Virus gendarmerie : eradication incomplète reste ecran blanc

Fermé
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012 - 10 nov. 2012 à 14:31
 Utilisateur anonyme - 24 nov. 2012 à 11:43
Bonjour,

Je vous sollicite pour un petit coup de main. L'ordinateur d'un des membres de mon entourage a été touché par le virus de la Gendarmerie qui vient prendre la main sur explorer.exe.

En parcourant les forums, j'ai suivi les procédures qui utilisent RogueKiller pour se débarrasser du virus. Le résultat est mitigé. L'écran avec le message de la gendarmerie a bien disparu mais il subsiste toujours un écran blanc qui prend la main immédiatement après la mire défilante Windows XP. On voit apparaitre le fond d'écran du bureau à peine une demi seconde avant l'apparition de l'écran blanc. Si on force l'arrêt de Windows avec le bouton physique marche arrêt, le bureau apparait à nouveau juste avant l'éteinte du PC. Ce n'est donc pas un problème de carte graphique.

En mode sans échec/Administrateur, on a bien le fonctionnement normal Windows XP sans écran blanc. En mode sans échec/Autre utilisateur, l'écran blanc est présent et pas d'utilisation possible de Windows XP.

J'ai donc essayé en mode sans échec/Administrateur de passer la procédure de changement de clés Winlogon/Shell dans la base de registre en mettant iexplore à la place de explorer pour ensuite recopier un explorer propre chargé sur Internet à la place de l'explorer vérolé en mode normal. Après avoir fait le changement de clés dans le registre, quand je redémarre en mode normal, l'écran blanc arrive quand même à reprendre la main. Je suis donc bloqué à ce stade. Même en ayant recopié l'explorer propre en mode sans échec, la situation reste la même.

Avez-vous une ou des idées ?

Merci d'avance.





A voir également:

26 réponses

Utilisateur anonyme
13 nov. 2012 à 11:13
le rapport est dans c:\ s'il n'est pas sur le bureau....il arrive que windows bloque le transfert sur le bureau
1
tanteelise Messages postés 28004 Date d'inscription lundi 5 avril 2010 Statut Contributeur Dernière intervention 25 mars 2023 4 471
10 nov. 2012 à 14:38
Bonjour,

personnellment, je transférerais ce post dans la section virus/securité ou un spécialiste vous prendra en main. Qu'en pensez-vous ?

Cordialement
0
DextroyMax Messages postés 793 Date d'inscription mardi 31 août 2010 Statut Membre Dernière intervention 21 septembre 2014 57
10 nov. 2012 à 14:41
Le formatage serais pas de mise. ça éviterais tout soucis.
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
10 nov. 2012 à 16:08
Merci pour le déplacement dans la bonne rubrique.
0
Utilisateur anonyme
11 nov. 2012 à 01:31
salut

fais un topo des possibilités d'agissements que tu as sur le pc merci :)

et n'écoute personne d'autre à partir de maintenant que moi
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Tout d'abord merci. Je ne tenais bien entendu pas compte des quelques trolls qui ont l'air d'essayer de faire des mauvaises blagues.

Pour les possibilités d'intervention sur le PC, le mode sans échec/Administrateur ne semble pas infecté. J'arrive donc à transférer des utilitaires via clés USB. C'est comme ça que j'ai transféré RogueKiller pour essayer de traiter le virus gendarmerie. Au besoin j'ai aussi un liveCD Knoppix si ça peut aider.

A partir d'un autre PC, je peux donc charger tout utilitaire nécessaire pour effectuer des opérations sur le PC infectés.

Par rapport, à cet écran, on dirait qu'il y a une couche supplémentaire par rapport à ce que j'ai pu déjà lire ailleurs, car le fait d'avoir changer la clé Winlogin/Shell dans la base de registre n'a pas empêché l'écran blanc de s'interposer.

A ta disposition pour d'autres renseignements.
0
Utilisateur anonyme
11 nov. 2012 à 03:01
bien balance lui ca dans la gueule voir s'il resiste :

https://forums-fec.be/gen-hackman/Pre_Scan.exe
0
J'ai donc lancé le Winlogon/prescan.exe. Il a tourné un bon moment, je l'ai même laissé finir seul car il fallait que je parte au boulot ce matin.

Ce soir, il avait fini de tourner après un dernier reboot.

Voici le résultat :

http://cjoint.com/?BKmt4gsBkSk

Si on reboot XP en mode normal, l'écran fixe blanc/gris est toujours là.
0
Utilisateur anonyme
12 nov. 2012 à 20:28
t'as possibilité de me faire voir à quoi ca ressemble ?
0
Donc une fois Windows démarré ça donne ça :
http://cjoint.com/?BKmvaRJFxsL

Comme si le fond de l'image du virus gendarmerie était la sans le texte.

Quand j'appuie sur le bouton marche/arret physique du PC pour l'éteindre, on voit apparaitre l'interface windows avec l'explorer pendant une seconde avant la mise hors tension. Comme cela :
http://cjoint.com/?BKmvd3eMdpn
0
Utilisateur anonyme
12 nov. 2012 à 21:37
relance pre_scan choisis l option DiaG et hebregre le rapoort
0
Comment fait t'on pour le lancer avec une option, à partir de l'invite de commande ?
0
Utilisateur anonyme
12 nov. 2012 à 23:40
lance-le il va t'afficher un menu pour le deuxieme lancement :)
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
13 nov. 2012 à 11:07
J'ai lancé le winlogon une deuxième fois. Le menu est bien apparu. Avec l'option diaG, il a travaillé pendant une dizaine de minutes puis la fenêtre a disparu. Aucun rapport ne s'est créé. J'ai vu que le processus était encore en exécution dans le gestionnaire des taches. J'ai attendu dix minutes de plus mais rien ne s'est passé de plus.

Par contre, j'ai eu une autre idée. Comme en mode sans échec, le driver de carte graphique est désactivé et que l'affichage est correct, j'ai supprimé la carte graphique au niveau du gestionnaire de périphériques.

En redémarrant en mode normal, l'affichage est redevenu correct. Avast a alors commencé à faire son boulot. Il a détecté et bloqué une tentative d'infection par un virus de type Blank Screen ( ou Bloque Screen, je n'ai pas été attentif et n'ai pas noté le descriptif précis ). Il a demandé à effectuer un scan complet au reboot de la machine. Je l'ai donc fait rebooté et laissé dans sa phase d'analyse complète de l'ordinateur. Je verrai ce que ça donne ce soir à mon retour. Je réinstallerai alors les drivers de la carte graphique avec le CD constructeur. Mon hypothèse est que le virus gendarmerie a du infecter une dll du driver de la carte graphique. Le RogueKiller a du nettoyé en partie mais pas complètement le virus. En désactivant la carte graphique, cette dll n'est plus invoquée et ne pollue pas l'affichage. J'espère juste que l'analyse Avast plus la réinstallation du driver de la carte graphique suffira à éradiquer le virus.

Je te tiens au courant de la suite des événements.
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
13 nov. 2012 à 22:40
J'ai trouvé le compte rendu, le voici :

https://www.cjoint.com/?BKnwLCH3YzO

Par ailleurs, la manip de suppression de la carte graphique et le passage de avast semblent avoir suffi à désactiver le virus. En consultant le compte rendu de l'antivirus, il a mis en quarantaine le fichier msconfig.dat qui était infecté par un Trojan : Lockscreen-NN.

Penses tu que cela à suffit à éradiquer le problème ?
0
Utilisateur anonyme
14 nov. 2012 à 09:57
la session dany est infectée passe l option Scan|kill à partir de cette session
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
14 nov. 2012 à 16:23
Ok, je fais la manipulation ce soir.

Pour ma culture personnelle, quelle est l'info dans le compte rendu qui te conduit à cette conclusion ?
0
Utilisateur anonyme
14 nov. 2012 à 16:54
regarde dans c:\documents and settings\dany , y'a "ms.exe" c'est un fichier infectieux :)
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
14 nov. 2012 à 22:02
Voici le compte rendu de l'exécution du Scan/Kill de ce soir :

https://www.cjoint.com/?BKowa1cCYeK

Pour le reste, un coup de nettoyage disque, une installation de Zone Alarm et un chkdsk devrait augmenter la protection et purger un peu le PC.
0
Utilisateur anonyme
14 nov. 2012 à 22:59
laisse tomber zone alarm c'est une mer$e....je regarde ton rapport
0
Utilisateur anonyme
14 nov. 2012 à 23:01
relance l'option Diag de cette session

le logiciel n'a pas vu le fichier infectieux on va devoir scripter
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
14 nov. 2012 à 23:30
Ok je vais m'occuper de relancer le Diag. PAr contre j'ai un planning très chargé de jeudi à dimanche soir, donc je ne sais pas encore trop quand j'aurai le temps de le faire.

Après le Scan/Kill, je n'ai pas trouvé le fameux fichier ms.exe dans le répertoire où il était détecté, pourtant il me semblait avoir activé les fichiers cachés. Est ce qu'Avast a pu lui réglé son compte ?

As tu un autre pare feu gratuit à me conseiller à la place de Zone Alarm ?
0
Utilisateur anonyme
14 nov. 2012 à 23:36
si tu n'as pas beaucoup de connaissances dans les connexions entrantes , sortantes , les ouvertures de ports etc , je te suggère de te contenter de celui de windows sinon tu risques de bloquer quelque chose d'essentiel au bon fonctionnement du system sous la panique à l'affichage d'une fenetre te demandant ce que tu dois faire

le parefeu de windows gère cela.....
0
derf69 Messages postés 9 Date d'inscription samedi 10 novembre 2012 Statut Membre Dernière intervention 24 novembre 2012
17 nov. 2012 à 14:33
Voici le rapport Diag exécuté sur la session infectée.

https://www.cjoint.com/?BKroFbpsLnk
0