Virus du gendarme

Jil -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

j'essaie de désinfecter un PC portable avec le virus du gendarme sous XP. C'est la version où le mode sans échec ne marche pas (écran bleu).

j'ai donc suivi une procédure en créant une clé USB bootable sous OTLPE. J'ai utilisé RogueKiller qui, après un scan, a clairement identifié le virus du gendarme. J'ai fait supprimer les clés registres. Puis redémarrer.
Mais dès que j'arrive sur le bureau de l'OS (XP) il se déconnecte et je me retrouve au menu "choisir une session ou utilisateur". Impossible de lancer XP en mode sans échec (écran bleu).

Actuellement voici le rapport du scan OTLPE:

https://www.cjoint.com/?BKqbHHGGb6R

Donc si vous pouvez m'aider.

Suggestion: [FILEASSO] HKLM\[...]\command : (X:\I386\IEXPLORE.EXE) -> FOLDER NOT FOUND

Windows XP

4 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    C'est toi qui a essayer de changer la hklm\...\winlogon | userinit ?
    elle est pas bonne c'est pour ça que ça charge pas la session ...

    Colle ça sous Custom Scan/Fixes :

    :OTL
    O20 - HKLM Winlogon: UserInit - (C:\i386\system32\userinit.exe) - C:\i386\system32\userinit.exe File not found
    [2012/05/11 08:54:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pascaline foissey\Application Data\Dfjxqnjx      
    :Reg
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
    "UserInit"="C:\WINDOWS\system32\userinit.exe,"


    Clique sur run fix

    Redémarre, enlève le cd avant qu'il ne démarre dessus

    ================================

    On vire les publiciels on nettoie et c'est tout ^^

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
    1. Jil
       
      Super l'ordinateur redémarre bien, et voici le rapport de ADwcleaner:

      # AdwCleaner v2.007 - Rapport créé le 17/11/2012 à 10:55:09
      # Mis à jour le 06/11/2012 par Xplode
      # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
      # Nom d'utilisateur : pascaline foissey - PASCALINE
      # Mode de démarrage : Normal
      # Exécuté depuis : E:\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****

      Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Ask
      Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Application Data\EoRezo
      Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\AskToolbar
      Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\EoRezo
      Dossier Supprimé : C:\Program Files\Ask.com
      Dossier Supprimé : C:\Program Files\EoRezo
      Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
      Fichier Supprimé : C:\Program Files\Mozilla FireFox\Components\AskSearch.js
      Fichier Supprimé : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\APN
      Clé Supprimée : HKCU\Software\Ask.com
      Clé Supprimée : HKCU\Software\AskToolbar
      Clé Supprimée : HKCU\Software\EoRezo
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
      Clé Supprimée : HKLM\Software\APN
      Clé Supprimée : HKLM\Software\AskBarDis
      Clé Supprimée : HKLM\Software\AskToolbar
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
      Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
      Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
      Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
      Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
      Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
      Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
      Clé Supprimée : HKLM\Software\EoRezo
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
      Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
      Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoRezo]

      ***** [Navigateurs] *****

      -\\ Internet Explorer v8.0.6001.18702

      Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://y.lo.st --> hxxp://www.google.com
      Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://y.lo.st --> hxxp://www.google.com

      -\\ Google Chrome v [Impossible d'obtenir la version]

      Fichier : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S2].txt - [6019 octets] - [17/11/2012 10:55:09]

      ########## EOF - C:\AdwCleaner[S2].txt - [6079 octets] ##########
      0
  2. Chris 94 Messages postés 1937 Date d'inscription   Statut Modérateur Dernière intervention   7 536
     
    Bonsoir,

    J'ai copié/collé tes immenses rapports dans un fichier rtf dont j'ai mis le lien en leur lieu et place.
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut Chris,
    Merci ! :D
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    génial :) mais tu n'as pas répondu à ma question ;)

    ================

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0