Création
d'entreprise
Posez votre question Signaler

Virus gendarmerie Vista : plus de bureau

estelle - Dernière réponse le 3 mars 2012 à 12:59
Bonjour à tous
J'ai été infectée sous Vista par le virus gendarmerie nationale, la version ne permettant pas de démarrer en mode sans échec avec le bon fichier explorer.exe dans Shell. En essayant de restaurer le système, j'ai découvert que je n'avais aucun point de restauration (zut...)
En invite de commandes on est allés voir l'explorer.exe qui était dans C:/Windows et on a trouvé un explorer.exe et un expl?rer.exe de taille beaucoup plus petite. Comme par hasard, le expl?rer.exe avait été créé à l'heure de l'infection par le virus. On s'est dit que le ? était peut-être pris pour un caractère joker et que ce fichier rajouté démarrait à la place de explorer...
On a essayé de prendre une des copies de "explorer.exe" dans C://windows/winsxs, de la copier dans C:/windows sous le nom "explorer_copie.exe", et de dire à shell de démarrer avec cette copie : fini le message gendarmerie nationale mais un fond d'écran vide à la place du bureau. Gros progrès : on avait à nouveau la main sur le pc par le gestionnaire des tâches.
En désespoir de cause on a tenté de supprimer ce expl?rer.exe et de dire à Shell de démarrer à nouveau avec explorer.exe, pas de message gendarmerie au démarrage mais toujours pas de bureau.
Info peut-être inutile : quand on double clique sur un explorer.exe dans C://windows/winsxs, pour 4 des copies de explorer ça ouvre une fenêtre explorer et les deux copies les plus récentes ça affiche "L'ordinal 874 est introuvable dans la bibliothèque de liens dynamiques shell32.dll"
Option 1 : j'ai cassé qch dans explorer en tentant de virer le virus?
Option 2 : le virus a cassé mon explorer et je dois réinstaller qch? (sachant que je n'ai plus le CD d'installation pour réparer le démarrage...)
Si vous pouvez me renseigner pour éviter de tout réinstaller, merci d'avance :)
Estelle
Lire la suite 

Virus gendarmerie Vista : plus de bureau »

12 réponses
Réponse
+0
moins plus
jacques.gache 16704Messages postés 13 novembre 2007Date d'inscription 29 mai 2012Dernière intervention 6 févr. 2012 à 15:09
bonjour, essais de passer pré scan

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau : Pre_Scan

si problème lien mirroir

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil est bloqué par l'infection utilise cette version :Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Ajouter un commentaire
chount - 13 févr. 2012 à 09:55
bonjour je suis nulle en info j ai eu aussi ce satane virus et je n ai plus rien sur mon bureau je veux bien desactive mon anti virus mais il est ou
g3n-h@ckm@n- 13 févr. 2012 à 12:28
salut ouvre-toi un nouveau sujet merci
Ajouter un commentaire
Réponse
+0
moins plus
estelle 6 févr. 2012 à 21:16
Merci pour les explications!

Je viens de lancer préscan, il a mouliné des fichiers pendant 10 minutes et j'ai eu un message d'erreur :
"Line 25370 (file C://windows.../pre_scan.exe)
Error : subscript used with non array variable"

J'ai fait ok et toutes les fenêtres se sont fermées, je pensais que le scan avait planté... et là d'un coup le bureau est réapparu avec toutes les icônes! Mais du coup, j'ai pas eu de rapport...

Bref, j'ai pas tout compris, mais merci beaucoup :) Je vais quand même tout scanner et remettre les logiciels à jour.

Bonne soirée

 Ajouter un commentaire
Afficher les 6 commentaires
estelle - 8 févr. 2012 à 22:59
Effectivement yavait du ménage à faire!

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.07.07

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
admin :: PC_JC [administrateur]

07/02/2012 23:17:07
mbam-log-2012-02-07 (23-17-07).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 771850
Temps écoulé: 4 heure(s), 16 minute(s), 14 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKCR\CLSID\{F12BE2CC-A901-4203-B4F2-ADCB957D1887} (Trojan.Inject.bh) -> Mis en quarantaine et supprimé avec succès.

HKCU\Software\EoRezo (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\EoRezo (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 6
C:\Program Files\EoRezo (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\EoRezo\EoAdv (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\EoRezo\EoAdv\tmp (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\db (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\eoDesktop (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 17
C:\Kill'em\Quarantine\0.45586818039056287.exe.kill'em (Trojan.Inject.bh) -> Mis en quarantaine et supprimé avec succès.
C:\Kill'em\Quarantine\0.7182395601931248.exe.kill'em (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Local\Temp\wpbt0.dll (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\175a35da-68967e08 (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\27b3ece0-4a1391cc (Trojan.VUPX.ON1) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\2df99d29-2f888166 (Trojan.Inject.bh) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Windows\msdr.dll (Trojan.Inject.bh) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\EoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.4598 (Rogue.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\cmhost.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\ConfMedia.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\host.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\user.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\db\cat.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\eoDesktop\config.xml (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\eoDesktop\eoDesktop.html (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\admin\AppData\Roaming\EoRezo\eoDesktop\userConfig.xml (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

(fin)
estelle - 8 févr. 2012 à 23:12
et voilà le nouveau zhpdiag

http://cjoint.com/?3BixmfZFsJe
jacques.gache- 9 févr. 2012 à 21:20
bonjour, tu fais se qui suit avec adw-cleaner , ad-remover et tdsskiller et on refait un point avec un nouveau zhpdiag !!

1) passes adw-cleaner mode SUPPRESSION

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


2) passes ad-remover mode NETTOYER


Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

http://security-domain.be/download/telech.php?id=3

ou

http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe



/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )




3) passes Reload_TDSSKiller

Télécharge http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe

Lance le

choisis : lancer le nettoyage


l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

Copie/Colle son contenu dans ta prochaine réponse.




4) postes un nouveau zhpdiag

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
Ajouter un commentaire
Réponse
+0
moins plus
Thomas 3 mars 2012 à 12:48
Personnelement j'ai eu le même problème, j'ai supprimé le expl?rer.exe depuis l'invite de commande et le bureau ne se lançais plus je suis alors allé voir dans le regedit dans winlogon shell avec toujours expl?rer.exe en tâche a lancer j'ai donc remis explorer.exe et sa a remarché !

 Ajouter un commentaire
g3n-h@ckm@n- 3 mars 2012 à 12:59
salut ca depend de la varainte que tu as eu il y en a 7 differentes
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus gendarmerie Vista : plus de bureau » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?