Virus gendarmerie Résolu/Fermé

Question

Bonjour, 

J ai un pc acer et hier soir je me suis fais avoir par ce virus pourrit j ai lu plein de facon de faire les manips mais je n y arrive pas soit je suis ss doute trop blonde ou alors j ai pas tt suivie ! Y aurait il une bonne ame pour m aider SVP ??!! Merci 

Configuration: iPhone / Safari 7534.48.3

juju666 · Answer

Hello,

Faudrait savoir c'est quelle variante du gendarmerie, on va tenter de le savoir.

Peux-tu démarrer en mode sans échec ? 

Voir comment démarrer en mode sans échec

juju666 · Answer

T'as fait comment pour utiliser malwarebytes ?

Moumounette · Answer

Mode sans echec prise en charge reseau

juju666 · Answer

Eh bien dans ce cas passe ce logiciel en suppression : https://www.luanagames.com/index.fr.html
et poste le rapport

Moumounette · Answer

Je n ai plus le virus je l ai virer par contre meme avec une restauration systeme mon ecran reste noir et en veille !!!! Je vais tomber ouf je vais tt casser je crois

juju666 · Answer

si tu faisais ce que je demande ça irait tout de suite mieux !

Moumounette · Answer

Je peux pas installer roguekiller ca me dit que des erreurs sont survenu setuplog.exe et l ordi redemarre en mode
Normal et ecran noir apres le
Bruit de demarrage :-(((

juju666 · Answer

Fais ça alors : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan#q=prescan&cur=4&url=%2F

Moumounette · Answer

Le scan est lancer je dois faire ce qu'ils disent ensuite aussi ?

juju666 · Answer

ben quand Pre_Scan a fini, laisse le PC redémarrer :)

Moumounette · Answer

Bon bah rien ne
Marche le scan m a parler de emulator je sais pas quoi et ca a fermer le pc ...

Moumounette · Answer

Il ne demarre toujours pas correctement ... Mode sans echec oblige sinon ecran en veille ...

juju666 · Answer

je peux voir le rapport de malwarebytes stp ? 

Ouvre Malwarebytes, onglet Rapports/Logs, cherche celui qui montre les suppression et copie/colle le ici

moumounette · Answer

y a pleins de trucs d ecrit dans le rapport comment je fais pour trouver???

juju666 · Answer

Copie/Colle tout

moumounette · Answer

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.21.06

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
bouli :: ORDI-DE-BOULI [administrateur]

Protection: Désactivé

21/06/2012 16:28:03
mbam-log-2012-06-21 (16-28-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 200246
Temps écoulé: 4 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\bouli\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

moumounette · Answer

mais j en ai plusieurs des rapports car m en suis servi en debut d aprem aussi

juju666 · Answer

Les autres alors

moumounette · Answer

alwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.21.04

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
bouli :: ORDI-DE-BOULI [administrateur]

21/06/2012 14:19:05
mbam-log-2012-06-21 (14-19-05).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 202539
Temps écoulé: 5 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\bouli\Local Settings\Temporary Internet Files\Content.IE5\WBLX3V53\Setup.exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.

(fin)

moumounette · Answer

alwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.21.04

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
bouli :: ORDI-DE-BOULI [administrateur]

21/06/2012 14:02:25
mbam-log-2012-06-21 (14-02-25).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 202805
Temps écoulé: 5 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\bouli\Local Settings\Temporary Internet Files\Content.IE5\WBLX3V53\Setup.exe (PUP.Bundle.Installer.OI) -> Aucune action effectuée.
C:\Users\bouli\AppData\Local\Temp\alot_appbar_installer_bundle_FR.exe (Adware.Adrotator) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bouli\Local Settings\Temporary Internet Files\Content.IE5\WBLX3V53\alot_appbar_installer_bundle_FR[1].exe (Adware.Adrotator) -> Mis en quarantaine et supprimé avec succès.

(fin)

moumounette · Answer

alwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09/06/2010 20:25:22
mbam-log-2010-06-09 (20-25-22).txt

Type de recherche: Examen rapide
Eléments examinés: 98681
Temps écoulé: 7 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moumounette · Answer

alwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

26/01/2010 22:28:43
mbam-log-2010-01-26 (22-28-43).txt

Type de recherche: Examen rapide
Eléments examinés: 96104
Temps écoulé: 9 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moumounette · Answer

alwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

26/01/2010 22:19:23
mbam-log-2010-01-26 (22-19-23).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 85713
Temps écoulé: 20 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moumounette · Answer

voila tu les as tous

juju666 · Answer

Et t'as pas le rapport de Pre_Scan par hasard ?  

Sur ton bureau ou dans C:\Pre_Scan.txt 

EDIT :

Tu le mets sur http://pjjoint.malekal.com
 .::. Contributeur Sécurité .::.

moumounette · Answer

ca y est

moumounette · Answer

http://pjjoint.malekal.com/files.php?id=20120621_w5b6m13k811

moumounette · Answer

y a plus personne ??????

juju666 · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

moumounette · Answer

voila :

http://pjjoint.malekal.com/files.php?id=20120621_q9x14n11h6l15

moumounette · Answer

http://pjjoint.malekal.com/files.php?id=20120621_s10j10l6r11r5

desole

moumounette · Answer

ca fait rien quand je clique sur le lien

juju666 · Answer

fais analyser ce fichier sur https://www.virustotal.com/gui/

C:\Windows\System32\drivers	dbdygcx.sys

colle le lien vers l'analyse une fois celle-ci effectuée

tu n'arrive pas à te rendre sur virustotal c'est ça ?

moumounette · Answer

desolé j ai pas tt suivie la je me suis un perdu j en suis a analysé le fichier C:\Windows\System32\drivers	dbdygcx.sys 

mais je fais quoi quand c analyser ca me dit filealready analysed

moumounette · Answer

je comprend pas vers ou je colle le lien

juju666 · Answer

ok ça parait sain. 

y'a autre chose que je cherche :) 

Télécharge ici : SEAF 

Lance SEAF 
Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre" 
Tape GTGina.dll dans le champs de recherche, clique sur "Lancer la recherche" et patiente. 
Poste dans ta prochaine réponse le rapport qui apparaît à la fin de la recherche. 


 .::. Contributeur Sécurité .::.

moumounette · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 19:19:43 le 21/06/2012
4. 
5. Valeur(s) recherchée(s):
6. GTGina.dll
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. 
22. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
23. "GinaDLL"="GTGina.dll" (REG_SZ)
24. 
25. =========================
26. 
27. Fin à: 19:23:50 le 21/06/2012
28. 615314 Éléments analysés
29. 
30. =========================
31. E.O.F

juju666 · Answer

Mouais 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,


:OTL
O20 - HKLM Winlogon: GinaDLL - (GTGina.dll) -  File not found

:Files
@Alternate Data Stream - 151 bytes -> C:\ProgramData\TEMP:8CE646EE      
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:9D718DA3      

&#9654 colle-la dans la zone sous "Personnalisation" :

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

moumounette · Answer

j arrive pas a enregistrer otl sur mon bureau

juju666 · Answer

Bon 

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo ou Tutoriel écrit

moumounette · Answer

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL:GTGina.dll deleted successfully.
========== FILES ==========
ADS C:\ProgramData\TEMP:8CE646EE deleted successfully.
ADS C:\ProgramData\TEMP:9D718DA3 deleted successfully.
 
OTL by OldTimer - Version 3.2.50.0 log created on 06212012_193327

juju666 · Answer

OK

ça maintenant : https://forums.commentcamarche.net/forum/affich-25428269-virus-gendarmerie?page=2#46

moumounette · Answer

c bon j ai reussi avec otl rapport posté

juju666 · Answer

j'ai vu, fais ça : https://forums.commentcamarche.net/forum/affich-25428269-virus-gendarmerie?page=2#46

moumounette · Answer

je suis obliger de branchez clé usb ou autre ???
car j en ai pas vraiment

juju666 · Answer

Non, c'est pour éradiquer une infection particulière présente sur ton PC :)

moumounette · Answer

http://pjjoint.malekal.com/files.php?id=20120621_v14w8m12c11l14

juju666 · Answer

bien

redémarre pour voir

Moumounette · Answer

Bon et bien ca ne marche toujours pas ecran mis en veille encore apres le bruit de windows au demarrage ...

juju666 · Answer

Mais dis moi t'as fait quoi pour t'en sortir seule ? 
Car j'vois pas le ransomware gendarmerie dans tes rapports, et le malwarebytes n'indique pas non plus du gendarmerie...

Moumounette · Answer

Je pense pas que se soit du au virus ca a commencer a me faire ca depuis cette p***n de restauration systeme :-(

moumounette · Answer

bah j ai surement pas fais ce qu il fallais visiblement !

juju666 · Answer

ah ben ouais ça, mauvaise idée de faire une restauration du système là dessus.

Vois si tu peux faire une réparation des fichiers windows ? 

Tapes sfc /scannow dans l'invite de commandes cmd.exe ouverte en mode admin.

Tu tapes cmd ou cmd.exe dans le champ de recherches du menu démarrer de Windows Vista ou Windows 7 et en haut sur cmd.exe, tu fais clic droit (menu contextuel) et item "Exécuter en tant qu'administrateur".

moumounette · Answer

euh la j ai bugger dsl j ai rien compris !! ;) 
pourtant depuis tout a l heure je comprend assez bien ...lol

moumounette · Answer

faut que je redemarre en invité de commandes ? ou que j aille dans demarrer

juju666 · Answer

Tu tapes cmd ou cmd.exe dans le champ de recherches du menu démarrer de Windows Vista ou Windows 7 et en haut sur cmd.exe, tu fais clic droit (menu contextuel) et item "Exécuter en tant qu'administrateur". 

c'est clair je pense ? ;o

moumounette · Answer

et apres je fais quoi car ca fait rien

moumounette · Answer

quand c fini je fais quoi ?

juju666 · Answer

redémarre

moumounette · Answer

ca marche toujours pas

juju666 · Answer

c'est à dire ?

moumounette · Answer

bah l ecran se met toujours en veille au demarrage je suis obliger de passer par le mode sans echec

moumounette · Answer

pour pouvoir me servir du pc l invite de commande qu elle n avait pas detecté je sais plus d integrité

juju666 · Answer

c'est quoi ton PC ?
tu as des documents importants dessus ?
y'a une restauration d'usine ?

moumounette · Answer

c un hp et c pas le mien y a gaver de truc dessus et je sais pas si y a une restauration d usine

juju666 · Answer

https://www.commentcamarche.net/faq/20792-restaurer-un-ordinateur-hp-a-son-etat-d-usine#restaurer-sans-les-dvd-de-restauration

Y'a moyen de restaurer en conservant les fichiers utilisateur

moumounette · Answer

mais y a ecris sauvegarder sans les fichiers sinon faut graver j ai pas de cd vierge

juju666 · Answer

ben tu peux faire "sauvegarder avec les fichiers" nan ?

moumounette · Answer

ah ok dsl :s  
la blondeur ..... ;)

juju666 · Answer

mdr

et sinon, idée de jacques.gache qui suit le topik, ta restauration système tu l'avais fait à quelle date ?

Moumounette · Answer

J en sais rien c'est pas mon pc !!!

Moumounette · Answer

Alors la ca viens de me dire aucun dispositif de liberation de memoire avec suffisament d espace libre n a ete detecter veuillez inserer un dispositif de 241go d espace libre !!!!!!! 

Je poste directement sur VDM non ? ':(

Moumounette · Answer

Demain j achete un dd 3 tera et je repasse lol ....

juju666 · Answer

démarre en invite de commande en mode sans échec

tape :

cd C:\Windows
puis
rstrui.exe

choisi un point de restauration avant le 19

Moumounette · Answer

Alors y a ecris aucun point de restauration n a ete cree sur le systeme de l ordi Pour cree un point de restau ouvrez la protection du systeme 

Je fais quoi ?

Moumounette · Answer

Ah ok donc j essaye de faire ca ce soir et je reviens au meme endroit demain ??

moumounette · Answer

CA Y EST CA MARCHE !!!!!!! bon j aurais du faire cela depuis le debut j avoue mais bon ... en tout cas MERCI beaucoup pour votre aide et le temps consacré a mon probleme j aurais peut etre tout niker toute seule lol! mais je suis contente de moi quand meme ;) MERCI ENCORE !!!! changez rien ;) 
et a bientot pour de nouvelles aventures ;)

juju666 · Answer

c'est bon alors, le pc est reparti ? :-)

Virus gendarmerie

78 réponses

Discussions similaires