PC Bloqué par Le Virus Gendarmerie Nationale

Fermé
Serge - 23 avril 2012 à 15:50
 Utilisateur anonyme - 28 avril 2012 à 13:39
Bonjour,

Mon PC est bloqué par le virus de la Gendarmerie Nationale et j'aimerais savoir comment le débloquer sachant que j'ai déjà regardé vos solutions à ce sujet. Mais je n'ai aucune solution qui fonctionne car le mode sans échec et l'invite de commande DOS ne fonctionne pas dans mon cas. En effet lorsque je lance l'un ou l'autre de ces modes, un écran bleu apparait avec le message suivant: Problème de Virus ou disque dur mal branché et il me demande de faire un CHKDSK /F!

Alors là je suis complètement perdu! Que Faire?

Merci par avance pour votre aide

A voir également:

58 réponses

Bonjour ,
au boulot 4 postes ont été infecté avec cette m...e :
Redémarré en mode sans échec avec invite de command
supprimer explorer.exe (virus environ 200 ko )
trouver un explorer.exe original (environ 2mo )sur un autre windows et le remplacer
Et la ça refonctionne sans problème

@+
0
Utilisateur anonyme
24 avril 2012 à 17:15
demarrer/programmes/accessoires/outils systeme/restauration systeme
0
Pas de ch&nce, je n'ai pas les outils système
0
Utilisateur anonyme
24 avril 2012 à 19:33
c:\windows\system32\Restore\rstrui.exe
0
impossible de démarrer le prg, il manque le SRRSTR.dll

où trouve t'on ce fichier et où faut il le coller?
0
Utilisateur anonyme
24 avril 2012 à 20:27
0
Où est ce que je dois le coller?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
24 avril 2012 à 20:51
dans c:\windows\system32
0
j'ai fait un copier coller du fichier à l'emplacement indiqué cependant j'ai toujours le meme message
0
Utilisateur anonyme
24 avril 2012 à 23:55
j' ai peut etre un idée

c'est bien C:\ le disque du windows en question ? pas D:\ ?
0
Oui aucune partition! Juste le C:\
0
Utilisateur anonyme
25 avril 2012 à 10:39
execute ca , une fois la fenetre fermée , le scan sera fini et tu auras un Listing.txt dans C:\

compresse le (clic droit -envoyers vers - dossiers compressés , puis heberge l'archive sur http://pjjoint.malekal.com et donne le lien

http://gen-hackman.servequake.com/Tools/Listing.bat
0
C'est normal que la fenetre se referme tout de suite?
Pour le moment toujours pas de fichier listing.txt

Quand je rajoute un pause à la fin de tes lignes de code, je m'apercois qu'apparait seulement tes lignes de code du fichier .bat dans le fenetre de dos et qu'il n'y a eu aucune recherche de faite et donc aucun élément trouvé et du coup apres la fenetre se referme.
0
voici le lien où le fichier est déposé

http://pjjoint.malekal.com/files.php?id=20120425_e5z13h8m6y11
0
clic droit /executer en temps qu'administrateur ?

edit::

chez moi ca tourne


https://www.cjoint.com/?BDzlA7qc4Hy
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Yes ca recherche
0
Utilisateur anonyme
25 avril 2012 à 11:49
supprime ca :

C:\Documents and Settings\Serge GOMES\Mes documents\X17-75243.exe
C:\Documents and Settings\Serge GOMES\Mes documents\settings.dat
C:\WINDOWS\Temp\2IQ4nr7Y.dat
C:\WINDOWS\Temp\8XG1dh4O.dat
C:\WINDOWS\Temp\klbeyx
0
ok c'est fait
Et maintenant? Je vide la corbeille aussi?

