Virus gendarmerie [Aurel]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Aurel.69

Virus gendarmerie [Aurel]

par Aurel.69 »

Bonjour,

Alors voilà, mon collègue vient d'avoir le virus gendarmerie qui bloque le bureau et demande de payer.

J'avais déjà eu le souci il y a 2 ans et j'avais pu supprimer le virus en passant par le mode sans Echec, RogueKiller et Malwarebytes.

Mais voilà, le virus a dû être perfectionné et même en mode sans echec on ne peut rien faire.

J'ai donc créer un liveCD pour redémarrer le PC et lancer OTLPE


Voilà le rapport que j'ai sorti après avoir lancé le scan :

http://pjjoint.malekal.com/files.php?id ... _o88g8u8z7

Si vous pouvez m'aider... enfin aider mon collègue qui ne peut plus bosser lol
Merci d'avance
Avatar de l’utilisateur
angelique
Messages : 31348
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus gendarmerie [Aurel]

par angelique »

Image Relançe OTLPE Image

o sous Custom Scan box Image copie_colle le contenu du cadre ci dessous

[en commençant bien à :OTL ,les: inclus devant OTL et cette fois ci clic RUNFIX]
:OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
O4 - HKLM..\Run: [DO0l4QCB.exe] C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3\DO0l4QCB.exe (Microsoft Corporation)
O4 - HKU\anthony_ON_C..\Run: [DO0l4QCB.exe] C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3\DO0l4QCB.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O20 - HKU\anthony_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
[2013/12/18 06:42:03 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Application Data\Vr1pJpMkJ
[2013/12/18 06:42:03 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Local Settings\Application Data\Mq0o7CMF
[2013/12/18 06:42:03 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\4gXyZ2wxbH
[2013/12/18 06:33:18 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Application Data\vUyvBX42A47
[2013/12/18 06:33:18 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\hH0pRudC1a
[2013/12/18 06:33:18 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Local Settings\Application Data\8n8zpmrv4Z
[2013/12/18 06:25:47 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Application Data\LvLhATXmY
[2013/12/18 06:25:47 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\K173KtMIP9
[2013/12/18 06:25:47 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Local Settings\Application Data\H34hw5WJikZ
[2013/12/18 06:19:46 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\Z9gt6hcjXK
[2013/12/18 06:19:46 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Local Settings\Application Data\mQJjF6ZD
[2013/12/18 06:19:46 | 000,194,048 | ---- | C] () -- C:\Documents and Settings\anthony\Application Data\ckt3nQXGjDp
[2013/12/18 06:42:02 | 000,000,366 | ---- | M] () -- C:\WINDOWS\tasks\Symantec NetDetect.job
:files
C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKLM\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKLM\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001

Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.


===> redemarre windows, ça marche ??



XP sp2 ça craint , faudra pose le sp3 et maj xp > http://www.microsoft.com/fr-fr/download ... aspx?id=24
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Merci pour la réponse.
Mais du coup le SAV info de l'entreprise est passé prendre le PC de mon collègue hier à 18h donc je n'ai pas pu terminer le dépannage moi-même.
Je vais attendre le retour du SAV pour voir s'ils ont fait quelque chose, sinon je terminerais moi-même avec les éléments de ta réponse :)
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Bon... le SAV n'arrive pas à localiser le virus, alors je leur envoi tout ce que j'ai lu ici pour qu'ils fassent leur boulo.... lol
Avatar de l’utilisateur
angelique
Messages : 31348
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus gendarmerie [Aurel]

par angelique »

lol ouai.

la merde ç'est lui à supprimer > C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3\DO0l4QCB.exe

qui se lance en Run machine & session:

O4 - HKLM..\Run: [DO0l4QCB.exe] C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3\DO0l4QCB.exe (Microsoft Corporation)
O4 - HKU\anthony_ON_C..\Run: [DO0l4QCB.exe] C:\Documents and Settings\anthony\Local Settings\Application Data\HcOgMALJ3\DO0l4QCB.exe (Microsoft Corporation)

mais aussi O20 - HKLM Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)


Shell - (cmd.exe) de HKU\anthony_ON_C Winlogon peut etre supprimé sans souçis , seul doit etre renseigné :


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"


pour que le Bureau se lançe au démarrage du PC.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Faut que je mette ça dans "Custom Scan" avant de lancer un nouveau RUNFIX ??

Ou alors faut que j'ajoute ça en plus à la suite de ce que tu m'as dis dans le précédent message?

J'ai pas tout compris ce qu'il faut faire avec ton dernier message en fait....
Avatar de l’utilisateur
angelique
Messages : 31348
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus gendarmerie [Aurel]

par angelique »

Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Tu as changé quelque chose dans le contenu??
Avatar de l’utilisateur
angelique
Messages : 31348
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus gendarmerie [Aurel]

par angelique »

non pourquoi !
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Dans ton message du 19 Déc 2013 19:18, j'ai cru que tu me donnais des modifications à apporter dans le truc à mettre pour faire le RUNFIX, et ensuite du me redonne le lien du message comportant la totalité du RUNFIX donc je croyais que tu avais modifié quelquechose !

Mais en fait, tu avais peut-être seulement fait des commentaires sur le virus et non pas rectifié le contenu du RUNFIX comme je pensais... lol


J'ai pas eu de retour du SAV et mon collègue non plus... j'en saurais plus à la rentrée pour savoir si ça a marché ou non.

Bonnes fêtes de fin d'année et merci pour l'aide :)
Avatar de l’utilisateur
angelique
Messages : 31348
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Virus gendarmerie [Aurel]

par angelique »

ç'etait seulement un commentaire d'ou etait l'infetion.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Aurel.69

Re: Virus gendarmerie [Aurel]

par Aurel.69 »

Ok merci :)


Bon ben il ne me reste plus qu'à attendre la rentrée pour avoir le résultat...
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »