Virus du gendarme

Fermé

Jil - Modifié par Chris 94 le 16/11/2012 à 01:34
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 17 nov. 2012 à 11:45

Bonjour,

j'essaie de désinfecter un PC portable avec le virus du gendarme sous XP. C'est la version où le mode sans échec ne marche pas (écran bleu).

j'ai donc suivi une procédure en créant une clé USB bootable sous OTLPE. J'ai utilisé RogueKiller qui, après un scan, a clairement identifié le virus du gendarme. J'ai fait supprimer les clés registres. Puis redémarrer.
Mais dès que j'arrive sur le bureau de l'OS (XP) il se déconnecte et je me retrouve au menu "choisir une session ou utilisateur". Impossible de lancer XP en mode sans échec (écran bleu).

Actuellement voici le rapport du scan OTLPE:

https://www.cjoint.com/?BKqbHHGGb6R

Donc si vous pouvez m'aider.

Suggestion: [FILEASSO] HKLM\[...]\command : (X:\I386\IEXPLORE.EXE) -> FOLDER NOT FOUND

Windows XP

A voir également:

Virus du gendarme
Youtu.be virus - Accueil - Guide virus
Svchost.exe virus - Guide
Virus mcafee - Accueil - Piratage
Faux message virus ordinateur - Accueil - Arnaque
Faux message virus iphone ✓ - Forum Virus

4 réponses

Réponse 1 / 4

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 nov. 2012 à 00:56

Salut,

C'est toi qui a essayer de changer la hklm\...\winlogon | userinit ?
elle est pas bonne c'est pour ça que ça charge pas la session ...

Colle ça sous Custom Scan/Fixes :

:OTL
O20 - HKLM Winlogon: UserInit - (C:\i386\system32\userinit.exe) - C:\i386\system32\userinit.exe File not found
[2012/05/11 08:54:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pascaline foissey\Application Data\Dfjxqnjx      
:Reg
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"UserInit"="C:\WINDOWS\system32\userinit.exe,"

Clique sur run fix

Redémarre, enlève le cd avant qu'il ne démarre dessus

================================

On vire les publiciels on nettoie et c'est tout ^^

▶ Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

Jil
16 nov. 2012 à 17:28

Super l'ordinateur redémarre bien, et voici le rapport de ADwcleaner:

# AdwCleaner v2.007 - Rapport créé le 17/11/2012 à 10:55:09
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : pascaline foissey - PASCALINE
# Mode de démarrage : Normal
# Exécuté depuis : E:\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Ask
Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Application Data\EoRezo
Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\AskToolbar
Dossier Supprimé : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\EoRezo
Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\Program Files\EoRezo
Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Fichier Supprimé : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\AskToolbar
Clé Supprimée : HKCU\Software\EoRezo
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskBarDis
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\Software\EoRezo
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoRezo]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://y.lo.st --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://y.lo.st --> hxxp://www.google.com

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\pascaline foissey\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [6019 octets] - [17/11/2012 10:55:09]

########## EOF - C:\AdwCleaner[S2].txt - [6079 octets] ##########

Réponse 2 / 4

Chris 94 Messages postés 50978 Date d'inscription mardi 8 janvier 2008 Statut Modérateur Dernière intervention 17 février 2023 7 335
Modifié par Chris 94 le 16/11/2012 à 01:42

Bonsoir,

J'ai copié/collé tes immenses rapports dans un fichier rtf dont j'ai mis le lien en leur lieu et place.

Réponse 3 / 4

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 nov. 2012 à 01:41

Salut Chris,
Merci ! :D

Réponse 4 / 4

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 nov. 2012 à 11:45

génial :) mais tu n'as pas répondu à ma question ;)

================

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

● Uniquement en cas de problème de mise à jour:

● Télécharger mises à jour manuelles MBAM

● Exécute le fichier après l'installation de MBAM

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

Discussions similaires

Softonic,est-ce un virus ?

Est ce que le site tlauncher est dangereux ?

4 virus en raison d’un porno ????

problême Opéra est ce un virus??

Désinstaller Softonic