Votre question

suite infection virus gendarmerie : plus de boot [résolu]

Tags :
  • Boot
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Mars 2012 11:25:49

Bonjour,

Un collègue m'a confié son PC qui ne démarre plus (XP SP2).
Il a suivi les indications d'un forum pour éradiquer le virus gendarmerie, apparemment avec succès. Seulement, au démarrage suivant, le PC ne boote plus (retour en boucle sur la page présentant la carte mère - les disques et périphériques sont détectés).

A l'aide d'un mini Windows XP (sur Hiren's boot cd), j'ai fait une vérification des erreurs du disque système avec les options "réparer automatiquement les erreurs de système de fichiers" et "rechercher et tenter une récupération des secteurs défectueux". Toujours pas de boot.
L'accès au disque système est normal depuis le live CD. Le disque apparaît très fragmenté.

Que faire ?
Merci de votre aide.

Autres pages sur : suite infection virus gendarmerie boot resolu

a c 614 8 Sécurité
1 Mars 2012 14:05:23

Bonjour,

Quelle méthode a-t-il utilisé ?

à faire pour voir :

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    spsys.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    1 Mars 2012 14:35:09

    hyunkel30 a dit :
    Bonjour,

    Quelle méthode a-t-il utilisé ?
    Il a utilisé cette procédure :
    http://www.commentcamarche.net/faq/33278-trojan-winlock...


    à faire pour voir :

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    spsys.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


  • Le rapport OTL se trouve ici :
    http://pjjoint.malekal.com/files.php?id=20120301_x8w15u...


    Contenus similaires
    a c 614 8 Sécurité
    1 Mars 2012 16:50:34

    Re,

    Tu n'as pas répondu à ceci :
    Citation :
    Quelle méthode a-t-il utilisé ?


    Vu ce que je vois, il a dû tester la modification du ficher explorer.exe.

    Mais a-t-il recopié un explorer.exe qui correspond à son XP, sp2 ?
    Il faudrait savoir d'où il l'a pris.

    J'ai sauvegardé le MBR, il faudrait que tu me le récupères :
    Redémarre avec le liveCD, puis copie ce fichier sur une clé usb :
    C:\Physical0MBR.bin

    Poste-le sur ce site et donne moi le lien obtenu :
    http://dl.free.fr/
    1 Mars 2012 17:35:34

    hyunkel30 a dit :
    Re,

    Tu n'as pas répondu à ceci :
    Citation :
    Quelle méthode a-t-il utilisé ?


    Vu ce que je vois, il a dû tester la modification du ficher explorer.exe.

    Mais a-t-il recopié un explorer.exe qui correspond à son XP, sp2 ?
    Il faudrait savoir d'où il l'a pris.

    J'ai sauvegardé le MBR, il faudrait que tu me le récupères :
    Redémarre avec le liveCD, puis copie ce fichier sur une clé usb :
    C:\Physical0MBR.bin

    Poste-le sur ce site et donne moi le lien obtenu :
    http://dl.free.fr/


    J'avais répondu à la suite de la question :
    http://www.commentcamarche.net/faq/33278-trojan-winlock...
    Cette procédure prévoit le remplacement du fichier explorer.exe, et je suppose qu'il a téléchargé le bon (http://www.malekal.com/download/explorer_XP_SP2.exe)
    Le fichier demandé se trouve là : http://dl.free.fr/aGpVqC8jQ


    a c 614 8 Sécurité
    1 Mars 2012 19:01:43

    Re,

    Le MBR est ok et valide pour XP, donc cela ne vient pas de là non plus.

    Je vais faire quelques recherches.

    Peux-tu me dire jusqu'où le pc se lance, à quel moment reboot-il ?
    Je suppose que si tu tapotes F8, tu n'atteins pas le mode sans échec ?
    1 Mars 2012 23:20:53

    hyunkel30 a dit :
    Re,

    Le MBR est ok et valide pour XP, donc cela ne vient pas de là non plus.

    Je vais faire quelques recherches.

    Peux-tu me dire jusqu'où le pc se lance, à quel moment reboot-il ?
    Je suppose que si tu tapotes F8, tu n'atteins pas le mode sans échec ?


    Tout ce qui se passe avant le boot semble correct :
    Je recopie ce qui s'affiche sur écran noir :
    AMIBIOS(C)2009 American Megatrends, Inc.
    ASUS P5KPL-AM EPU ACPI BIOS Revision 0403
    CPU Intel Pentium Dual CPU E2200 @ 2.20Ghz
    Speed : 2.20 GHz
    [ ...]
    DDR2-800 in SingleChannel Mode
    Initializing USB Controllers.. Done.
    2048MB OK [...]
    USB Devices : 1 Mouse
    [détection des disques]
    [tableau avec processeurs, ports, disques, IRQ]
    Press <ESC> to boot..... [compte à rebours]

    Et là, on revient au départ, avec la mire de la carte mère, et ainsi de suite.

    Par contre, si je tape F8, je peux avoir le menu d'options avancées, avec notamment le mode sans échec, mais qui relance la mire de la carte mère de la même manière.
    Y a-t-il quelque chose à tenter ici ?



    a c 614 8 Sécurité
    2 Mars 2012 10:32:34

    Re,

    Non pas vraiment de truc à tenter.

    Tu as la possibilité d'avoir un cd original de windows xp sp2 ?
    2 Mars 2012 12:05:50

    hyunkel30 a dit :
    Re,

    Non pas vraiment de truc à tenter.

    Tu as la possibilité d'avoir un cd original de windows xp sp2 ?


    Réinstaller windows ? J'y pensais. Je n'ai pas de CD sous la main. J'ai des connaissances qui en ont peut-être.
    a c 614 8 Sécurité
    2 Mars 2012 13:40:08

    Re,

    On est pas obligé de réinstaller, on peut tenter de réparer en conservant les documents et programmes, mais seulement avec un cd original de windows xp Sp2 ou en dessous à la rigueur, mais pas sp3.

    Dans tous les cas, je te conseille de sauvegarder quand même le maximum de ses documents via le liveCD en transférant sur des clé sub ou disque dur externe avant cette opération.
    2 Mars 2012 18:37:59

    hyunkel30 a dit :
    Re,

    On est pas obligé de réinstaller, on peut tenter de réparer en conservant les documents et programmes, mais seulement avec un cd original de windows xp Sp2 ou en dessous à la rigueur, mais pas sp3.

    Dans tous les cas, je te conseille de sauvegarder quand même le maximum de ses documents via le liveCD en transférant sur des clé sub ou disque dur externe avant cette opération.


    Documents, carnet d'adresses et messages sont sauvegardés.
    "réparer" Windows : on installe sans formater ? Il y a une procédure décrite quelque part ?
    J'ai lancé un appel vers mes connaissances pour me faire prêter un CD de XP Pro...

    a c 614 8 Sécurité
    2 Mars 2012 19:11:59

    Re,

    ça n'a pas l'air d'être un XP pro ...

    Sa vignette de licence indique un XP pro ?

    Oui la procédure permet de réinstaller l'OS sans rien formater, je ne sais pas si ça fonctionnera, mais bon :
    http://forums.cnetfrance.fr/topic/1559-reparer-windows-...

    Attention, il faut d'abord choisir "installer", puis seulement après "réparer", pas le premier "réparé" ;) 
    2 Mars 2012 21:15:57

    C'est une machine assemblée, portant une étiquette XP Pro...
    Elle aurait déjà été prise en main il y a quelques années par un réparateur qui a réinstallé le système.
    Si c'est un XP Home, j'ai intérêt à réparer avec un CD correspondant, d'après ce que je comprends. Là j'aurais le CD sous la main...
    a c 614 8 Sécurité
    2 Mars 2012 21:52:06

    Re,

    Vaudrait mieux oui, je peux pas affirmer que c'est un xp home ou pro, mais j'ai des doutes sur le fait que ce soit un pro installé en ce moment.

    J'ai une autre question.
    En relisant un rapport je m'aperçois que OTLPE a réussi à lancer le système car il affiche le nom du pc :
    Computer Name: MININT-C4A85N4

    Comment le pc a-t-il réagit quand tu as démarré sur le cdlive OTLPE ?
    Est-ce que tu as bien crée un cdlive ? parce que :
    Citation :
    Drive X: | 255,25 Mb Total Space | 252,82 Mb Free Space | 99,05% Space Free | Partition Type: NTFS


    Une image cd ne devrait pas avoir d'espace disque libre, et devrait être en system cdfs, et non ntfs ...

    4 Mars 2012 09:51:42

    10958325,15,278516 a dit :
    Re,
    Le fait qu'il reste de la place sur le disque X: vient peut-être de ce que j'ai gravé le liveCD, avec ISO Recorder, sur un CD-RW... En démarrant avec une autre liveCD (ReatogoPE), j'ai les valeurs : Total size = 436 Mo, Free space = 0 bytes, File system = CDFS
    Sinon, il me semble que le système du liveCD se charge normalement.
    ----------------------------------------------------------------------------------------------------------------------------------------
    Réparation réussie avec un CD XP Pro prêté par un ami.
    Me voilà maintenant dans les mises à jour... et il y a du travail !
    Un grand merci pour ta disponibilité et tes conseils.

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS