Virus gendarmerie

Résolu/Fermé
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013 - 8 janv. 2013 à 12:03
 stef59hoy - 16 janv. 2013 à 11:58
Bonjour,

j'ai également été infecté par ce "fameux" virus gendarmerie
comme beaucoup de monde, j'ai consulté les différents forums à ce sujet
mai, chez moi, ca coince ............... une bonne âme pourrait-elle me venir en secours ??

je suis sur XP - et quand je démarre en mode sans échec - je n'ai accès à rien
en mode invite de commande, idem - pas moyen de taper quoique ce soit ............

pour info, c'est un poste que j'ai récupéré de mon job - quand je tape mon mot de passe
en mode normal, pas de pb -> mais quand je tape mon mot de passe en mode sans échec, il me dit que ca n'est pas le bon ........... ???????????

merci d'avance de votre aide !!!!!!

5 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
8 janv. 2013 à 12:09
Salut,

Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Naviguer dans les disques afin de sélectionner le dosssier Windows puis le nom de la session infectée.
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan - !!! je répète copier le script personnalisé qui est donné sur la page OTLPE malekal.com avant de scanner !!!
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.


0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 13:15
salut !!
j'ai fait la procédure jusqu'à l'envoi du rapport OTL (non sans mal ....)
et lorsque je rallume le pc infecté, j'ai mon fonds d'écran, mais c'est tout, windows ne revient pas ... il y a autre chose à faire stp ???

merci, encore !!!
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 13:17
Donne le lien du rapport ici.
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 13:21
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
8 janv. 2013 à 12:14
merci beaucoup

je n'y connais pas grand'chose en informatique ...... je vais tâcher d'y parvenir
et t'en tiendrai informé

merci encore !!!
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 13:56
Si tu peux, envoier ces deux fichiers sur http://upload.malekal.com :
C:\Documents and Settings\All Users\Application Data\hyhcidmqtbkhgaxtgtev.exe
C:\Documents and Settings\sderoo\0.381446528463229.exe


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL

O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [dhdalalatmazmyg] C:\Documents and Settings\All Users\Application Data\hyhcidmqtbkhgaxtgtev.exe ()
O4 - HKU\sderoo_ON_C..\Run: [dhdalalatmazmyg] C:\Documents and Settings\All Users\Application Data\hyhcidmqtbkhgaxtgtev.exe ()
[2012/05/16 04:53:02 | 000,000,041 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\xdnmuytqbsrrkmtewwxgmhgzyjvuajqb
[2012/05/14 09:17:40 | 000,069,632 | ---- | C] () -- C:\WINDOWS\explorer_new.exe
[2012/05/14 09:17:37 | 000,000,014 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\eniyrfhzqhjvdjsptcdfyktwguqckssk
[2012/05/14 09:17:35 | 000,069,632 | ---- | C] () -- C:\WINDOWS\hyhcidmqtbkhgaxtgtev.exe
[2012/05/14 09:17:35 | 000,069,632 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\hyhcidmqtbkhgaxtgtev.exe
[2012/05/14 09:17:32 | 000,069,632 | ---- | C] () -- C:\Documents and Settings\sderoo\0.381446528463229.exe
[2012/05/14 09:17:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\xfpzcrugvbpjloh
O20 - HKLM Winlogon: Shell - (explorer_new.exe) - C:\WINDOWS\explorer_new.exe ()
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"Shell"="explorer.exe"


* redemarre le pc sous windows et poste le rapport ici


~~

Si tu as un dossier C:\OTL
Compresse le et envoye le fichier compressé sur http://upload.malekal.com

0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 14:03
merci
je les trouve où ces 2 fichiers stp ??? puisque je ne peux rien faire, même sans échec ...
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 15:17
Suis la procédure avec OTL, c'est à faire sur OTLPE.
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 17:53
me voici enfin
j'ai fait la procédure - ci dessous le rapport :
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ deleted successfully.
File 2478D38-C3F9-4efb-9B51-7695ECQ05670} - not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ not found.
File DAD4DA1 -61A2 -4FD8-9C17-86F7QC245081} - not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ not found.
File C1FB-11D2-892F-0090271D4F88} - not found.
File () -- C:\Documents and Settings\All users\Application not found.
File () -- C:\WINDOWS\explorer_new.exe not found.
File () -- C:\Documents and Settings\All users\Application not found.
File () -- C:\WINDOWS\hyhcidmqtbkhgaxtgtev.exe not found.
File () -- C:\Documents and Settings\All users\Application not found.
File () -- C:\Documents and Settings\sderoo\0.381446528463229.exe not found.
Folder C:\Documents and Settings\All users\Application\ not found.
File LM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] not found.

OTLPE by OldTimer - Version 3.1.48.0 log created on 01092013_175318
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 18:11
Je pense que si tu redémarres, tu vas avoir ton fond d'écran sans rien.
Cela vient du fait que tu as changé la clef Shell, chose qui n'était pas à faire...

Essaye CTRL+ALT+Suppr et gestionnaire de tâches
Menu Fichier / Nouvelle tâches
et tape explorer.exe et OK.

Vois si le bureau se lance sans le virus.
Si c'est le cas remets la clef Shell comme il faut.
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 18:20
yes !!! y'a du mieux
je l'ai fait, et "MES DOCUMENTS" se sont ouverts directement
Par contre, le bureau ne s'ouvre pas ....

tu peux me dire comment remettre la clef Shell stp ??
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 18:26
Menu Démarrer et tape regedit et OK.
Navigue dans l'arborescence en cliquant sur les + à gauche pour aller sur :

HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon

A droite, tu dois avoir Shell.
Double-clique dessus et corrige pour mettre explorer.exe

OK partout et redémarre le PC.
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 18:33
le problème, c'est que je n'ai pas le menu démarrer ni le bureau qui s'affiche .................
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 18:46
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 18:51
oups ............. je n'y parviens pas
je dois aller sur le site ??? rien ne se passe, ni quand je pointe sur le lien que tu donnes, ni quand je tape ce lien en recherche ................. ????????????????
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 19:33
Cool :)

Quelques conseils.

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
stef59hoy Messages postés 13 Date d'inscription mardi 8 janvier 2013 Statut Membre Dernière intervention 9 janvier 2013
9 janv. 2013 à 19:44
OK Chef - je ferai le reste demain
et ne manquerai pas de le faire savoir autour de moi ...............

encore MILLE MERCI !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
9 janv. 2013 à 19:54
:)
0
Salut
me revoilà encore avec mes petits problèmes ............... depuis jeudi dernier, je me vautre lamentablement en essayant de rétablir une connexion sur le pc qui a été infecté
j'avais une clé wifi"hercules" qui fonctionnait bien - je l'ai désinstallée puis réinstallée - mais que dalle ................pas moyen de connecter avec ma livebox 2 ..............
merci de ton aide
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 587
15 janv. 2013 à 08:58
Ca fait quoi ?
y a des messages d'erreurs ?
0
salut
non - a part "connexion faible ou inexistante ...................
0