Pour info: le X17-75243 c'est office 2010 que j'ai téléchargé chez microsoft il pese 1Go
0
Utilisateur anonyme
25 avril 2012 à 12:00
ah d'accord ok une infection porte le meme modele de nom :)

garde-le alors

0
Et je peux redémarrer? où il faut supprimer encore des fichiers?
0
Utilisateur anonyme
25 avril 2012 à 12:12
essaie
0
et non toujours pas!
0
Utilisateur anonyme
25 avril 2012 à 12:31
bon ok ca va prendre un peu plus de temps

ouvre le petit prog avec le clic droit , selectionne modifier puis supprime ca :

^| findstr "\\*.exe \\*.dat \\*.scr \\*.pif \\*.bat"

donc tu dois juste avoir ca entre les parenthèses :

('dir /A /B /S "C:\*.*"')
0
Voici le lien où est déposé le fichier.

http://pjjoint.malekal.com/files.php?id=20120425_n9x13e13g12w7
0
Utilisateur anonyme
25 avril 2012 à 14:22
je suis en train de te faire un petit prog sur mesure :)
0
cool
0
voila execute ca (je t'ai meme mis une jolie icône et tout ^^)

le rapport sera dans C:\ mais c 'est pas très important

http://gen-hackman.servequake.com/Tools/delete.exe
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Super ca fonctionne!
Grand Merci à toi

Est ce qu'il faut que je fasse un truc sur ma session pour éviter que ca revienne?
0
Utilisateur anonyme
25 avril 2012 à 16:26
tu as redemarré sur la session infectée ?
0
Oui pourquoi il ne fallait pas?
0
si si

passe ca :

http://gen-hackman.servequake.com/Tools/winlogon.exe
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
OK
J'appuie sur tous les boutons? Il y a un ordre?
Là je suis sur ma session, je les lance depuis ma session?
0
Utilisateur anonyme
25 avril 2012 à 18:02
oui sur la session infectée clique sur kill - Lancer le scan
0
Ok c'est fait et le PC a redémarrer.

Faut-il faire autre chose?
0
Utilisateur anonyme
25 avril 2012 à 18:55
heberge le rapport qui se trouve sur ton bureau sur http://pjjoint.malekal.com et donne le lien
0
ok
voici le lien:
http://pjjoint.malekal.com/files.php?id=20120425_d9h6w8v12v13
0
Utilisateur anonyme
25 avril 2012 à 19:20
heberge quand meme ce rapport va..

C:\Delete.txt
0
voici le lien:

http://pjjoint.malekal.com/files.php?id=20120425_k11m7z12r13w13

ok et c'est bon maintenant?
0
Utilisateur anonyme
25 avril 2012 à 20:41
et ouais il te manque un paquet de mises à jour !

desinstalle tout Java
desnstalle Adobe reader 6.0

===========

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"Cpqset"=-
"HP Software Update"=-
"HP Component Manager"=-
"iTunesHelper"=-
"QuickTime Task"=-
[HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{C3F79A2B-B9B4-4A66-B012-3EE46475B072}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\luposde]
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\Conduit]
[-HKU\S-1-5-21-842925246-484763869-1644491937-1003\Software\PriceGong]
[-HKLM\Software\BrowserChoice]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\mshta.exe"=-
"\\C:\WINDOWS\system32\winlogon.exe"=-

Folder::
C:\Documents and Settings\Serge GOMES\Application Data\PriceGong
C:\Documents and Settings\Serge GOMES\Local Settings\Application Data\Conduit
C:\Program Files\Conduit

File::
C:\WINDOWS\system32\dds_trash_log.cmd
c:\Listing.bat
e:\delete.exe
e:\winlogon.exe
e:\Listing.bat
C:\Delete.txt

MBR::

clean::

Reboot::

___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

=====================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.
0
je crois que je dois relancer ton script delete car entre temps, j'ai le virus qui est de nouveau apparu mais pas gendarmerie nationale mais police nationale
Je refait la manip avec le delete?
Ensuite je relance winlogon.exe et je click sur kill - lancer le scan
et enfin je fait tout ce que tu viens de me dire?

est ce que tu veux que je garde tous les fichiers .txt et qu'ensuite je depose le tt sous un zip sur le site?
0