Virus gendarmerie-Mode sans échec impossible
Résolu
wutsdat
-
ef4467 Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
ef4467 Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je suis donc infecté depuis ce matin par le virus "gendarmerie" qui bloque mon PC après un démarrage normal.
J'ai déjà regardé les divers tuto présents sur le net, mais je ne peux pas démarrer mon PC en mode sans échec ou via l'invité de commande (écran bleu).
Il faut savoir aussi que mon antivirus (Avira) détectait depuis hier un virus toute les heures et même après plusieurs lavages de mon pc (Malware, CCleaner...) rien ne semblait arranger les choses.
Le virus en question : http://imageshack.us/photo/my-images/641/dsc0049zn.jpg/
Merci d'avance.
Ma config : XP Pro SP3, 3GB RAM, Intel Core Quad Q6600 2.4GHz, Dual Nvidia GTS 260
Je suis donc infecté depuis ce matin par le virus "gendarmerie" qui bloque mon PC après un démarrage normal.
J'ai déjà regardé les divers tuto présents sur le net, mais je ne peux pas démarrer mon PC en mode sans échec ou via l'invité de commande (écran bleu).
Il faut savoir aussi que mon antivirus (Avira) détectait depuis hier un virus toute les heures et même après plusieurs lavages de mon pc (Malware, CCleaner...) rien ne semblait arranger les choses.
Le virus en question : http://imageshack.us/photo/my-images/641/dsc0049zn.jpg/
Merci d'avance.
Ma config : XP Pro SP3, 3GB RAM, Intel Core Quad Q6600 2.4GHz, Dual Nvidia GTS 260
A voir également:
- Virus gendarmerie-Mode sans échec impossible
- Mode sans echec ps4 - Guide
- Mode avion - Guide
- Mode sans echec - Guide
- Mode sécurisé samsung - Guide
- God mode - Guide
10 réponses
Salut,
Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.
La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan.
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.
Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.
La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan.
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.
Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
Voilà le lien même si j'ai pas trop compris pourquoi je faisais ça : http://pjjoint.malekal.com/files.php?id=20120419_j15w6h5j9b7
Merci de ton aide.
Merci de ton aide.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\seti0.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\loris.73DA77BAF6BB406_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
:files
C:\WINDOWS\tasks\At*.job
* redemarre le pc sous windows et poste le rapport ici
~~
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
puis :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\seti0.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\loris.73DA77BAF6BB406_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
:files
C:\WINDOWS\tasks\At*.job
* redemarre le pc sous windows et poste le rapport ici
~~
Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.
puis :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
puis :
Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai fait tout ce que vous m'aviez dit.
Rapport OTL (fix) :
Bit Defender : 2 fichiers détectés
Rootkit.Sirefef.Gen (system)
Trokan.Sirefef.BV (C:\WINDOWS\system32\sddmi2.dll)
TDSSKiller : aucune menace détectée
Rapport aswMBR :
Merci encore de votre aide.
Rapport OTL (fix) :
========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Update deleted successfully. C:\WINDOWS\system32\seti0.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\LocalService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\loris.73DA77BAF6BB406_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\NetworkService.AUTORITE_NT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. ========== FILES ========== C:\WINDOWS\tasks\At1.job moved successfully. C:\WINDOWS\tasks\At10.job moved successfully. C:\WINDOWS\tasks\At11.job moved successfully. C:\WINDOWS\tasks\At12.job moved successfully. C:\WINDOWS\tasks\At13.job moved successfully. C:\WINDOWS\tasks\At14.job moved successfully. C:\WINDOWS\tasks\At15.job moved successfully. C:\WINDOWS\tasks\At16.job moved successfully. C:\WINDOWS\tasks\At17.job moved successfully. C:\WINDOWS\tasks\At18.job moved successfully. C:\WINDOWS\tasks\At19.job moved successfully. C:\WINDOWS\tasks\At2.job moved successfully. C:\WINDOWS\tasks\At20.job moved successfully. C:\WINDOWS\tasks\At21.job moved successfully. C:\WINDOWS\tasks\At22.job moved successfully. C:\WINDOWS\tasks\At23.job moved successfully. C:\WINDOWS\tasks\At24.job moved successfully. C:\WINDOWS\tasks\At25.job moved successfully. C:\WINDOWS\tasks\At26.job moved successfully. C:\WINDOWS\tasks\At27.job moved successfully. C:\WINDOWS\tasks\At28.job moved successfully. C:\WINDOWS\tasks\At29.job moved successfully. C:\WINDOWS\tasks\At3.job moved successfully. C:\WINDOWS\tasks\At30.job moved successfully. C:\WINDOWS\tasks\At31.job