Trojan fake gendarmerie Fermé

Question

Bonjour à tous,

je viens à vous car j'ai comme un soucis. J'ai le fameux virus mentionné ici.
Donc j'ai vu les procédure etc, sauf que y a un hic. Je ne peux pas acceder au mode sans echec, j'appuis sur F8, je choisis l'un ou l'autre des mode sans echec, ça me lance la chargement avec une magnifique liste des fichier systeme et ça bloque à un certain fichier en particulier... Et là, je peux attendre longtemps, ça n'avance plus d'un poil.

Donc que faire???

g3n-h@ckm@n · Answer

salut

suis ce tuto

https://gen-hackman.kanak.fr/

takumifujiwara · Answer

Ca efface rien sur l'ordi?

g3n-h@ckm@n · Answer

si 

le virus ^^

takumifujiwara · Answer

Tu m'avais compris lol. Ok, bah nickel. Je vais suivre la procedure et puis voilà.

g3n-h@ckm@n · Answer

ok j'attends de lire le rapport pour te dire si tu dois redemarrer normalement ou pas encore.... 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

takumifujiwara · Answer

J'ai un hic XD. J'ai pas de CD vierge mdr.

takumifujiwara · Answer

C'est bon c'est lancer, mais là ça bloque sur la partie suppression|firewall|standar XD.

Enfin ça bouge pas en tout cas lol. Donc j'attend.

takumifujiwara · Answer

C'est bon fini!! J'ai cru que j'allais jamais en finir lol.

Le rapport:
https://pjjoint.malekal.com/files.php?id=20120715_l9g15d10y15e9

g3n-h@ckm@n · Answer

re

tu dois pouvoir redemarrer normalement

takumifujiwara · Answer

Fail!!! Le virus est toujours là!! ><

g3n-h@ckm@n · Answer

étonnant !!!

redemarre sur le live cd

Lance OTLPE.exe qui se trouve sur ton bureau :

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok

à la question Do you wish to load remote user profile(s) for scanning ? => oui

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre

dans la case en dessous "Custom Scans/Fixes" colle ce texte :

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Clic sur Analyse.

A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt

héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus sur le forum ou dans la discussion où tu te fais aider

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)

takumifujiwara · Answer

OTL
https://pjjoint.malekal.com/files.php?read=20120719_y12g11t13i8j12
Extra
https://pjjoint.malekal.com/files.php?read=20120719_t13s8w5l1010

g3n-h@ckm@n · Answer

colle ca en bas et clique sur correction


:services
Musmss
Norton Internet Security

:OTL
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] 
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI9130~1\Datamngr\ToolBar\searchqudtx.dll ()     
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI9130~1\Datamngr\ToolBar\searchqudtx.dll ()     
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~1\WI9130~1\Datamngr\BROWSE~1.DLL (Bandoo Media, inc)     
O4 - HKLM..\Run: [DATAMNGR] -     
O4 - HKLM..\Run: [iTunesHelper] -    
O4 - HKLM..\Run: [QuickTime Task] -   
O4 - HKU\Richard_ON_C..\Run: [Spotify Web Helper] C:\Users\Richard\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe () 
O4 - HKU\Richard_ON_C..\Run: [Update] C:\Users\Richard\AppData\Roaming\fest0r_ot.exe () 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)     
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)     
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)     
O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll) - C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll (Bandoo Media, inc)     
O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll) - C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll (Bandoo Media, inc)

takumifujiwara · Answer

En bas de quoi???

g3n-h@ckm@n · Answer

ben dans OTLPE après l'avoir rouvert hihi lol

takumifujiwara · Answer

Ok, je vais faire ça.

takumifujiwara · Answer

Après je redémare normalement?

g3n-h@ckm@n · Answer

oui

takumifujiwara · Answer

Ca m'as tout l'air d'être bon. Merci beaucoup de ton aide ;).

g3n-h@ckm@n · Answer

tu te t'en crois debarassée comme ca ?

fournis le rapport stp

il est dans C:\_OTL\Movedfiles\le_dernier_en_date_et_heure.log

takumifujiwara · Answer

https://pjjoint.malekal.com/files.php?read=20120719_j9d8j9q15u10

g3n-h@ckm@n · Answer

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

takumifujiwara · Answer

https://pjjoint.malekal.com/files.php?read=20120720_g14m105e7b14

g3n-h@ckm@n · Answer

va falloir installer internet explorer 9

desinstalle Windows Searchqu Toolbar 

vire les restes de Norton avec ca :

https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=kb20080710133834EN_EndUserProfile_fr_fr&product=home&pvid=f-home&version=1&lg=english&ct=us

desinstalle Avast 4 (on mettra le 7 après) avec ca :

https://www.avast.com/fr-fr/uninstall-utility

==============


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGum4RqEMsH

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

==============================

takumifujiwara · Answer

Juste comme ça, y en a encore pour combien de temps à faire le ménage là XD?
A titre indicatif hein ^^. C'est mon pote qui s'impatiente ^^.

g3n-h@ckm@n · Answer

il veut un pc fonctionnel ou il s'en tape ?

sinon on stoppe tout tout de suite , et il revient dans 3j pour faire la meme chose c'est à lui de voir

takumifujiwara · Answer

LOL Bien daccord ^^.
Par contre petit hic, pour Norton, je sais pas du tout quelle version y a dessus donc je fais comment?

g3n-h@ckm@n · Answer

lance les outils sans t'occuper des versions

pour avast il faut utiliser l'outil en mode sans echec (safemode)

takumifujiwara · Answer

C'est bon, tout est fait. La suite =D?

g3n-h@ckm@n · Answer

et mon rapport ?

takumifujiwara · Answer

Ah oui XD. Je le met tout de suite ^^.

takumifujiwara · Answer

http://pjjoint.malekal.com/files.php?read=20120723_w6o12g7l14b8

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

takumifujiwara · Answer

http://pjjoint.malekal.com/files.php?read=20120723_v13k10l5y10x7

g3n-h@ckm@n · Answer

bien il nous reste quoi comme soucis ?

takumifujiwara · Answer

Bah euh rien normalement ^^.

g3n-h@ckm@n · Answer

si le menage final ^^ lol

https://gen-hackman.kanak.fr/#1037

takumifujiwara · Answer

La derniere ligne du rapport.


Total space cleaned: 888.51 MB

g3n-h@ckm@n · Answer

presqu' 1Go de gagnés magnifique ^^

Trojan fake gendarmerie

39 réponses

Discussions similaires