Se connecter / S'enregistrer
Votre question

Virus "gendarmerie" sur XP familial SP1 [ Résolu ]

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Mars 2012 15:28:17

Bonjour , je viens d'etre touché par le virus "gendarmerie" , je suis complètement bloqué . J'ai essayé mode sans échec : l'ordi redémarre ; mode sans échec avec prise en charge réseau : l'ordi plante ; invite de commande en mode sans échec : l'ordi redémarre . je ne peux accéder à rien , CTRL-ALT-SUPP ne marche pas .

J'ai vraiment besoin d'aide , merci !

Autres pages sur : virus gendarmerie familial sp1 resolu

a c 548 8 Sécurité
11 Mars 2012 14:43:27

Bonjour,

Citation :
XP familial SP1

:pfff:  ... c't'une blague ? ton pc n'est plus à jour depuis 10 ans ? pourquoi ?

procédure à suivre :

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    11 Mars 2012 21:08:28

    Merci de ta réponse .

    En faite l'ordi est assez vieux et il a déjà été remis à zéro 3 fois .. J'ai essayé de mettre le SP2 mais l'ordi plantait donc j'ai laissé tomber . J'aimerai juste récupérer mes données et j'ai encore besoin de l'ordi pour 4 mois .

    Voilà le rapport :
    http://pjjoint.malekal.com/files.php?id=OTL_20120311_v1...
    Contenus similaires
    a c 548 8 Sécurité
    11 Mars 2012 22:03:13

    Re,

    Tu as vraiment eu de la chance ... jusqu'à maintenant ...
    Système pas à jour, Java pas à jour (d'où est venu l'infection, faille de sécurité), plus des adwares (logiciels publicitaires) parce-que vous ne lisez pas les choses à l'installation et laissez les sponsors s'installer ...

    à faire :

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - [2011/05/28 11:54:32 | 000,040,960 | ---- | M] () [Auto] -- C:\Documents and Settings\All Users\Application Data\ScanQuery\scanquery133.exe -- (ScanQuery Service)
    IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://isearch.WhiteSmoke.com/?q={searchTerms}
    IE - HKU\Yoann_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.WhiteSmoke.com
    FF - prefs.js..extensions.enabledItems: {DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}:1.0
    FF - prefs.js..extensions.enabledItems: ClickPotatoLite@ClickPotatoLite.com:10.0.668.0
    FF - prefs.js..keyword.URL: "http://isearch.WhiteSmoke.com/?q="
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
    [2011/05/28 15:43:12 | 000,000,000 | ---D | M] (ScanQuery) -- C:\Program Files\Mozilla Firefox\extensions\{DE9265D8-D55D-4286-9DC4-F8D8A0CA2F64}
    [2011/09/14 08:39:23 | 000,002,531 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\whitesmoke.xml
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O3 - HKU\Yoann_ON_C\..\Toolbar\WebBrowser: (PBFRV2) - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - File not found
    F3 - HKU\Yoann_ON_C WinNT: Load - (C:\DOCUME~1\Yoann\LOCALS~1\Temp\6D9004DCE89F22EDFCD7.exe) - C:\Documents and Settings\Yoann\Local Settings\Temp\6D9004DCE89F22EDFCD7.exe (Mister Group)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\Yoann_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\Yoann_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O9 - Extra Button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - File not found
    O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - File not found
    O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - File not found
    O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_04)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
    O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\System32\5E54CBE4E89F22EDA7F8.exe) - C:\WINDOWS\system32\5E54CBE4E89F22EDA7F8.exe (Mister Group)
    O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
    O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/03/09 08:22:12 | 000,040,448 | -H-- | C] (Mister Group) -- C:\WINDOWS\System32\5E54CBE4E89F22EDA7F8.exe
    [2010/07/30 13:02:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software
    [2011/10/25 03:40:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AVAST Software
    [2011/05/28 15:43:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ScanQuery
    [2010/07/28 18:02:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint

    :Files
    C:\Program Files\Viewpoint

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Le pc devrait pouvoir redémarrer normalement après cela, confirme-moi le et on continuera la désinfection.
    a c 548 8 Sécurité
    12 Mars 2012 21:20:44

    Re,

    Ok, à faire maintenant.

    Enlève le cd du pc s'il y est encore, puis fais ceci :

    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    12 Mars 2012 21:48:42

    Je n'arrive pas à lancer TDSSKiller.exe
    a c 548 8 Sécurité
    12 Mars 2012 22:59:27

    Re,

    Poste-moi les rapports d'OTL déjà : OTL.txt et Extra.txt

    Il ne se lance pas ou t'indique une erreur TDSSKiller ?
    a c 548 8 Sécurité
    13 Mars 2012 19:56:41

    Re,

    Ok, supprime-le alors, on va en essayer un autre.

    1) Désinstalle les programmes suivant via ajout/suppression des programmes (si présents) :

    - Java(TM) 6 Update 3
    - Java 2 Runtime Environment, SE v1.4.2_04 (versions obsolète, tu possèdes une plus récente)
    - ScanQuery 1.0 build 133 powered by FIRST SEARCHBAR (adware : logiciel publicitaire)
    - ShopperReports (idem)
    - WhiteSmoke toolbar on IE (idem)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2004/02/25 09:58:20 | 001,123,440 | ---- | M] (America Online, Inc.) [Auto | Running] -- C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe -- (AOL ACS)
    DRV - [2003/01/10 15:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
    IE - HKU\S-1-5-21-1685915452-2629288911-3661434989-1006\..\SearchScopes,DefaultScope = {0F80DD49-1C52-4ABD-BD7A-25C16B467ECC}
    IE - HKU\S-1-5-21-1685915452-2629288911-3661434989-1006\..\SearchScopes\{0F80DD49-1C52-4ABD-BD7A-25C16B467ECC}: "URL" = http://isearch.WhiteSmoke.com/?q={searchTerms}
    MsConfig - StartUpReg: ExtraFilmManager - hkey= - key= - File not found
    [2010/07/28 23:02:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AOL

    :reg
    [-HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\aol.exe]

    :Files
    C:\Program Files\Fichiers communs\AOL

    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.

  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et poste son contenu dans ta prochaine réponse.
    a c 548 8 Sécurité
    14 Mars 2012 09:39:15

    Bonjour,

    As-tu encore des symptômes/soucis sur le pc ?

    Sinon on passe au nettoyage des outils et mises à jours.
    14 Mars 2012 13:54:23

    Non plus de symptômes ! l'ordi marche bien , encore merci !

    Ok pour le nettoyage et les mises à jours .
    a c 548 8 Sécurité
    14 Mars 2012 21:44:33

    Re,

    On y va :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement AswMBR.exe


    Mise à jour du système :

    /!\ Windows XP Sp1 n'est plus suivi par Microsoft, il faut absolument passé au service pack 3, sinon tu seras extrêmement vulnérable au faille de sécurité !

    Met à jour ton système vers le service pack 2 puis le service pack 3 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 :
    http://update.microsoft.com/microsoftupdate/v6/default....

    Un point de restauration a été crée en cas de plantage lors de l'installation du service pack.


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    15 Mars 2012 19:21:17

    Je suis en train de faire toutes les mises à jours , ca se passe bien !
    En tout cas merci beaucoup pour tout ton aide , C'est hyper cool !! ;) 
    Bonne continuation .
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS