Virus Gendarmerie Fermé

Question

Bonjour,  

Comme beaucoup d'autre personne j'ai eu le virus gendarmerie il y a longtemps, je m'occupe seulement maintenant de le supprimer. Je me suis renseignée et j'ai tenté de résoudre le problème moi même : voici ce que j'ai fait : 


Au début mon mode « sans échec » ne marchait pas : Du coup : 
1)  installation de ubuntu, téléchargement du explorer.exe (http://www.malekal.com/download/explorer_XP_SP2.zip) (cf troisième version cf  Conseils_désinfection_Gendarmerie.pdf téléchargeable sur le site officiel de la gendarmerie) et remplacement à la place de celui malicieux 
>>  Ne marche pas mieux, à chaque fois qu'on se connecte déconnexion avant d'avoir la main sur  le bureau. 
 Cependant avant lancement windows :  
 « Vérification du système de fichiers sur I. Le type du système de fichiers est NTFS 
 Le nom du volume est disque système. 
 L'intégralité de l'un de vos disque doit être vérifier. Vous pouvez annuler cette vérification,  mais son ... est fortement recommandé. 
 Windows va maintenant vérifier le disque. 
 CHKDSK est entrain de vérifier les fichiers (étape 1 de 3) 
 La vérification des fichiers est finie. 
 CHKDSK est entrain de vérifier l'index (étape 2 de 3) 
 La vérification de l'index est finie. 
 CHKDSK est entrain de vérifié le descripteur de sécurité (étape 3 de 3) 
 La vérification .... est terminée 
 ............. » 

2) (tigzyrk.blogspot.fr/2011/12/ransomware-gendarmerie-nationale.html) 
/windows/twexx32.dll existe : suppression de /windows/explorer.exe, renommage twexx32.dll en explorer.exe + redémarrage 
>> Ne marche pas mieux mais a duré plus longtemps avant de se déconnecter. Retour sur ubuntu : twexx32.dll n'est pas réapparu, placement de ce explorer.exe (anciennement twexx32.dll donc) sur le bureau Ubuntu. Remise de l' explorer.exe téléchargé dans /windows qui ne marche toujours pas. 

3) Nouvelle idée « Si je ne peux pas contrôler les déplacement après f8 (pour choisir mode sans échec) peut être à cause du clavier : changement de clavier : on peut atteindre le mode sans échec. 
>>Retour « Conseils_désinfection_gendarmerie.pdf" 

a) 1 e marche à suivre (j'avais pas compris que ça dépendait du type de virus donc je les ais tous testé) 
mode sans échec avec prise du réseau >> lancement mode sans échec avec prise du réseau : affiche menu windows classique où il faut se logger : quand identification finie, on aperçoit le bureau et on est déconnecter de la même façon qu'avant. 

b) 2 e marche à suivre : Via l'invite de commande en mode sans échec : la fenêtre de commande ne s'affiche pas à la place on a le menu windows classique où il faut se logger, toujours déconnexion à la suite du loggage. 

c) Toujours pour deuxième type de virus, autre méthode avec UNCD live (mis sur clef). Problème après F11 et choix d'ouvrir avec la clef usb (comme fait précédemment pour ubuntu) l'ordinateur ne détecte pas ce qu'il y a dessus. Impossible d'utiliser cette méthode. 
  
d) Idée : il y avait plusieurs explorer.exe même si un unique dans dossier /windows : renommage de tous ces explorer.exe en explorermal2, explorermal3, explorermal4 puis c/c du explorer.exe précédemment téléchargé : aucun changement après loggage sous windows. Il faudra remettre les ancien explorer.exe, c'était stupide comme idée. 


J'ai donc testé beaucoup de choses qui ne marchent pas, j'espère que je suis assez clair sur ce que j'ai fait...

juju666 · Answer

salut c'est la clé shell qui est malade

fait ça : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live

misaki43 · Answer

salut,

C'est pas pour un windows 7 ça ? Mon ordinateur est un windows xp

misaki43 · Answer

Bonsoir,

Désolée de répondre si tard avec la reprise des cours j'ai pas trop de temps.

J'ai essayé de graver sur le CD ton truc sur deux machines différentes, mais les deux fois ça a buggé.. J'ai gaspillé deux CDs pour ça, n'y a t'il pas un autre moyen ? 
Après j'ai essayé d'enregistrer le "truc" (désolé je sais pas trop ce que c'est) sur une clef en voulant faire passer la clef pour un CD mais ça n'a pas marché non plus....

merci bien en tout cas

juju666 · Answer

as-tu bien configuré ton bios pour démarrer en premier lieu sur le CD ? j'en doute ...

misaki43 · Answer

Je n'en suis pas à configurer mon bios mais je sais comment faire.
Mon problème est avant ça : le "truc" que tu veux que j'installe sur un CD s'installe mal : après environ 20% de copie sur le CD, une erreur s'affiche précisant que le probleme est peut être l'ordi (j'ai changé d'ordi pour le faire la seconde fois) ou le type de CD (j'ai utilisé un CD RW de souvenir je peux vérifier).
Une idée du problème ? Ou un autre moyen de faire ?

juju666 · Answer

1- Télécharge sur ton bureau le CD live de OldTimer 

2- double clique dessus , il te proposera de graver le cd , lequel tu insereras (vierge evidement)


3- utilisation du CD Live OTPLE :

* Une fois le CD gravé, il faut redémarrer le PC sur le lecteur CD-ROM afin de lancer le CD live directement au démarrage .
Pour se faire, suivre ce qui est indiqué dans cette astuce : https://www.commentcamarche.net/faq/7817-modifier-l-ordre-des-peripheriques-de-demarrage

* Une fois les modifes faite , bien laisser le CD Live dans le lecteur et redémarrer le PC.


* le CD se lance, Windows se charge et tu arrives sur le bureau du CD live OTPLE > REATOGO-X-PE.
* Double clique sur le raccourci OTLPE.
* Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES,
* Une seconde : Do you wish to load remote user profile(s) for scanning ; Cliquez sur YES,
* Vérifie que la case Automatically Load All Remaining Users soit cochée et appuie sur OK.

> l'outil OTL se lance.

* Vérifier que les paramètres sont identiques à ceux de cette image > http://assiste.com.free.fr/m/nick/OTLPE-main.png
* Clique sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes.
* Une fois fini le rapport s'ouvre : tu utilises l'icone d'internet explorer pour venir ici et copier/coller son contenu dans la réponse.

Note : si tu n'as pas de connection Internet, sauvegarde le rapport sur un périphérique USB afin de le récuper sur un autre PC par exemple ...

( Le fichier rapport est en outre sauvegardé ici > C:\OTL.txt ) .

misaki43 · Answer

Bonsoir,

Je n'ai pas encore fait ce qu'il y a écrit dans le deuxieme message parce que j'ai résolvé le problème précéddent pour le pré-scan (changé de type de cd)
Du coup j'ai lancé l'ordinateur malade sur le CD (en le mettant en première place dans le BIOS), mais comme précédement, avant la fin du chargement du bureau, ma session se déconnecte.

Avez vous une idée ? Dois je abandonner l'idée d'utiliser le pré_scan et suivre la démarche de votre dernier message ?

En tout cas merci pour votre aide!

juju666 · Answer

Fais OTLPE à la place si le CD avec Pre_Scan déconne.

misaki43 · Answer

Bonjour!

OTL s'est bien lancé, j'ai lancé le programme, j'en suis à : * Vérifier que les paramètres sont identiques à ceux de cette image >  http://assiste.com.free.fr/m/nick/OTLPE-main.png 
Seul problème, j'ai un choix en plus que ce qui apparait dans ce lien, et ce choix est coché : "Use No-Compagny-Name WhiteList"
Est ce que je le laisse coché ?

misaki43 · Answer

puisqu'il y a des informations sur mon ordinateur, est ce que je vous envois le rapport par message privé ?

juju666 · Answer

Le rapport (hébergé sur cjoint, ainsi dans 21 jours il sera supprimé) : http://cjoint.com/data/0IqklkAMQ4Z.htm

==========================================

Relance OTLPE
Dans le cadre "Custom Scan/Fixes" colle ça : 

:OTL
SRV - [2012/03/16 13:28:34 | 000,782,744 | ---- | M] (Spigot, Inc.) [Auto] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKU\Oriane_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\Oriane_ON_C\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBit0.dll (Conduit Ltd.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll (Spigot, Inc.)  
O2 - BHO: (BittorrentBar_FR Toolbar) - {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBit0.dll (Conduit Ltd.)   
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (BittorrentBar_FR Toolbar) - {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBit0.dll (Conduit Ltd.)
O3 - HKU\Oriane_ON_C\..\Toolbar\WebBrowser: (BittorrentBar_FR Toolbar) - {EF79F67A-6AD7-4715-A0F8-932FCA442023} - C:\Program Files\BittorrentBar_FR\prxtbBit0.dll (Conduit Ltd.)      
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [5zt1] File not found
O4 - HKLM..\Run: [lmfvMDBr3jNvGGM] C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe () 
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKU\Oriane_ON_C..\Run: [lmfvMDBr3jNvGGM] C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe ()
O4 - HKU\Oriane_ON_C..\Run: [Njivup] File not found
O4 - HKU\Oriane_ON_C..\Run: [vasja] File not found
O20 - HKLM Winlogon: Shell - (I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe) - C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe ()      
O20 - HKLM Winlogon: UserInit - (I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe) - C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe ()      
O20 - HKU\Oriane_ON_C Winlogon: Shell - (I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe) - C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe ()      
O20 - HKU\Oriane_ON_C Winlogon: UserInit - (I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe) - C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe ()      
[2012/04/09 07:20:09 | 000,274,432 | ---- | C] () -- C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe      
[2012/01/21 05:45:35 | 000,000,008 | ---- | C] () -- C:\Documents and Settings\Oriane\Application Data\ul4776e5x4sn2xkg.dat      
[2011/06/06 12:25:40 | 000,000,144 | -H-- | C] () -- C:\Documents and Settings\Oriane\Application Data\4wa4x7e22.bat      
[2010/06/02 13:08:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\espionServerData
@Alternate Data Stream - 60 bytes -> C:\Documents and Settings\All Users\Documents\.TemporaryItems:AFP_AfpInfo      

:Files
C:\Program Files\pdfforge Toolbar
C:\Program Files\Application Updater
C:\Program Files\BittorrentBar_FR
C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe
C:\WINDOWS\explorer-mal

Clique sur Run Fix
Poste le rapport.

====================================================

Redémarre la machine, une fois que tu seras sous Windows, envoie un message :)

misaki43 · Answer

le rapport :
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\Application Updater deleted successfully.
C:\Program Files\Application Updater\ApplicationUpdater.exe moved successfully.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ deleted successfully.
C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll moved successfully.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Internet Explorer\URLSearchHooks\{ef79f67a-6ad7-4715-a0f8-932fca442023} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}\ deleted successfully.
C:\Program Files\BittorrentBar_FR\prxtbBit0.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
File C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}\ not found.
File C:\Program Files\BittorrentBar_FR\prxtbBit0.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
File C:\Program Files\pdfforge Toolbar\IE\5.2\pdfforgeToolbarIE.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{ef79f67a-6ad7-4715-a0f8-932fca442023} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}\ not found.
File C:\Program Files\BittorrentBar_FR\prxtbBit0.dll not found.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EF79F67A-6AD7-4715-A0F8-932FCA442023} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF79F67A-6AD7-4715-A0F8-932FCA442023}\ not found.
File C:\Program Files\BittorrentBar_FR\prxtbBit0.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\5zt1 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\lmfvMDBr3jNvGGM deleted successfully.
C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings deleted successfully.
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe moved successfully.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\lmfvMDBr3jNvGGM deleted successfully.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\Njivup deleted successfully.
Registry value HKEY_USERS\Oriane_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\vasja deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe deleted successfully.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe deleted successfully.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
Registry value HKEY_USERS\Oriane_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe deleted successfully.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
Registry value HKEY_USERS\Oriane_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit:I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe deleted successfully.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
File C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
C:\Documents and Settings\Oriane\Application Data\ul4776e5x4sn2xkg.dat moved successfully.
C:\Documents and Settings\Oriane\Application Data\4wa4x7e22.bat moved successfully.
C:\Documents and Settings\All Users\Application Data\espionServerData folder moved successfully.
ADS C:\Documents and Settings\All Users\Documents\.TemporaryItems:AFP_AfpInfo deleted successfully.
========== FILES ==========
C:\Program Files\pdfforge Toolbar\Res\Lang folder moved successfully.
C:\Program Files\pdfforge Toolbar\Res folder moved successfully.
C:\Program Files\pdfforge Toolbar\IE\5.2 folder moved successfully.
C:\Program Files\pdfforge Toolbar\IE folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF folder moved successfully.
C:\Program Files\pdfforge Toolbar folder moved successfully.
C:\Program Files\Application Updater folder moved successfully.
C:\Program Files\BittorrentBar_FR folder moved successfully.
File\Folder C:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe not found.
C:\WINDOWS\explorer-mal moved successfully.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 09162012_112746

Maintenant je redémarre l'ordinateur en enlevant le CD Donc

juju666 · Answer

OK :)

misaki43 · Answer

Et bien après me logger je suis toujours déconnecté de ma session :(

juju666 · Answer

Et bien après me logger je suis toujours déconnecté de ma session :( 

Précise.

Car le malware a bougé : 

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell:I:\Documents and Settings\Oriane\Application Data\bstr55uhjzd.exe deleted successfully.

misaki43 · Answer

Et bien rien a changé depuis avant la manipulation : quand windows se lance il me demande mon mdp pour accéder à ma session, je le met, windows se lance (je vois l'arrière plan de mon bureau) mais avant que ma session ait réellement le temps de se lancer (avant qu'on voit les icones, la barre de tache etc), windows se déconnecte de ma session et me remet sur l'interface de base où je dois insérer mon mdp.

juju666 · Answer

Re,

Démarre en mode sanx échec :

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la première option : Sans Échec, et valide avec "Entrée" 
&#9654 Choisis le compte "Administrateur" (pas le tiens)
 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...) 
 
 De là, re-créé toi un compte utilisateur afin qu'on puisse travailler en mode normal pour récupérer ta session courante.

misaki43 · Answer

Toujours le même problème, même dans le mode sans échec, le profil administrateur se déconnecte de la même façon

juju666 · Answer

Ben merd$ alors ....

Redémarre sur le CD OTLPE comme je t'ai expliqué au début STP et refais un scan avec celui-ci.

Virus Gendarmerie

19 réponses

Discussions similaires