleted successfully. 
C:\WINDOWS\system32\seti0.exe moved successfully. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. 
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
Registry value HKEY_USERS\LocalService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
Registry value HKEY_USERS\loris.73DA77BAF6BB406_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
Registry value HKEY_USERS\NetworkService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
Registry value HKEY_USERS\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
Registry value HKEY_USERS\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. 
========== FILES ========== 
C:\WINDOWS\tasks\At1.job moved successfully. 
C:\WINDOWS\tasks\At10.job moved successfully. 
C:\WINDOWS\tasks\At11.job moved successfully. 
C:\WINDOWS\tasks\At12.job moved successfully. 
C:\WINDOWS\tasks\At13.job moved successfully. 
C:\WINDOWS\tasks\At14.job moved successfully. 
C:\WINDOWS\tasks\At15.job moved successfully. 
C:\WINDOWS\tasks\At16.job moved successfully. 
C:\WINDOWS\tasks\At17.job moved successfully. 
C:\WINDOWS\tasks\At18.job moved successfully. 
C:\WINDOWS\tasks\At19.job moved successfully. 
C:\WINDOWS\tasks\At2.job moved successfully. 
C:\WINDOWS\tasks\At20.job moved successfully. 
C:\WINDOWS\tasks\At21.job moved successfully. 
C:\WINDOWS\tasks\At22.job moved successfully. 
C:\WINDOWS\tasks\At23.job moved successfully. 
C:\WINDOWS\tasks\At24.job moved successfully. 
C:\WINDOWS\tasks\At25.job moved successfully. 
C:\WINDOWS\tasks\At26.job moved successfully. 
C:\WINDOWS\tasks\At27.job moved successfully. 
C:\WINDOWS\tasks\At28.job moved successfully. 
C:\WINDOWS\tasks\At29.job moved successfully. 
C:\WINDOWS\tasks\At3.job moved successfully. 
C:\WINDOWS\tasks\At30.job moved successfully. 
C:\WINDOWS\tasks\At31.job moved successfully. 
C:\WINDOWS\tasks\At32.job moved successfully. 
C:\WINDOWS\tasks\At33.job moved successfully. 
C:\WINDOWS\tasks\At34.job moved successfully. 
C:\WINDOWS\tasks\At35.job moved successfully. 
C:\WINDOWS\tasks\At36.job moved successfully. 
C:\WINDOWS\tasks\At37.job moved successfully. 
C:\WINDOWS\tasks\At38.job moved successfully. 
C:\WINDOWS\tasks\At39.job moved successfully. 
C:\WINDOWS\tasks\At4.job moved successfully. 
C:\WINDOWS\tasks\At40.job moved successfully. 
C:\WINDOWS\tasks\At41.job moved successfully. 
C:\WINDOWS\tasks\At42.job moved successfully. 
C:\WINDOWS\tasks\At43.job moved successfully. 
C:\WINDOWS\tasks\At44.job moved successfully. 
C:\WINDOWS\tasks\At45.job moved successfully. 
C:\WINDOWS\tasks\At46.job moved successfully. 
C:\WINDOWS\tasks\At47.job moved successfully. 
C:\WINDOWS\tasks\At48.job moved successfully. 
C:\WINDOWS\tasks\At5.job moved successfully. 
C:\WINDOWS\tasks\At6.job moved successfully. 
C:\WINDOWS\tasks\At7.job moved successfully. 
C:\WINDOWS\tasks\At8.job moved successfully. 
C:\WINDOWS\tasks\At9.job moved successfully. 
  
