Se connecter / S'enregistrer
Votre question

virus gendarmerie ordinateur démarre en mode sans échec avec prise en charge réseau

Tags :
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Juillet 2012 13:27:33

Bonjour,
Comme beaucoup de personnes apparemment j'ai été infectée par un virus de la gendarmerie nationale. J'ai pu redémarrer l'ordinateur en mode sans échec avec prise en charge réseau mais après je ne sais pas quoi faire. J'ai tellement lu de choses que je ne sais pas ce que je dois utiliser. Une petite précision, le lecteur cd ne fonctionne pas!
Merci pour votre aide.

Autres pages sur : virus gendarmerie ordinateur demarre mode echec prise charge reseau

a c 548 8 Sécurité
10 Juillet 2012 15:00:08

Bonjour,

Tu téléchargeras les outils suivant à partir d'un pc connecté et sain, puis tu les transfèreras sur le pc contaminé, démarré en mode sans échec pour faire les procédures :

Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 548 8 Sécurité
    10 Juillet 2012 16:48:55

    Re,

    Une raison pour que ce pc ne soit absolument pas à jour ?
    Citation :
    Windows XP Home Edition Service Pack 2 (Version = 5.1.2600)

    plus de 6 ans que XP est passé au service pack 3 ... ce genre d'infection vient du fait de ne pas maintenir pc et logiciel à jour ...
    Java pas à jour, adobe reader pas à jour, flash player pas à jour, infection par adware (logiciels publicitaire), infection par support amovible, firefox préhistorique ... bref, désolé mais ce pc est une poubelle dangereuse pour naviguer sur Internet ... :D 

    On va faire par étape donc ...

    1) Désinstalle les programmes suivants via "ajout/suppression des programmes" (si présent) :

    (note ; si cela ne fonctionne pas pour certains, passe au suivant et poursuis la procédure, en me disant lesquels dans ta prochaine réponse)

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
    - Ad-Aware (obsolète et inutile, la preuve, tu as un adware sur ce pc ...)
    - Adobe Acrobat 5.0 (version obsolète et contenant des faille de sécurité)