moved successfully. C:\WINDOWS\tasks\At32.job moved successfully. C:\WINDOWS\tasks\At33.job moved successfully. C:\WINDOWS\tasks\At34.job moved successfully. C:\WINDOWS\tasks\At35.job moved successfully. C:\WINDOWS\tasks\At36.job moved successfully. C:\WINDOWS\tasks\At37.job moved successfully. C:\WINDOWS\tasks\At38.job moved successfully. C:\WINDOWS\tasks\At39.job moved successfully. C:\WINDOWS\tasks\At4.job moved successfully. C:\WINDOWS\tasks\At40.job moved successfully. C:\WINDOWS\tasks\At41.job moved successfully. C:\WINDOWS\tasks\At42.job moved successfully. C:\WINDOWS\tasks\At43.job moved successfully. C:\WINDOWS\tasks\At44.job moved successfully. C:\WINDOWS\tasks\At45.job moved successfully. C:\WINDOWS\tasks\At46.job moved successfully. C:\WINDOWS\tasks\At47.job moved successfully. C:\WINDOWS\tasks\At48.job moved successfully. C:\WINDOWS\tasks\At5.job moved successfully. C:\WINDOWS\tasks\At6.job moved successfully. C:\WINDOWS\tasks\At7.job moved successfully. C:\WINDOWS\tasks\At8.job moved successfully. C:\WINDOWS\tasks\At9.job moved successfully. OTLPE by OldTimer - Version 3.1.39.0 log created on 04192012_220447
Bit Defender : 2 fichiers détectés
Rootkit.Sirefef.Gen (system)
Trokan.Sirefef.BV (C:\WINDOWS\system32\sddmi2.dll)
TDSSKiller : aucune menace détectée
Rapport aswMBR :
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-04-19 22:58:21 ----------------------------- 22:58:21.484 OS Version: Windows 5.1.2600 Service Pack 3 22:58:21.484 Number of processors: 4 586 0xF0B 22:58:21.484 ComputerName: 73DA77BAF6BB406 UserName: loris 22:58:23.140 Initialize success 23:02:50.203 AVAST engine defs: 12041900 23:03:31.625 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port3Path0Target0Lun0 23:03:31.625 Disk 0 Vendor: Hitachi_ GK8O Size: 715404MB BusType: 8 23:03:31.640 Disk 0 MBR read successfully 23:03:31.640 Disk 0 MBR scan 23:03:31.687 Disk 0 Windows XP default MBR code 23:03:31.687 Disk 0 Partition 1 00 DE Dell Utility Dell 8.0 70 MB offset 63 23:03:31.718 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 715331 MB offset 144585 23:03:31.734 Disk 0 scanning sectors +1465144065 23:03:31.859 Disk 0 scanning C:\WINDOWS\system32\drivers 23:03:43.156 Service scanning 23:04:02.500 Modules scanning 23:04:09.187 Disk 0 trace - called modules: 23:04:09.218 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b08d1e8]<< 23:04:09.218 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8af83030] 23:04:09.218 3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\00000074[0x8af89800] 23:04:09.218 5 ACPI.sys[b7e63620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port3Path0Target0Lun0[0x8af89a38] 23:04:09.218 \Driver\nvgts[0x8afb2910] -> IRP_MJ_CREATE -> 0x8b08d1e8 23:04:11.078 AVAST engine scan C:\WINDOWS 23:04:19.703 AVAST engine scan C:\WINDOWS\system32 23:08:15.093 AVAST engine scan C:\WINDOWS\system32\drivers 23:08:45.687 AVAST engine scan C:\Documents and Settings\loris.73DA77BAF6BB406 23:45:54.546 AVAST engine scan C:\Documents and Settings\All Users.WINDOWS 23:47:57.953 File: C:\Documents and Settings\All Users.WINDOWS\Application Data\NnMMnuTe.exe **INFECTED** Win32:Malware-gen 23:49:51.375 Scan finished successfully 23:55:03.453 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\loris.73DA77BAF6BB406\Bureau\MBR.dat" 23:55:03.453 The log file has been saved successfully to "C:\Documents and Settings\loris.73DA77BAF6BB406\Bureau\aswMBR.txt"
Merci encore de votre aide.
Tu as Malwarebyte ?
MEts le à jour demain et fais un scan avec pour virer le reste.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
MEts le à jour demain et fais un scan avec pour virer le reste.
~~
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
J'ai encore un problème, malgré toutes les démarches conseillées (maj des programmes, scans...) mon antivirus Avira détecte encore (3 virus en 3h) des virus sur mon ordinateur.
J'ai pourtant fait un scan complet avec Malware et mon antivirus
J'ai pourtant fait un scan complet avec Malware et mon antivirus
Le dernier en date :
Type: Fichier
Source : C:\System Volume Information\_restore{E3559BD0-B4AD-4077-99CB-E95F5AEF89D7}\RP874\A0272582.dll
Message : Contient le cheval de Troie TR/Sirefef.BV.2
BOnjour,
moi aussi effecté par cet M...eecran bleu sur mode sans echec, en mode normal la fenetre apparait apres l'ouverture de session et impossible de faire quoi que ce soit.
j'ai deposé le ficher OTL.txt sur le lien sur: https://pjjoint.malekal.com/files.php?id=20121022_o10u10b11o11s12
merci de votre aide
eric
moi aussi effecté par cet M...eecran bleu sur mode sans echec, en mode normal la fenetre apparait apres l'ouverture de session et impossible de faire quoi que ce soit.
j'ai deposé le ficher OTL.txt sur le lien sur: https://pjjoint.malekal.com/files.php?id=20121022_o10u10b11o11s12
merci de votre aide
eric
