probléme aprés virus gendarmerie Résolu

Question

Bonjour, j'ai besoin de l'aide de cette charmante communauté. je viens d'avoir un virus du type "gendarmerie" , et après avoir supprimer ce virus avec RogueKiller, mon ordinateur rame , n'as plus de son , je n'ai plus la fonction Ctrl+C Ctrl+v Voici le rapport que j'ai enregistré. RogueKiller V8.3.0 [Nov 19 2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Website: http://www.sur-la-toile.com/RogueKiller/ Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Administrateur [Droits d'admin] Mode : Suppression -- Date : 20/11/2012 15:10:11 ¤¤¤ Processus malicieux : 5 ¤¤¤ [RESIDUE] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc] [RESIDUE] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc] [RESIDUE] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc] [RESIDUE] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc] [RESIDUE] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 5 ¤¤¤ [Services][BLSVC] HKLM\[...]\ControlSet003\Services\SSHNAS (C:\WINDOWS\system32\svchost.exe -k netsvcs) -> SUPPRIMÉ [TASK][SUSP PATH] {66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job : C:\DOCUME~1\wrob\LOCALS~1\Temp\Rvr.exe -> SUPPRIMÉ [STARTUP][HJNAME] ctfmon.lnk @wrob : C:\Documents and Settings\All Users\Application Data\lsass.exe -> SUPPRIMÉ [STARTUP][SUSP PATH] GamersFirst LIVE!.lnk @wrob : C:\Documents and Settings\wrob\Local Settings\Application Data\GamersFirst\LIVE!\Live.exe -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 static3.cdn.ubi.com 127.0.0.1 ubisoft-orbit.s3.amazonaws.com 127.0.0.1 orbitservice.ubi.com 127.0.0.1 static3.cdn.ubi.com 127.0.0.1 ubisoft-orbit.s3.amazonaws.com 127.0.0.1 onlineconfigservice.ubi.com 127.0.0.1 orbitservice.ubi.com 127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com 127.0.0.1 gosredirector.ea.com 127.0.0.1 blazeserver.blazeemu.org 127.0.0.1 gosgvaprod-qos01.ea.com 127.0.0.1 gosiadprod-qos01.ea.com 127.0.0.1 gossjcprod-qos01.ea.com 127.0.0.1 demangler.ea.com 127.0.0.1 vmp.tools.gos.ea.com 127.0.0.1 gosredirector.ea.com 127.0.0.1 blazeserver.blazeemu.org 127.0.0.1 gosgvaprod-qos01.ea.com 127.0.0.1 gosiadprod-qos01.ea.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 8a053dc8f545808889d1cdf2796358b4 [BSP] d26bdb1d6adbd2b3abe5af140586b4f7 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: +++++ --- User --- [MBR] 6c6da831c80a30d32682a83db2d2179d [BSP] 477bdb4a003b36c7882cf37201e6b63f : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_20112012_151011.txt >> RKreport[1]_S_20112012_151008.txt ; RKreport[2]_D_20112012_151011.txt en remerciant ceux qui se pencheront sur mon problème. Bonne journée et encore merci.

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Mr zigoulag · Answer

je vais faire sa maintenant, un grand merci a toi

g3n-h@ckm@n · Answer

à te lire

Mr zigoulag · Answer

aprés avoir passé quelques heures a tenté de lancer le programme a partir de  mon pc defectueux, le programme se lance aux pré-scan et s'arrette brusquement .
en mode sans echec , le programme dit une erreur apres avoir appuyé sur scan \kill

g3n-h@ckm@n · Answer

c'est quoi l'erreur ?

Mr zigoulag · Answer

je rallume mon pc et je te dit sa.
j'ai vu que je n'aie plus de réseau , plus de barre de tache , plus de Ctrl+Alt+Suppr 
c'est un virus a ton avis ?

Mr zigoulag · Answer

alors l'erreur c'est

"variable must be of type 'object' "

g3n-h@ckm@n · Answer

je peux avoir le message ENTIER s'il te plait !!

Mr zigoulag · Answer

ok désolé

Line 9606 (file "F:\winlogon.exe")


variable must be of type 'object'

g3n-h@ckm@n · Answer

ok apparemment tu as le WMI qui est touché 

on verifie : 

demarrer/executer puis tape : 

cmd 

puis entrée 

dans la fenetre noire tape : 

sc query winmgmt 

puis entrée 

donne moi la reponse 
  

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Mr zigoulag · Answer

Service_name: winmgmt TYPE :20 WIN32_SHARE_PROCESS STATE :1 STOPPED WIN32_EXIT_CODE:1068 <0*42C> SERVICE_EXIT_CODE:0 <0*0> CHECKPOINT: 0*0 WAIT_HINT: 0*0

g3n-h@ckm@n · Answer

ok tape :

sc start winmgmt

Mr zigoulag · Answer

alors il dit:
[SC] StartService FAILED 1068
Le service ou le groupe de dùpendance n'a pas pu dùmarrer

g3n-h@ckm@n · Answer

selectionne ce texte :  

WMI::  

Relance Pre_scan puis choisis l'option "Script"  

une page va s'ouvrir  

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.  

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.  

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte  

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille   

après le redemarrage , refais ceci : 

https://forums.commentcamarche.net/forum/affich-26513082-probleme-apres-virus-gendarmerie#10
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Mr zigoulag · Answer

alors j'ai écrit sc start winmgmt
cela fait 10min que le programme dit : reading script.
est-ce normal ?

g3n-h@ckm@n · Answer

lol 

tu t'as planté 

et je sais pas si l'exe passera en fait  

telecharge la version .pif  

mets-là dans C:\ 

redemarre ton pc en invité de commandes 

dans la fenetre noire tape  

C:\Pre_Scan.pif 

dis-moi quand tu en es à l'écran du menu avec les boutons de Pre_scan  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Mr zigoulag · Answer

le probleme est que je ne peux pas copier/coller .

Vu la panne , est-ce-que tu pense qu'un formatage reglerai le probleme ?

g3n-h@ckm@n · Answer

mais je comprends pas tu es sur un seul pc là ?

Mr zigoulag · Answer

non , j'en ais deux.

un avec lequel je peux te parler, qui marche bien

l'autre qui ne peux plus copier/coller , ne peux plus se connecter au réseau.

Je transfert ce que j'ai besoin par une clé usb, que je lance directement dessus , je ne peux pas les copier sur un disque dur.

g3n-h@ckm@n · Answer

ah ouais mais alors la donne est changée dans ce cas là.... si tu peux rien enregistrer sur le disque logique que ca marche pas

mmmm......tente ces manips 

http://www.inforumatique.fr/forum/reparer-le-wmi-t3838.html  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Mr zigoulag · Answer

bon ,  ca ne marche pas non plus.

je pense que je vais formater mon pc , a l'ancienne quoi.

Merci encore , tu m'as bien aidé , c'est vraiment super sympa de passer une soirée entière a essayé de m'aider.

Bonne soirée, et bonne continuation.

g3n-h@ckm@n · Answer

ok :)

si tu savais j'ai des topics qui durent plusieurs mois des fois ^^

Mr zigoulag · Answer

ah ouais ? et tu fais ça plus par soif d'apprendre ou pour rendre service ?

g3n-h@ckm@n · Answer

les deux mon colonel ^^

Mr zigoulag · Answer

ok , c'est vraiment tout a ton honneur.

il faut fermer le topic ou quelque chose comme ça ?

g3n-h@ckm@n · Answer

nan cliquer sur signaler et mettre dans ton message , résolu merci ^^

Mr zigoulag · Answer

ok d'accord

merci encore de m'avoir aidé , je ne vais pas te retenir plus longtemps, bonne soirée.

g3n-h@ckm@n · Answer

:)

Probléme aprés virus gendarmerie - Page 2

Discussions similaires

Newsletters