Virus de la gendarmerie sous windows 8

weedds -  
 weedds -
bonjour

Donc voila j'ai un probléme je n'arrive pas supprimer se virus de la gendarmerie et je n'arrive pas a atteindre le mode sans echec nn plus et vu que ma version de windows 8 a était installer par dessus seven je ne sais pas comment fair.
si vous avez quelque conseil je suis prennant, merci d'avance

12 réponses

Résumé de la discussion

Une infection dite de la gendarmerie bloque l’ordinateur et empêche d’accéder au mode sans échec, avec l’utilisateur ayant installé Windows 8 au-dessus de Windows 7. Des solutions évoquées incluent l’utilisation d’OTL, l’ouverture d’un nouveau processus via CTRL+ALT+Suppr puis explorer.exe, des outils de restauration ou des programmes comme BlackScreenFix et divers liens techniques. D’autres propositions suggèrent de modifier des clés de registre via regedit, ou d’ouvrir le dossier Ordinateur et d’utiliser des méthodes alternatives lorsque l’accès au Bureau est rétabli. En cas de restauration limitée par l’absence de points de sauvegarde, les échanges proposés restent expérimentaux et nécessitent prudence pour éviter d’endommager davantage le système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
    Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

    Suis la procédure indiqué sur la page :
    - Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
    - Mettre le CD / Clef USB sur le PC infecté
    - Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
    - Une fois sur le CD Live Malekal
    - Lance OTLPE
    - Indique le dossier Windows et indique la session infectée
    - Lance le scan (bouton scan)
    - Un rapport devrait s'ouvrir, s'il est vide, regarde dans C:\OTLPE.txt
    - Vas sur pjjoint.malekal.com - envoie le rapport et donne le lien du rapport ici (si y a pas internet, vois pour transférer le rapport par clef USB).
    0
  2. weedds
     
    ok, merci pour le conseil je vais essayé de suite
    0
  3. weedds
     
    http://pjjoint.malekal.com/files.php?id=20130530_o12g5y6p13y14
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu n'as pas que le virus gendarmerie comme malware.

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKU\mandin_bryan_ON_C..\Run: [ctfmon32.exe] C:\ProgramData\rundll32.exe (Microsoft Corporation)
    O20:[b]64bit:[/b] - HKLM Winlogon: Shell - (C:\PROGRA~3\ejhotod.bat) - C:\ProgramData\ejhotod.bat ()
    [2013-05-30 10:51:34 | 000,001,044 | ---- | M] () -- C:\Users\mandin bryan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
    [2012-11-29 20:20:56 | 000,000,000 | -HSD | M] -- C:\Users\mandin bryan\AppData\Roaming\AB8304
    [2013-03-16 14:11:05 | 000,000,000 | ---D | M] -- C:\Users\mandin bryan\AppData\Roaming\BabSolution
    [2013-03-16 14:10:11 | 000,000,000 | ---D | M] -- C:\Users\mandin bryan\AppData\Roaming\Babylon
    [2013-03-16 14:10:45 | 000,000,000 | ---D | M] -- C:\Users\mandin bryan\AppData\Roaming\Delta
    [2013-03-14 20:42:43 | 000,000,000 | ---D | M] -- C:\Users\mandin bryan\AppData\Roaming\Enott
    [2013-03-11 19:50:10 | 000,000,000 | ---D | M] -- C:\Users\mandin bryan\AppData\Roaming\Ifqoiw
    :files
    C:\ProgramData\ejhotod.bat

    * redemarre le pc sous windows et poste le rapport ici

    Redémarre sur Windows.

    Au pire, t'auras la fenêtre CMd, tape explorer.exe pour avoir le bureau.
    Au mieux t'auras direct le bureau qui démarre.

    Ca donne quoi ?

    0
  6. weedds
     
    il doit etre ou le rapport car j'ai copier se que tu m'a envoier dans le cadre et j'ai mit fix mais je n'ai pas u de rapport
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      OTL t'a dit fix done ou un truc comme ça ?

      Si oui redémarre le PC sur Windows.
      0
    2. weedds
       
      une autre solution ?
      0
  7. weedds
     
    écran noir au redémarrage
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      CTRL+ALT+Suppr fonctionne ?

      Si oui, menu fichier / Nouvelle tâche et tape explorer.exe et OK.
      Ca charge le bureau ?
      0
    2. weedds
       
      le dossier ordinateur s'est ouvert
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Menu Démarrer et tape regedit et OK.

      Déroule à gauche :

      HKEY_CURRENT_USER
      \SOFTWARE
      \Microsoft
      \Windows NT
      \CurrentVersion
      \Winlogon

      A droite, supprimer la clef Shell

      Redémarre l'ordinateur
      0
    4. weedds
       
      mes le bureau ne s'affiche toujours pas
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tape regedit dans la barre d'adresse en haut, ça doit le lancer.
      0
  8. weedds
     
    http://pjjoint.malekal.com/files.php?id=20130601_13e5o13i7e7

    http://pjjoint.malekal.com/files.php?id=20130601_o11h8x7r12j9
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    SRV - [2013/03/22 16:09:37 | 002,787,280 | ---- | M] () [Auto | Running] -- C:\ProgramData\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe -- (BrowserProtect)
    CHR - Extension: Services x86 = C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnmdgidklhhnmppphpohildcefnaaflp\1.23.28_0\crossrider
    CHR - Extension: Services x86 = C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnmdgidklhhnmppphpohildcefnaaflp\1.23.28_0\
    CHR - Extension: Services x86 = C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnmdgidklhhnmppphpohildcefnaaflp\1.23.28_0\crossrider
    CHR - Extension: Services x86 = C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnmdgidklhhnmppphpohildcefnaaflp\1.23.28_0\
    CHR - Extension: Delta Toolbar = C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.1_0\
    O2 - BHO: (Services x86) - {11111111-1111-1111-1111-110211701196} - C:\Program Files (x86)\Services x86\Services x86.dll (Corporate Inc)
    O2 - BHO: (delta Helper Object) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
    O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
    O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O4 - HKU\S-1-5-21-2233916405-2154006734-3403483155-1000..\Run: [ctfmon32.exe] C:\ProgramData\dotohje.dat (Microsoft Corporation)
    O20 - AppInit_DLLs: (c:\progra~3\browse~1\261249~1.132\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
    O20:[b]64bit:/b - HKLM Winlogon: Shell - (C:\PROGRA~3\ejhotod.bat) - File not found
    [2013/05/30 10:51:14 | 000,167,936 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\dobjmb.dat
    [2013/05/30 10:51:12 | 000,167,936 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\dotohje.dat
    [2012/11/29 18:38:29 | 000,000,001 | ---- | C] () -- C:\ProgramData\72J08VlT.exe_.b
    [2012/11/29 18:38:29 | 000,000,001 | ---- | C] () -- C:\ProgramData\72J08VlT.exe.b
    [2013/05/30 10:51:24 | 000,002,690 | ---- | C] () -- C:\ProgramData\ejhotod.js
    [2013/05/30 10:51:24 | 000,000,153 | ---- | C] () -- C:\ProgramData\ejhotod.reg
    [2013/05/30 10:51:22 | 095,023,320 | ---- | C] () -- C:\ProgramData\ejhotod.pad
    [2013/05/30 10:51:18 | 095,023,320 | ---- | C] () -- C:\ProgramData\bmjbod.pad


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Télécharge https://toolslib.net AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  10. weedds
     
    pourquoi au bout de 3 seconde OLT ne répond plus, c'est normal?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      inverse alors, d'abord AdwCleaner en suppression puis après OTL.
      0
    2. weedds
       
      j'ai utiliser adwcleaner en suppression mes OTL ne repond toujours pas quand je lance la correction

      le rapport de ADW

      # AdwCleaner v2.009 - Rapport créé le 27/11/2012 à 18:34:28
      # Mis à jour le 24/11/2012 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : mandin bryan - MANDINBRYAN
      # Mode de démarrage : Normal
      # Exécuté depuis : C:\Users\mandin bryan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W2EZL37C\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****

      Dossier Supprimé : C:\ProgramData\Partner
      Dossier Supprimé : C:\ProgramData\SweetIM
      Dossier Supprimé : C:\Users\mandin bryan\AppData\Local\Smartbar
      Dossier Supprimé : C:\Users\mandin bryan\AppData\LocalLow\Smartbar
      Dossier Supprimé : C:\Users\mandin bryan\AppData\Roaming\OpenCandy
      Dossier Supprimé : C:\Users\MANDIN~1\AppData\Local\Temp\Smartbar
      Supprimé au redémarrage : C:\Program Files (x86)\SweetIM

      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl
      Clé Supprimée : HKCU\Software\Offerbox
      Clé Supprimée : HKCU\Software\SmartBar
      Clé Supprimée : HKCU\Software\SmartbarBackup
      Clé Supprimée : HKCU\Software\Softonic
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
      Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
      Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
      Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
      Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
      Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
      Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
      Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
      Clé Supprimée : HKLM\SOFTWARE\Software
      Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Browser Infrastructure Helper]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Sweetpacks Communicator]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs [C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarProxy.dll]

      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16421

      Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=cce9d866-b621-4efe-978f-c3cc60054cc0&searchtype=ds&q={searchTerms} --> hxxp://www.google.com
      Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=cce9d866-b621-4efe-978f-c3cc60054cc0&searchtype=ds&q={searchTerms} --> hxxp://www.google.com
      Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=cce9d866-b621-4efe-978f-c3cc60054cc0&searchtype=ds&q={searchTerms} --> hxxp://www.google.com
      Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://feed.snap.do/?publisher=SnapdoOpenCandy&dpid=SnapdoOpenCandy&co=FR&userid=cce9d866-b621-4efe-978f-c3cc60054cc0&searchtype=ds&q={searchTerms} --> hxxp://www.google.com
      Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?crg=3.1010000.10015 --> hxxp://www.google.com

      -\\ Google Chrome v [Impossible d'obtenir la version]

      Fichier : C:\Users\mandin bryan\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[R1].txt - [4588 octets] - [27/11/2012 18:33:41]
      AdwCleaner[S1].txt - [4595 octets] - [27/11/2012 18:34:28]

      ########## EOF - C:\AdwCleaner[S1].txt - [4655 octets] ##########
      0
    3. Utilisateur anonyme
       
      j'avais eu le meme virus, je l'ai enlevé en passant par un mini windows(bootable sur hiranboot)
      0
    4. weedds
       
      je pense que le virus a était supprimé mes le problème maintenant c'est qu'a l'ouverture de ma session j'ai un écran noir
      0
    5. Utilisateur anonyme
       
      on dirait que tu a supprimé plus que le pb d'origine lol
      0
  11. weedds
     
    est ce que sa marcherai si je faisais une restauration du système a une date ou je n'avais pas encore le virus puis lance adwcleaner pour supprimer tous ce que j'ai de malveillant?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ca peux.

      sinon fais OTL.
      0
    2. weedds
       
      OTL ne marche toujours pas et dans les restaurations je n'ai pas de date d'avant que j'attrape le virus --'
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      essaye ce programme : http://info.prevx.com/download.asp?GRAB=BLACKSCREENFIX
      0
    4. weedds
       
      quand je le lance je met "ok"?
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui
      0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Menu Démarrer et tape regedit et OK.

    Déroule à gauche :

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows NT
    \CurrentVersion
    \Winlogon

    A droite, tu dois avoir une clef shell.
    Doube-clic dessus, efface tout et mets explorer.exe à la place

    Redémarre l'ordinateur
    0
    1. weedds
       
      sa ressemble à quoi une clef shell?
      0