Virus gendarmerie nationale

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 15:18

Bonjour,

Mon ordinateur a été infecté par le virus "gendarmerie nationale"...

J'ai trouvé sur le site un tutoriel pour le supprimer, j'ai donc suivi toute la procédure mais en redémarrant mon ordinateur il n'y a que le bureau qui s'affiche sans icônes et barre de tâches.

Merci d'avance pour votre aide !


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 12 déc. 2011 15:22

ImageDepuis un PC fonctionnel; Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

* Quand le téléchargement sera fini,execute le (clic droit executer en tant qu'administrateur sous vista\seven), insere un cd vierge et laisse toi guider.

* demarrer sur le cdrom crée de Reatogo sur le pc problématique , voir exemple: booter-sur-dvd-t9447.html

Image
http://imagesup.org/images6/1272203242-otlpe01m.gif

Image
http://imagesup.org/images6/1272203272-otlpe02m.gif

Image
http://imagesup.org/images6/1272203333-otlpe03m.png

Image
http://imagesup.org/images8/1291543684-deskrea.jpg

* Ton système doit montrer un bureau REATOGO-X-PE



Il se peut qu'un BSOD se produise durant l'initialisation de Reatogo_X-PE de ce type:

Image

généralement ça vient de là :

dans le bios sata mode en ahci qu'il faut passer en compatibility ou IDE

Image

sinon tenter ce OTLPE : http://gen-hackman.forum-pro.fr/t100-ot ... s-7-en-iso




* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-click sur l'icone OTLPE Image

» à ceci valider par ok:

Image
http://imagesup.org/images6/1274092569-loqd1.jpg

» à ceci selectionner sa session:

Image
http://imagesup.org/images6/1274092650-loqd2.jpg


** si le systeme d'exploitation est Vista\seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner via ► << (clic dessus) Local Disk (c:) jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

Image
http://imagesup.org/images8/1287928545-otlpe05.gif



* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

» OTLPE se lançe alors

Image
http://imagesup.org/images6/1272203961-otlpe08.gif

o sous Custom Scan box Image copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
Isass.exe
regedit.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
rstrui.exe
shell32.dll
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
acpi.sys
AnyDVD.sys
acpiec.sys
aec.sys
afd.sys
amdk6.sys
amdk7.sys
AmdPPM.sys
arp1394.sys
ASACPI.sys
AsInsHelp32.sys
AsInsHelp64.sys
AsIO.sys
ASUSHWIO.SYS
asyncmac.sys
atapi.sys
atmarpc.sys
atmepvc.sys
atmlane.sys
atmuni.sys
audstub.sys
avgntdd.sys
avgntflt.sys
avgntmgr.sys
avipbb.sys
beep.sys
bridge.sys
bthport.sys
cbidf2k.sys
cdaudio.sys
cdfs.sys
cdrom.sys
cinemst2.sys
classpnp.sys
cpqdap01.sys
crusoe.sys
d347bus.sys
d347prt.sys
dfsc.sys
disk.sys
diskdump.sys
dmboot.sys
dmio.sys
dmload.sys
DMusic.sys
drmk.sys
drmkaud.sys
dxapi.sys
dxg.sys
dxgthk.sys
eamon.sys
fastfat.sys
fdc.sys
fips.sys
flpydisk.sys
fltMgr.sys
fsvga.sys
fs_rec.sys
ftdisk.sys
gm.dls
gmreadme.txt
hdaudbus.sys
hidclass.sys
hidparse.sys
hidusb.sys
http.sys
i8042prt.sys
iastorv.sys
imapi.sys
intelppm.sys
ip6fw.sys
ipfltdrv.sys
ipinip.sys
ipnat.sys
ipsec.sys
irenum.sys
isapnp.sys
kbdclass.sys
kbdhid.sys
kmixer.sys
ks.sys
ksecdd.sys
mcd.sys
mf.sys
mnmdd.sys
modem.sys
monfilt.sys
mouclass.sys
mouhid.sys
mountmgr.sys
mqac.sys
mrxdav.sys
mrxsmb.sys
msfs.sys
msgpc.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
mssmbios.sys
mup.sys
NBF.SYS
ndis.sys
ndistapi.sys
ndisuio.sys
ndiswan.sys
ndproxy.sys
netbios.sys
netbt.sys
nic1394.sys
nikedrv.sys
nmnt.sys
npfs.sys
ntfs.sys
null.sys
nv4_mini.sys
nwlnkflt.sys
nwlnkfwd.sys
nwlnkipx.sys
nwlnknb.sys
nwlnkspx.sys
nwrdr.sys
oprghdlr.sys
p3.sys
parport.sys
partmgr.sys
parvdm.sys
pci.sys
pciide.sys
pciidex.sys
pcmcia.sys
portcls.sys
processr.sys
psched.sys
ptilink.sys
rasacd.sys
rasl2tp.sys
raspppoe.sys
raspptp.sys
raspti.sys
rawwan.sys
rdbss.sys
rdpcdd.sys
rdpdr.sys
rdpwd.sys
redbook.sys
rio8drv.sys
riodrv.sys
rmcast.sys
rndismp.sys
rootmdm.sys
Rtenicxp.sys
SafeBoot.sys
scsiport.sys
sdbus.sys
secdrv.sys
serenum.sys
serial.sys
sffdisk.sys
sffp_mmc.sys
sffp_sd.sys
sfloppy.sys
smb.sys
smclib.sys
sonydcam.sys
splitter.sys
sr.sys
srv.sys
ssmdrv.sys
stream.sys
swenum.sys
swmidi.sys
sysaudio.sys
tape.sys
tcpip.sys
tcpip6.sys
tdi.sys
tdpipe.sys
tdtcp.sys
tdx.sys
termdd.sys
tosdvd.sys
tsbvcap.sys
tunmp.sys
udfs.sys
update.sys
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbccgp.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbohci.sys
usbport.sys
usbprint.sys
usbscan.sys
USBSTOR.SYS
VBoxDrv.sys
VBoxNetAdp.sys
VBoxNetFlt.sys
VBoxUSBMon.sys
vdmindvd.sys
vga.sys
viahduaa.sys
videoprt.sys
VMM.sys
VMNetSrv.sys
volsnap.sys
wanarp.sys
wdmaud.sys
wmiacpi.sys
wmilib.sys
ws2ifsl.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
* clic Run Scan pour demarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine reponse

Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 19:21

Je viens de télécharger OTLPE mais rien n'apparaît sur mon bureau

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 12 déc. 2011 19:43

Fait le livecd Reatogo depuis un pc fonctionnel pour ensuite booter dessus sur le pc "malade"
Je viens de télécharger OTLPE mais rien n'apparaît sur mon bureau
Tu fais ça sur le PC "malade" ? donc tu lançes internet explorer (iexplore.exe) ? via ctrl+alt+supp \ gestionnaire des taches\nouvelle tache ==> iexplore.exe ?? tape en nouvelle tache explorer si ç'est le cas , ton bureau apparrait ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 19:47

Merci Angélique pour ton aide !
J'ai trouvé la solution, je n'avais pas remodifié "Shell" après la manipulation expliquée sur le tuto de malekal.
J'ai redémarrer et tout fonctionne normalement.


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 12 déc. 2011 19:51

ouai :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

supprime quand meme la merde(C:\Documents and Settings\session\Application Data\mahmud.exe (Packard Bell BV))

https://www.malekal.com/2011/12/08/troja ... ice-suite/
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 20:12

Je n'avais pas ce fichier mahmud.exe, j'avais lu que c'était pour la police nationale.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 12 déc. 2011 20:24

ah ouai ! gendarmerie ç'est : https://www.malekal.com/2011/12/11/troja ... ie-nation/ , ç'est explorer qui est touché

le prochain ça sera service_secret_national lol

tu veux pas quand meme mettre un rapport que je verifie ?

Image telecharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau

ou:

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

ou:

http://www.itxassociates.com/OT-Tools/OTL.com
http://www.itxassociates.com/OT-Tools/OTL.scr


lançe le (clic droit executer en tant qu'administrateur sous vista|seven)

coche les cases lop & purity check ainsi que en haut all users et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
SAVEMBR:0

→ Cliques sur l'icône "Analyse" (en haut à gauche) .
→ Laisse le scan aller à son terme sans te servir du PC
→ A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
→ Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

tuto : https://www.malekal.com/tutorial_OTL.php
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 20:27

Mdr ! J'espère ne pas l'avoir celui la lol !

Merci encore pour ton aide !

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 12 déc. 2011 20:30

si tu veux que je verifie demain le rapport OTL , poste le , comme tu veux ^^
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 21:35

Ok je le fais dans la soirée & je le poste !

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 12 déc. 2011 23:00

Petit souci : j'ai pas de lecteur cd sur mon Pc, je pensais le faire avec clé USB mais je n'y arrive pas.
J'ai téléchargé ce que tu m'as dis mais après je
Bloque

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 13 déc. 2011 10:10

Avec OTL , pas Reatogo vu que tu demarres : https://forum.malekal.com/virus-gendarm ... ml#p271777
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

Jihane
newbie
newbie
Messages : 28
Inscription : 12 déc. 2011 15:14

Re: Virus gendarmerie nationale

Message par Jihane » 13 déc. 2011 18:24


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27753
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Virus gendarmerie nationale

Message par angelique » 13 déc. 2011 20:18

voila ça me plait pas trop, le hash md5 est pas bon ! :

[2004/08/19 16:09:54 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=2A7BD330924252A2FD80344FC949BB72 -- C:\WINDOWS\explorer.exe
[2008/04/14 13:00:00 | 000,271,872 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\dllcache\explorer.exe

Ton hash explorer correspond à un xp pro sp2 avec des failles:

explorer.exe 2a7bd330924252a2fd80344fc949bb72 64c3a54ebfd53801805e4d08d9028b92e22e0f86 8ec50f08 C:\WINDOWS\explorer.exe 19/08/2004 15:09:54 30/05/2006 12:45:28 1 036 288 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) 6.00.2900.2180 exe AC

» supprime C:\WINDOWS\system32\dllcache\explorer.exe







VirusTotal http://www.virustotal.com/ ou jotti http://virusscan.jotti.org/en permet d'analyser en ligne un fichier suspect (ou une URL) sur la base de nombreux moteurs d'antivirus (42 à ce jour).


Procédure préliminaire : Afficher les fichiers/dossiers cachés

Dans l'explorateur, sous XP -> Menu -> Outils -> Options des dossiers -> onglet Affichage
Dans l'explorateur, sous Vista/7 -> Organiser -> Options des dossiers et de recherche -> onglet Affichage

* Cocher Afficher les fichiers et dossiers cachés
* Décocher Masquer les extensions des fichiers dont le type est connu
* Décocher Masquer les fichiers protégés du système d'exploitation
* Valider par Appliquer

Image


Ne pas oublier de recocher ou décocher les options modifiées après l'analyse sur VirusTotal

Ouvrir la page VirusTotal

1 - Cliquer sur Parcourir pour chercher le fichier à analyser
2 - Sélectionner le fichier à analyser :: C:\WINDOWS\explorer.exe
3 - Cliquer sur Send file

Image


Patienter le temps de l'envoi

Image


Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse

Image


Patienter le temps de l'analyse.
Le résultat s'affiche et indique le nombre de détections

Image


Copier-coller l'url affichée dans la barre d'adresse, si l'analyse a été demandée sur un forum de désinfection.
Par exemple : http://www.virustotal.com/file-scan/rep ... 1321289610#


quelques merdes à virer !!

Image Desinstalle :

- Notification de cadeaux MSN

- Ask_ toolbar et tout ce qui y fait reference

Image relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION
:OTL
PRC - C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
PRC - C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (Microsoft Corporation)
[2011/12/12 20:46:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Propriétaire\Application Data\AskToolbar
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2011/12/12 19:09:51 | 000,000,248 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
:files
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Notification de cadeaux MSN
C:\Program Files\Ask.com
@Alternate Data Stream - 17 bytes -> C:\Documents and Settings\Propriétaire\Mes documents\Shareaza Downloads:Shareaza.GUID
:reg
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
:commands
[emptytemp]
» copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0


Verrouillé

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : angelique et 23 invités