    - Search Settings (adware : logiciel publicitaire)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2009/07/19 20:55:53 | 001,630,560 | ---- | M] () -- C:\Program Files\Lavasoft\Ad-Aware\Resources.dll
    MOD - [2009/06/29 20:55:49 | 000,246,128 | ---- | M] () -- C:\Program Files\Lavasoft\Ad-Aware\RPAPI.dll
    MOD - [2008/09/11 00:00:05 | 000,168,960 | ---- | M] () -- C:\Program Files\Lavasoft\Ad-Aware\unrar.dll
    SRV - [2009/06/29 20:55:40 | 001,029,456 | ---- | M] (Lavasoft) [Auto | Running] -- C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
    DRV - [2009/05/17 20:55:01 | 000,064,160 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd)
    IE - HKU\S-1-5-21-143947786-2813841674-2597451398-1008\..\SearchScopes\{3A0E10CA-200D-4D03-8D21-FC38B68E1747}: "URL" = http://www.dealio.com/products.html?kwd={searchTerms}
    IE - HKU\S-1-5-21-143947786-2813841674-2597451398-1008\..\SearchScopes\{f3d17138-0225-4a82-8b31-4d0c3cc1608a}: "URL" = http://www.searcheo.fr/france?search&q={searchTerms}
    FF - prefs.js..browser.startup.homepage: "http://www.searcheo.fr/france"
    [2009/07/23 23:14:05 | 000,003,715 | ---- | M] () -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\c0ckw9nu.default\searchplugins\Searcheo.xml
    [2007/12/06 20:53:04 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
    O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll (Vendio Services, Inc.)
    O3 - HKU\S-1-5-21-143947786-2813841674-2597451398-1008\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
    O3 - HKU\S-1-5-21-143947786-2813841674-2597451398-1008\..\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found.
    O4 - HKLM..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
    O4 - HKLM..\Run: [EdenFlirt] C:\Program Files\Eden Flirt\EdenFlirt.exe File not found
    O4 - HKLM..\Run: [jbpgvbwjhvjuvcu] C:\Documents and Settings\All Users\Application Data\jbpgvbwj.exe ()
    O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.)
    O4 - HKU\S-1-5-21-143947786-2813841674-2597451398-1008..\Run: [jbpgvbwjhvjuvcu] C:\Documents and Settings\All Users\Application Data\jbpgvbwj.exe ()
    O33 - MountPoints2\{17bf61f2-7c18-11dc-83a1-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{17bf61f2-7c18-11dc-83a1-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{3f6e6906-0684-11de-85be-0013d30c0eef}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{3f6e6906-0684-11de-85be-0013d30c0eef}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{3fd81342-7a62-11dc-8394-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{3fd81342-7a62-11dc-8394-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{536f938c-7d58-11dc-83a5-0060b345d660}\Shell\Auto\command - "" = K:\AdobeR.exe e
    O33 - MountPoints2\{536f938c-7d58-11dc-83a5-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{536f9391-7d58-11dc-83a5-0060b345d660}\Shell\Auto\command - "" = M:\AdobeR.exe e
    O33 - MountPoints2\{536f9391-7d58-11dc-83a5-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    O33 - MountPoints2\{536f9392-7d58-11dc-83a5-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{536f9392-7d58-11dc-83a5-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{55e8ee24-aa98-11dd-854f-0013d30c0eef}\Shell - "" = AutoRun
    O33 - MountPoints2\{55e8ee24-aa98-11dd-854f-0013d30c0eef}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe
    O33 - MountPoints2\{75b0d8e2-a325-11dc-83f7-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{75b0d8e2-a325-11dc-83f7-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{8892ffa5-7444-11de-860a-0013d30c0eef}\Shell - "" = AutoRun
    O33 - MountPoints2\{8892ffa5-7444-11de-860a-0013d30c0eef}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cretae.dll.vbs
    O33 - MountPoints2\{a2e74c7c-6b5e-11dc-835b-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{a2e74c7c-6b5e-11dc-835b-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{b6be8a0c-ed28-11dc-844c-0060b345d660}\Shell - "" = AutoRun
    O33 - MountPoints2\{b6be8a0c-ed28-11dc-844c-0060b345d660}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{f36147ca-54d3-11dc-831a-0013d30c0eef}\Shell - "" = AutoRun
    O33 - MountPoints2\{f36147ca-54d3-11dc-831a-0013d30c0eef}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    O33 - MountPoints2\{f3614807-54d3-11dc-831a-0013d30c0eef}\Shell - "" = AutoRun
    O33 - MountPoints2\{f3614807-54d3-11dc-831a-0013d30c0eef}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
    [2012/07/09 09:57:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\qilofjfsgqgbfhq
    [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/07/09 09:57:45 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\wypzcjyjoesgrri
    [2012/07/09 09:57:26 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\Compaq_Propriétaire\ms.exe
    [2012/07/09 09:57:26 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\jbpgvbwj.exe
    [2012/07/08 20:55:02 | 000,000,512 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
    [2009/05/17 20:52:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Lavasoft
    [2008/05/30 07:24:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2007/08/28 14:23:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Symantec
    [2009/01/18 23:43:37 | 002,892,112 | ---- | M] (Lavasoft ) -- C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
    [2007/12/06 20:53:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Search Settings
    [2007/08/23 21:03:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Compaq_Propriétaire\Application Data\Symantec

    :Files
    ipconfig /flushdns /c
    C:\Program Files\Lavasoft
    C:\Program Files\Search Settings
    C:\Program Files\Eden Flirt

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Après le redémarrage du pc, tu devrais pouvoir atteindre ta session en mode normal, dis-moi si c'est le cas, fournis-moi le rapport puis nous poursuivront.

    :jap: 
    10 Juillet 2012 20:49:02

    C'est vrai que cet ordinateur date un peu et que je ne suis pas trés assidue pour le mettre à jour!
    Je n'ai pas pu désinstaller "search setting" (impossible en mode sans échec) ni "ad-aware" (qui doit redémarrer le pc pour être supprimer, ce que j'ai fait mais ça n'a pas marché). Je pourrais peut-être rééssayer aprés...

    Par contre, c'est bon, l'ordinateur à redémarrer en mode normal, ouf!
    Voici le rapport :
    http://pjjoint.malekal.com/files.php?id=20120710_j6q15w...

    Merci encore:) 
    a c 548 8 Sécurité
    10 Juillet 2012 22:28:38

    Re,

    Ok pour le rapport.

    Essaye en mode normal de supprimer les programmes que tu ne pouvait pas avant, mais normalement, Ad-Aware je l'ai viré, et searchsettings aussi alors ...

    Ensuite, fais ceci :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    a c 548 8 Sécurité
    13 Juillet 2012 20:15:42

    Re,

    Ah oui quand même ... 21h ...
    Mais bon, le souci, c'est XP pas à jour, plus mémoire vive très limité (moins de 400Mo), plus disque dur assez plein dont un grand, etc ...