OTLPE by OldTimer - Version 3.1.39.0 log created on 04192012_220447 




Bit Defender : 2 fichiers détectés
Rootkit.Sirefef.Gen (system)
Trokan.Sirefef.BV (C:\WINDOWS\system32\sddmi2.dll)



TDSSKiller : aucune menace détectée



Rapport aswMBR :

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software 
Run date: 2012-04-19 22:58:21 
----------------------------- 
22:58:21.484    OS Version: Windows 5.1.2600 Service Pack 3 
22:58:21.484    Number of processors: 4 586 0xF0B 
22:58:21.484    ComputerName: 73DA77BAF6BB406  UserName: loris 
22:58:23.140    Initialize success 
23:02:50.203    AVAST engine defs: 12041900 
23:03:31.625    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port3Path0Target0Lun0 
23:03:31.625    Disk 0 Vendor: Hitachi_ GK8O Size: 715404MB BusType: 8 
23:03:31.640    Disk 0 MBR read successfully 
23:03:31.640    Disk 0 MBR scan 
23:03:31.687    Disk 0 Windows XP default MBR code 
23:03:31.687    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       70 MB offset 63 
23:03:31.718    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       715331 MB offset 144585 
23:03:31.734    Disk 0 scanning sectors +1465144065 
23:03:31.859    Disk 0 scanning C:\WINDOWS\system32\drivers 
23:03:43.156    Service scanning 
23:04:02.500    Modules scanning 
23:04:09.187    Disk 0 trace - called modules: 
23:04:09.218    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b08d1e8]<< 
23:04:09.218    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8af83030] 
23:04:09.218    3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\00000074[0x8af89800] 
23:04:09.218    5 ACPI.sys[b7e63620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port3Path0Target0Lun0[0x8af89a38] 
23:04:09.218    \Driver\nvgts[0x8afb2910] -> IRP_MJ_CREATE -> 0x8b08d1e8 
23:04:11.078    AVAST engine scan C:\WINDOWS 
23:04:19.703    AVAST engine scan C:\WINDOWS\system32 
23:08:15.093    AVAST engine scan C:\WINDOWS\system32\drivers 
23:08:45.687    AVAST engine scan C:\Documents and Settings\loris.73DA77BAF6BB406 
23:45:54.546    AVAST engine scan C:\Documents and Settings\All Users.WINDOWS 
23:47:57.953    File: C:\Documents and Settings\All Users.WINDOWS\Application Data\NnMMnuTe.exe  **INFECTED** Win32:Malware-gen 
23:49:51.375    Scan finished successfully 
23:55:03.453    Disk 0 MBR has been saved successfully to "C:\Documents and Settings\loris.73DA77BAF6BB406\Bureau\MBR.dat" 
23:55:03.453    The log file has been saved successfully to "C:\Documents and Settings\loris.73DA77BAF6BB406\Bureau\aswMBR.txt" 





Merci encore de votre aide.
Messages postés
178388
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
28 mai 2020
21 028
Tu as Malwarebyte ?
MEts le à jour demain et fais un scan avec pour virer le reste.

~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !
Merci j'ai suivi tes conseils et ceux d'autres sites.
Merci encore pour ton aide!
J'ai encore un problème, malgré toutes les démarches conseillées (maj des programmes, scans...) mon antivirus Avira détecte encore (3 virus en 3h) des virus sur mon ordinateur.

J'ai pourtant fait un scan complet avec Malware et mon antivirus
Messages postés
178388
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
28 mai 2020
21 028
dans quels fichiers?
Le dernier en date :

Type:	Fichier
Source :	C:\System Volume Information\_restore{E3559BD0-B4AD-4077-99CB-E95F5AEF89D7}\RP874\A0272582.dll
Message :	Contient le cheval de Troie TR/Sirefef.BV.2
Messages postés
178388
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
28 mai 2020
21 028
c'est un élément dnas un point de restauration, c'est rien :)
Messages postés
1
Date d'inscription
lundi 22 octobre 2012
Statut
Membre
Dernière intervention
22 octobre 2012

BOnjour,
moi aussi effecté par cet M...eecran bleu sur mode sans echec, en mode normal la fenetre apparait apres l'ouverture de session et impossible de faire quoi que ce soit.

j'ai deposé le ficher OTL.txt sur le lien sur: https://pjjoint.malekal.com/files.php?id=20121022_o10u10b11o11s12

merci de votre aide

eric