    Bon ok, c'est rien ce qu'il a détecté, donc on est clean sur le pc.

    On va nettoyer les outils, purger la restauration, puis mettre à jour maintenant :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver si tu le souhaites Malwarebyte's pour des scans occasionnels, pense alors à le mettre à jour auparavant, sinon désinstalle-le dans ta liste des programmes.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    3) Mise à jour du système et des logiciels :

    /!\ Windows XP Sp2 n'est plus suivi par Microsoft, il faut absolument passé au service pack 3, sinon tu seras extrêmement vulnérable au faille de sécurité !

    Met à jour ton système vers le service pack 3 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 :
    http://update.microsoft.com/microsoftupdate/v6/default....

    Met à jour Mozilla Firefox vers la version 13.0


    4) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Pense à vérifier que les versions obsolète sont supprimée dans ta liste des programmes : J2SE Runtime Environment 5.0

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Pense à vérifier que les versions obsolète sont supprimée dans ta liste des programmes : Adobe Reader 7.0 - Français

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Dis moi si tout est ok, puis nous conclurons.
    :jap: 
    17 Juillet 2012 22:08:15

    Bonjour,
    Un problème est survenu à l'étape 3! Je ne sais pas vraiment ce qui s'est passé, je pense qu'il y a eu une coupure de courant car les deux ordinateurs étaient éteints. Le problème c'est que l'ordinateur devait être encore en cours d'installation du pack 3, du coup il a planté!
    Il ne démarre plus en mode normal, il s'éteint, redémarre seul et ce, indéfiniment. J'ai pu le redémarrer en mode sans échec avec prise en charge réseau comme après l'infection.
    Bref, je crois qu'on est revenu au point de départ...

    a c 548 8 Sécurité
    17 Juillet 2012 22:28:10

    Re,

    Ah ben, oui, mais si vous chercher aussi ...
    Coupure de courant au cours du grosse mise à jour système ...

    En mode sans échec avec ou sans prise en charge réseau, lance la restauration système (démarrer -> tous les programmes -> accessoires -> outils système -> restauration système)

    Regarde si tu as un point de restauration le plus proche et s'il fonctionne.
    18 Juillet 2012 13:44:31

    Pour le virus je plaide coupable mais là j'y suis pour rien.
    En plus je crois que ce n'est pas la coupure qui le fait planter!
    J'ai fait ce que tu m'as dit et ça a marché, j'ai donc voulu reprendre où je m'étais arrêté en installant le pack3 et c'est la que ça plante. L'installation se fait normalement mais c'est au redémarrage du PC que ça ne fonctionne plus, qu'il s'éteint et redémarre sans cesse!
    a c 548 8 Sécurité
    18 Juillet 2012 14:12:43

    Re,

    Oui, c'est rare mais cela se produit parfois avec l'installation de grosse mises à jour.

    Le point de restauration choisi remonte à quelle date et heure ? (que je m'assure qu'on a pas remis l'infection avec ...)
    18 Juillet 2012 17:16:53

    normalement c'est bon j'avais créer un point de restauration comme tu me l'avais dit, elle date du 16 juillet à 22h28.
    a c 548 8 Sécurité
    18 Juillet 2012 17:22:18

    Re,

    OK nickel, c'est pour cela aussi que nous prenons toutes les précautions.

    En dehors du SP3, d'autres mises à jour sont à installer ? (tu "passes" le sp3 sur le site et tu regarde s'il en propose)
    22 Juillet 2012 11:38:57

    Aucune autre mise à jour proposée, je comprends pas trop!
    Du coup, j'ai lancé SXCU, java n'est pas installé, pour adobe reader et flash c'est bon!
    a c 548 8 Sécurité
    22 Juillet 2012 23:35:57

    Re,

    C'est parce que certaines mises à jours sont lié à la présence ou non du SP3.

    Par contre je maintiens qu'il est dangereux de naviguer avec un pc XP non à jour.
    Je te conseille d'ouvrir un sujet dans "système d'exploitation" pour essayer de trouver une solution à l'installation du sp3, ou bien si tu as le courage, sauvegarder tes documents et réinstaller le système, cela arrange les choses généralement.
    27 Juillet 2012 19:44:02

    Ok!
    Je te remercie encore pour ton aide, je verrai ce que je peux faire pour cet ordinateur, mais je crois qu'il a fait son temps!!! :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS