Virus gendarmerieFermé

Question

Bonjour, 

J'ai le fameux virus gendarmerie "votre ordinateur est bloqué".


J'ai appliqué ce qu'il y a ici: http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

J'avais bien une chose comme ceci: C:/Windows/system32/userinit.exe,C:/WINDOWS/system32/C21B66A894573D7F355A.exe dans la clé: Userinit

J'ai fais comme dit sur le site et j'ai redémarré. Pas de chance, j'était toujours bloqué par le virus. J'ai donc supprimé le fichier virus: C21B66A894573D7F355A.exe directement du dossier system32.

J'ai redémarré de nouveau et maintenant le PC ne fais que rebooté seul, je m'explique:

Après la page de chargement WINDOWS, il y a une page bleu écrit en blanc (pas bon signe) qui s'affiche très brièvement (pas le temps de lire) juste avant de rebooter.

Avant de faire ceci, j'ai effectué un peu toutes les choses qui sont abordés sur ce site à ce sujet.

Je ne suis pas un pro en informatique mais je ne suis pas un débutant non plu. Je précise ça, car j'ai pu faire une fausse manipulation avolontaire.

Je vous remercie par avance de l'aide que vous pourriez m'apporter car celà fais 2 jours que je suis dessus.

Cordialement


Configuration: Windows XP SP3 / Explorer 6, Google Chrom, Firefox 11.0

g3n-h@ckm@n · Answer

salut aucun accès dans aucun mode ?

sans echec , invité de commandes....

kstufe · Answer

Le "mode sans échec" et le mode "invite de commande en mode sans échec" me font rebooter juste après le défilement du chargement.   

Je précise les choses faites avant:   

-Execution de kasperski en boot CD, analyse du disque= rien trouver   
-Modification de la base de registre pour faire les manipulations suivante:   
Dans "winlogon" la clé shell > explorer.exe modifié en iexplorer.exe.   
Celà n'a pas marché, le virus se lancé toujours. J'ai donc remplacé manuellement le fichier explorer.exe par celui fournis sur le site comme sur la vidéo= le virus se lance toujours.  

Dans "winlogon" la clé Userinit > suppression du lancement du virus (comme décrit dans mon 1er post.)   

Maintenant le PC ne fait que rebooter et je ne sais pas si le virus est toujours présent.   

Biensur, j'ai toujours remis les paramètres modifié dans la base de registre avec les paramètres de départ.

g3n-h@ckm@n · Answer

bien on va prendre à zéro

fais ca :

https://gen-hackman.kanak.fr/

kstufe · Answer

Je viens de lancer OTLPE.exe je veux parcourir mais là, gros problème il me met "fichier ou répertoire endommagé et illisible".... Ça me fais pareil si je veux explorer le disc C: (logique mais pourquoi?) en utilisant le boot .iso du site 

J'ai fais aussi un essai en bootant d'un autre disc sain et mettant le C: infecté en disc de donné et là, pareil je n'y ai pas accès. 

Par contre, je peux sans problème avoir accès au contenue du disc C: infecté avec le CD boot "kasperski Rescue Disk 10"  

J'avais bien sur accès au disc C: infecté jusqu'a la suppression du dit virus. 

Pourquoi??? Qu'est ce que je peux faire maintenant??? :(

g3n-h@ckm@n · Answer

je ne comprends pas quand c est qu il te dit ca..

kstufe · Answer

Je clic sur OTLPEN.exe, il ouvre une fenêtre pour choisir ce qu'on veut scanné. Alors, je clic sur le C: (correspondant au disc C: infecté) pour que je puisse choisir le chemin C:\Windows ...  

A ce moment là, il cherche quelques secondes (avec une loupe en mouvement), et me mets ce message: "fichier ou répertoire endommagé et illisible"

g3n-h@ckm@n · Answer

ok si tu cliques sur le bureau sur "Remote Registry" ? que se passe-t-il ?

kstufe · Answer

Malheureusement pareil... 

J'ai aussi un message: 
"RunScanner Error 

(rond rouge/croix blanche)  No windows installations found "

g3n-h@ckm@n · Answer

tu as mis quoi dans la clé userinit à la place de ce qu il y avait ?

kstufe · Answer

J'ai supprimer ce qu'il y avait après la virgule, (le virus) j'ai donc laissé:    
C:\Windows\system32\userinit.exe,    

comme dit sur le site.    

Je vais vérifié pour être sur...

g3n-h@ckm@n · Answer

retourne regardeer la clé shell mais au lieu de regarder dans HKEY_LOCAL_MACHINE\etc... , regarde dans HKEY_CURRENT_USER\etc....

kstufe · Answer

Peux tu me dire le chemin complet car je viens de chercher dans tous les winlogon que j'ai pu trouvé dans le HKEY_USERS\... et je n'ai pas de chaine shell ???

g3n-h@ckm@n · Answer

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

kstufe · Answer

Je n'ai pas de Software dans HKEY_USERS\ ?????

J'utilise 'kaspersky Rescue 10" pour avoir accès à mes données et à ma base de registre, je n'ai peut-être pas tout avec lui ???

g3n-h@ckm@n · Answer

ok j ai compris

HKEY_USERS\S-1-5-21-des chiffres-des chiffres-1000\software\etc....

kstufe · Answer

Dans HKEY_USERS\ je n'ai que "LocalService", "NetworkService" et "Yoda" (Nom de l'ordinateur) lol 

Pas de chiffre???

Je n'ai que Winlogon dans le "localService" mais je n'ai pas de chaine "shell"

g3n-h@ckm@n · Answer

ah ben oui chuis bete.....t'es pas sous session windows donc l'user n'est pas chargé.....

kstufe · Answer

Bah non, je n'ai pas accès au disc C: infecté sous windows, seulement sous linux... d'ailleurs je suis entrain de copié tous les documents important dans un autre disc non infecté sous linux avec kaspersky au cas ou !!! ... 

Qu'est ce qu'un peux faire maintenant???

g3n-h@ckm@n · Answer

je viens d'infecter un pc avec la meme bestiole que toi , j ai viré la clé userinit avec le fichier 314360DC286VF45D.exe , puis le fichier dans system32 , ben ca marche nickel .....pendant 10s lol ^^

=================

essaie ceci :

peut etre y aura-t-il plus de chances..

http://www.chantal11.com/2011/09/dr-web-livecd/

kstufe · Answer

Ok je vais faire le CD .iso et essayé de booter dessus et voir ce qui se passe.    

Sans doute, je n'ai plus de virus mais un problème windows???   

Je ne comprend pas pourquoi en modifiant la clé dans userinit, j'ai redémarré et le virus était toujours là. J'ai donc supprimer le fichier dans system32 et là, impossible de démarrer????    

C'est une bonne question???

Le pire, je pense c'est que kaspersky n'a rien vu quand j'ai fais son scan anti virus .

g3n-h@ckm@n · Answer

regarde si t'as pas un .exe bizarre dans c:\users	a session\appdataoaming\microsoft\windows\menu demarrer

kstufe · Answer

C'est dans mon C: infecté que je dois chercher car je ne trouve pas ce chemin???

g3n-h@ckm@n · Answer

oui

kstufe · Answer

Je ne trouve pas ce chemin ... :(  

Ça ne serais pas un chemin sur Vista ou Seven ??? Car j'ai XP Pro SP3 

Une indication: 

J'avais avant que ce virus gendarmerie apparaisse, un problème lors de mes recherches sur google. Je m'explique: 

Que ce soit avec IE, FF, ou google chrome, quand je tapé sur la page www.google.fr , genre "recette gâteau" je cliquais ensuite sur les liens proposé, (normal), mais ça me mettais rarement du premier coup le site demandé. En faite, je voyais que j'était redirigé vers des sites d'autre moteur de recherche, sites de pubs, sites de rencontre, voir sites XXX. Obligé de faire, "précédent" de recliqué dessus et au bout de 3;4 fois j'avais enfin le site proposé. 

Je pense que déjà à ce moment là, j'avais un "quelque chose" dans le PC. Peut-être un virus ou  autre qui à permis de faire entré ce virus gendarmerie. Car en général tous mes éléments java, adobe... sont à jours.

g3n-h@ckm@n · Answer

re

oui pardon :

regarde si t'as pas un .exe bizarre dans c:\documents and settings	a session\application data\microsoft\windows\menu demarrer

kstufe · Answer

Dans le dossier windows, je ne peux voir que le dossier thèmes ...

kstufe · Answer

Dans l'hypothèse que j'ai réussi à supprimer le virus en faisant la manip, mais en le supprimant ou en faisant une fausse manip, je me retrouve avec un PC qui ne fais que rebooter. Est ce que qu'on peux réparer ce problème???  

Si j'ai accès au disc C: infecté sous linux et pas sur windows, celà veux bien dire que le disc est sain physiquement mais qu'il manque quelques choses dans l'amorce ou un endroit du genre qui fais qu'un windows ne peux pas entré dedans. 

Dans ce cas, qu'est ce qu'on peux faire???

g3n-h@ckm@n · Answer

quand tu lances OTLPE , et que tu vas sur demarrer/ordinateur/

clic droit / propriétés sur le disque contenant le windows ca dit quoi ?

kstufe · Answer

-Dans le gestionnaire de périphérique, il voit bien le nom du disc en mettant "Ce périphérique fonctionne correctement.

_Le clic droit / propriété sur ce disc marque 
"type": Disque local
Le camembert est tout bleu avec 0 octets partout

g3n-h@ckm@n · Answer

ok t'es sur qu il s agit du disque c:\ et pas d:\ ?

kstufe · Answer

Il y a plusieurs disc de branché pour faire mes sauvegardes, j'ai regardé le contenu de tous ceux que j'ai accès pour voir et celui auquel je n'ai pas accès, c'est bien le C: infecté qui me met c'est information que j'ai décris ci-dessus.

g3n-h@ckm@n · Answer

ok c'est cette info qui m'interesse

https://www.cjoint.com/?BCFmrGVDi24

kstufe · Answer

Normalement tous mes disc sont en NTFS, mais le C:infecté ne met rien à l'emplacement où doit être écrit NTFS.

g3n-h@ckm@n · Answer

donc on a peut etre une piste je regarde ca....

g3n-h@ckm@n · Answer

une question :

tu peux juste naviguer dans le disque infecté via OTLPE_7 ?

kstufe · Answer

Non, je ne peux pas navigué avec OTLPE, c'est direct disc endommagé et illisible. Je peux navigué avec kaspersky sous linux., rien avec windows.

g3n-h@ckm@n · Answer

ok donc ta table de partitions doit etre endommagée....

===============

essaie de faire ca avec testdisk :

https://www.malekal.com/ransomware-ukash-bootkitlock2-gen32-votre-ordinateur-ne-peut-pas-etre-allume/

kstufe · Answer

Pas simple, je n'ai pas la même version de "ultimate boot CD" V5.1.1 donc pour trouver TestDisk, ce n'est pas le même chemin, mais je l'ai trouvé. Pas contre TestDisk n'est pas en V6.6 mais en V6.12 donc pas du tout le même et je n'arrive pas à le lancer. Quand je pense y arrivé, ça m'a lancé "PartedMagic" un autre CDboot.... Comment faire???

g3n-h@ckm@n · Answer

regarde il y en a un intégré dans OTLPE_7 ^^

kstufe · Answer

J'ai réussi à réécrire la table de partition avec le TesDisk V6.6 (en suivant le tuto), j'ai testé de démarrer, mais ça marche pas,  
j'ai ensuite fait la réécriture du MBR avec Super Grub Disk V0.9799 (en suivant le tuto), mais le PC ne fais malheureusement que rebooter après le chargement de la page Windows avec en flash juste après d'une page bleu écrit en blanc, pareil en mode sans échec... :'(   

Ai-je bien tout fais et rien oublié car je pense que ça va se compliqué???

g3n-h@ckm@n · Answer

mmmmm...

redemarre sous OTLPE

choisis l'invité de commandes sur le bureau , puis tape dans la fenetre noire :

CHKDSK /F /R C:

g3n-h@ckm@n · Answer

oui

kstufe · Answer

Après le scan, je redémarre pour essayer ou  il y aura autre chose à faire???  

Là, il fait: remplacement de l'ID erroné par l'ID par défaut avec un grand chiffre a la fin qui augmente en fonction de la ligne, en ce moment: env 360000. Si tu vois ce que je veux dire...

g3n-h@ckm@n · Answer

oui

kstufe · Answer

Alors, à la fin du scan (qui était très long d'ailleurs, plein de correction), j'ai redémarré en mode normal, ça n'a pas rebooté. J'ai eu mon fond d'écran env 15s sans icônes, puis les icônes sont apparut et là......   

grande surprise le virus est toujours là.... "votre ordinateur est bloqué" ...  MDR 

Donc j'attends tes instructions précisent pour ne pas faire de bêtises et enfin supprimer ce p...in de virus sans foute la me..de.   

Merci pour ta patience.

g3n-h@ckm@n · Answer

relance un scan , avec OTL comme au debut avec les memes parametres ?

kstufe · Answer

lol, quand même ... 

scan en cours ...

kstufe · Answer

http://pjjoint.malekal.com/files.php?id=20120331_v10u8i8n6z11 

http://pjjoint.malekal.com/files.php?id=20120331_i13u9n10l13x14 

Voilà.

g3n-h@ckm@n · Answer

??? tu es dans quel pays ?

kstufe · Answer

Bah France, Pourquoi????

g3n-h@ckm@n · Answer

gné ?? pouhlala qu'est-ce-que c'est laid !!

=== 

ben il est ecrit que tu as fait ce scan avant que je te le demande ^^ 

OTL logfile created on: 31/01/2012 11:07:45 - Run  
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

kstufe · Answer

Il n'est pas 11h07 et on n'est pas le 31/01/12 non plu. Le changement de date, c'est moi par contre pour l'heure ... ???

J'avais remarqué.

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\System32\msidlem.dll 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

==================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:OTL
F3 - HKU\Yoda_ON_C WinNT: Load - (C:\DOCUME~1\Yoda\LOCALS~1\Temp\EBAA40EC0096DDE975EF.exe) - C:\Documents and Settings\Yoda\Local Settings	emp\EBAA40EC0096DDE975EF.exe () 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1     
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1     
O7 - HKU\Yoda_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1     
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)     
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
[2012/02/29 21:26:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh324 
[2012/02/29 21:26:12 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh320 
[2012/02/29 21:08:06 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh323 
[2012/02/29 21:07:46 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh322 
[2012/02/29 21:07:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh321 
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

:Files
C:\WINDOWS	asks\BRSAQ.job       
C:\WINDOWS\System32\ALZZip.BIN 
C:\WINDOWS\System32\ALZALZ.BIN     


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

kstufe · Answer

Re,   

Le scan du fichier, je ne peux pas le faire depuis le CD boot OTL:  
j'ouvre FF, je vais sur le site, je fais parcourir, je sélectionne le fichier, mais le site ne le met pas en attente même si j'attends. Même si je clic sur "espagnol" en bas, il ne change pas de langue, comme si la page n'était pas chargé correctement, j'ai fais plusieurs essai.   

Pour la personnalisation, j'utilise bien le même programme (OTLPE.exe icône jaune) que le scan que j'ai fais où je t'ai envoyé les 2 rapports???   
Car j'ai collé tout ce qui avait en caractère gras, dans "Custom Scans/Fixes" mais je ne trouve pas où je dois cliqué "correction" pour lancer la suppression??? Même si ma page est en anglais, je n'ai rien qui correspond.

g3n-h@ckm@n · Answer

pardon c'est RUNFix

kstufe · Answer

Voici le rapport: 

========== OTL ========== 
C:\Documents and Settings\Yoda\Local Settings	emp\EBAA40EC0096DDE975EF.exe moved successfully. 
Registry key HKEY_USERS\Yoda_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows not found. 
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableTaskMgr deleted successfully. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableRegedit deleted successfully. 
Registry key HKEY_USERS\Yoda_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found. 
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found. 
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully. 
C:\WINDOWS\system32\winsh324 moved successfully. 
C:\WINDOWS\system32\winsh320 moved successfully. 
C:\WINDOWS\system32\winsh323 moved successfully. 
C:\WINDOWS\system32\winsh322 moved successfully. 
C:\WINDOWS\system32\winsh321 moved successfully. 
C:\WINDOWS\002743_.tmp deleted successfully. 
C:\WINDOWS\SET3.tmp deleted successfully. 
C:\WINDOWS\SET4.tmp deleted successfully. 
C:\WINDOWS\SET8.tmp deleted successfully. 
C:\WINDOWS\System32\CONFIG.TMP deleted successfully. 
C:\WINDOWS\System32\PerfStringBackup.TMP deleted successfully. 
========== FILES ========== 
C:\WINDOWS	asks\BRSAQ.job moved successfully. 
C:\WINDOWS\System32\ALZZip.BIN moved successfully. 
C:\WINDOWS\System32\ALZALZ.BIN moved successfully. 
  
OTLPE by OldTimer - Version 3.1.48.0 log created on 02012012_022919 

Par contre je n'ai pas pu faire le virustotal.

J'attends tes nouvelles instructions ;-)

g3n-h@ckm@n · Answer

re

bah faut voir si le pc demarre en mode normal....

kstufe · Answer

Il démarre sans virus, juste un message d'erreur: 
"windows ne trouve pas C: document$..... local\Temp\EBAA40EC0096DD975EF.exe " 

il me demande de le rechercher lol...  

J'ai Malwarebytes d'installé, je le lance???

Je dois faire quoi, tout ne c'est pas lancé au démarrage???

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://sd-4.archive-host.com/membres/up/829108531491024/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version renommée winlogon.exe :

http://sd-4.archive-host.com/membres/up/829108531491024/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

=============

pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.

kstufe · Answer

J'ai fienté pour qu'ils soient sur le bureau j'ai lancé le second car le 1er c'est bloqué.          
Scan en cours...          

Par contre, j'ai des messages d'erreur:          
"Exception Processing Message c0000013 Paramètre ......"          

je clic sur "continuer" et il continu ...       

Ensuite, il s'arrête avec le message qui parle du programme "winlogon.exe" avec le chemin du bureau. Je peux faire que "arreter". Je n'ai plus la fenêtre en haut à gauche qui défile. Diode d'activité DD clignote de manière régulière (1 par sec), bureau affiché sans icone...  

Je le laisse comme ça pour l'instant? Combien de temps?

g3n-h@ckm@n · Answer

retente en mode sans echec

kstufe · Answer

Depuis tout ce temps, ça n'avais pas bougé. 

Le mode sans échec ne fonctionne pas, ça reboote !!! 

Je n'ai que le mode normal avec cette fameuse erreur de .exe dans Temp... 

Que faire?

g3n-h@ckm@n · Answer

telecharge ici :

http://www.crdfcloud.fr/gen-hackman_toolspublic/Load_KidoKiller.exe

Desactive tes protections

lance-le , clique sur lancer le nettoyage

l'outil va télécharger automatiquement la derniere version puis

le scan se lancera ensuite

à la fin Kido.txt se mettra sur ton bureau

Copie le contenu dans ta réponse.

kstufe · Answer

01:31:54:015 1420	=======================================================
01:31:54:015 1420	SystemInfo:

01:31:54:015 1420	OS Version: 5.1.2600 ServicePack: 3.0
01:31:54:015 1420	Product type: Workstation
01:31:54:015 1420	ComputerName: YODAF
01:31:54:015 1420	UserName: Yoda
01:31:54:015 1420	Windows directory: C:\WINDOWS
01:31:54:015 1420	Processor architecture: Intel x86
01:31:54:015 1420	Number of processors: 4
01:31:54:015 1420	Page size: 0x1000
01:31:54:015 1420	Boot type: Normal boot
01:31:54:015 1420	=======================================================
01:31:54:015 1420	scanning	jobs ...
01:31:54:078 1420	
01:31:54:078 1420	scanning	processes ...
01:31:54:281 1420	
01:31:54:281 1420	scanning	threads ...
01:31:54:734 1420	
01:31:54:734 1420	scanning	modules in svchost.exe...
01:31:54:796 1420	scanning	modules in services.exe...
01:31:54:796 1420	scanning	modules in explorer.exe...
01:31:54:812 1420	
01:31:54:812 1420	restoring show hidden and system files
01:31:54:812 1420	
01:31:54:812 1420	disabling autorun on all drive types
01:31:54:812 1420	
01:31:54:812 1420	restoring SafeBoot registry node
01:31:54:812 1420	Restoring safe/network boot registry branches for windows XP
01:31:54:859 1420	
01:31:54:859 1420	scanning	C:\WINDOWS\system32 ...
01:33:17:906 1420	scanning	C:\Program Files\Internet Explorer\ ...
01:33:18:218 1420	scanning	C:\Program Files\Movie Maker\ ...
01:33:18:500 1420	scanning	C:\Program Files\Windows Media Player\ ...
01:33:18:750 1420	scanning	C:\Program Files\Windows NT\ ...
01:33:19:140 1420	scanning	C:\Documents and Settings\Yoda\Application Data ...
01:33:28:765 1420	scanning	C:\DOCUME~1\Yoda\LOCALS~1\Temp\ ...
01:33:29:375 1420	scanning	Flash drives ...
01:33:29:375 1420	scanning	C:\ ...
01:56:37:515 1420	
completed
01:56:37:515 1420	Infected jobs:			0
01:56:37:515 1420	Infected files:			0
01:56:37:515 1420	Infected threads:		0
01:56:37:515 1420	Spliced functions:		0
01:56:37:515 1420	Cured files:			0
01:56:37:515 1420	Fixed registry keys:		0
01:56:37:515 1420

g3n-h@ckm@n · Answer

le mode sans echec devrait fonctionner maintenant

kstufe · Answer

Le mode sans échec fonctionne, scan lancé, analyse, redémarrage effectuer par Pré-scan en mode normal.         

Redémarrage fait, le programme c'est relancé, j'ai cliqué sur "kill"           

A la fin j'ai une erreur au moment de l'analyse "Contrôle du MBR":         

AutoIt Error     
"Line 41996 (File C: document...\ bureau\ pré_scan.exe ):         
Error: Error parsing function call.         
Je peux cliqué que sur "OK"   

Je n'ai plus la barre de tache en bas???

g3n-h@ckm@n · Answer

bizarre...

redemarre et heberge le rapport

kstufe · Answer

??? Je n'ai pas de rapport sur le bureau, ni dans C: ni dans C:windows ???

g3n-h@ckm@n · Answer

là je sèche....

kstufe · Answer

Juste par curiosité: 

Qu'est ce que le programme Pré_scan fait ou te donne comme info, qui fait que si je ne peux pas faire ce scan, on ne peut plus avancer????  

Est ce qu'on peut pas faire autre chose, autrement???

g3n-h@ckm@n · Answer

ce n'est pas pre_scan qui m'empeche d'avancer c'est que j'ai plus d'idée sur comment regler ton probleme...:(

kstufe · Answer

Mon PC s'allume normalement, à part le message d'erreur. 
Tout est là.   
Quand j'exécute un programme, dans l'ensemble ça fonctionne mais c'est long et tout ne marche pas.   
Quand je lance un fichier excel, il me met un message d'erreur ouvre ma page excel et la referme automatiquement.   
MalwareByte me met un message d'erreur quand je le lance "pb de VbalGrid dans vbalsgrid6.ocx. Je n'ai pas de copier/coller...   
Plein de petite chose du genre car ceci sont des exemples.   
Je suppose donc que le virus est encore là.   
Mais je ne sais pas comment l'enlevé... et quoi faire pour rendre le PC fonctionnel normalement ?

g3n-h@ckm@n · Answer

desinstalle malwarebytes avec ca :

https://data-cdn.mbamupdates.com/v1/tools/mbam-clean/data/mbam-clean-2.3.0.1001.exe et refais une installation propre 


¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

kstufe · Answer

Je viens de le désinstallé avec le programme du lien, il demande de redémarrer. Après redémarrage, je lance l'installation de mbam_setup V 1.60.1.1, mais j'ai toujours le même problème: j'ai le même message de vbalsgrid6.ocx.

g3n-h@ckm@n · Answer

je peux avoir le code qui est donné avec ?

kstufe · Answer

Erreur d'exécution '372'

g3n-h@ckm@n · Answer

regarde ici :

http://translate.google.fr/translate?hl=en&sl=auto&tl=fr&u=http%3A%2F%2Fforums.malwarebytes.org%2F%2Findex.php%3Fshowtopic%3D7377

kstufe · Answer

J'ai déjà essayé ça, je ne peux pas installé SublnACL, je pense que le virus le bloque.  

D'ailleurs est ce que le virus est encore là??? 

J'ai combofix.exe, est ce que tu connais, qu'est ce que ça vaut??? Je ne sais pas si il marche. Mais je voudrais en savoir plus avant de le lancer???

g3n-h@ckm@n · Answer

je ne peux pas installé SublnACL

précise

kstufe · Answer

j'ai le message suivant: 

"Impossible d'accéder au service Windows Installer. Ceci peut se produire si le programme d'installation de Windows n'est pas bien installé. Contacter votre support technique pour assistance. "

g3n-h@ckm@n · Answer

t'es en mode sans echec ?

kstufe · Answer

non, normal ??? J'ai essayé, ça fait pareil.

g3n-h@ckm@n · Answer

oui en MSE c est logique mais alors là....chuis collé....

kstufe · Answer

lol, si tu es collé, moi je suis quoi??? lol    

C'est comme le: "là, je sèche" dit plus haut, si toi tu sèche, moi je suis en stade de décomposition avancé .....  lol   


Bref, on peut faire quoi, le réinstaller ??? 
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=889482fc-5f56-4a38-b838-de776fd4138c
Si ça veut bien installer quelque chose ...

g3n-h@ckm@n · Answer

ca mange pas de pain effectivement

kstufe · Answer

Lors de l'installation, je me retrouve avec ce message:  

"le programme d'installation n'a pas pu verifier l'intégrité du fichier update.inf. ASSUREZ VOUS QUE LE SERVICE DE CRYPTOGRAPHIE EST EN COURS D 'EXECUTION SUR CET ORDINATEUR"   

en tapant "update.inf" sur google, j'ai plein de chose mais ça n'a pas l'air de marcher pour moi ...  

Dans service.msc, je n'ai pas le service de cryptographie???

g3n-h@ckm@n · Answer

execute ca :

http://gen-hackman.servequake.com/Tools/Correctif_crypto.exe

et reessaie

kstufe · Answer

Quand je l'exécute, il y a l'icône qui clignote très brièvement dans la barre près de l'horloge, sans rien d'autre, j'essaie quand même de lancer le KB de Windows Installer, mais il me met le même message. Pas de chance ...

g3n-h@ckm@n · Answer

donc on a un souci avec la crypto.....

kstufe · Answer

Ça à l'air .... comment faire, ça se refait???

g3n-h@ckm@n · Answer

va falloir essayer en réparant avec un cd de windows

kstufe · Answer

Si tu peux me donné la procédure (tuto) de la manipulation à faire. Comme ça, j'essaierai de faire ça pendant midi.

g3n-h@ckm@n · Answer

re

d'abord on tente :

touche windows +R puis tape CMD

dans la fenetre noire tape :

SFC /SCANNOW

(espace avant le "/")

kstufe · Answer

Scan en cours ...

g3n-h@ckm@n · Answer

toujours le message de la crypto qui vrille ?

kstufe · Answer

Oui la crypto avec le fichier Update.inf

g3n-h@ckm@n · Answer

ok regarde ici :

https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

kstufe · Answer

Je serais tenté pas ça: 

"Méthode n°2: En invite de commande 
Pour ce faire, il suffit de se placer en invite de commande (Démarrer / Exécuter / cmd ou bien en ouvrant une console de récupération après avoir démarré depuis le CD d'installation), et de se positionner dans le dossier contenant les fichiers d'installation de Windows (c'est-à-dire par défaut sur le lecteur de CD-Rom). 

Exécuter la commande suivante : 

i386\winnt32 /unattend 

Les fichiers défectueux du système seront alors remplacés par les fichiers d'origine, sans toucher la configuration des logiciels installés. Notez cependant que les services pack ultérieurs à votre CD de XP devront alors être réinstallés (dans tous les cas, le SP3). 

Autre méthode : 
Pour réparer les fichiers systèmes de Windows : 

    Cliquez sur le menu Démarrer 
    Sélectionnez Exécuter 
    Tapez SFC /scannow puis cliquez sur OK (bien mettre un espace entre SFC et /scannow)." 

Car la 1ière méthode me fais peur surtout peur de formater ... 

La partie "autre méthode" c'est ce qu'on a déjà fais. Est ce qu'il faut que je le refasse après avec fais la "méthode N°2" ????

g3n-h@ckm@n · Answer

j'ai peut etre une autre idée....

desinstalle Le service pack 3 puis reinstalle-le

kstufe · Answer

j'essaierai ça ce soir, si tu as d'autre idée... ;-)

Merci.

g3n-h@ckm@n · Answer

allons-y par etapes :)

kstufe · Answer

Alors j'ai essayé de désinstallé SP3 depuis le panneau de config. Il dit que le fichier spécifié est introuvable puis que le SP3 n'est pas désinstallé. 

J'ai essayé quand même d'installé SP3, il me dit qu'il y est déjà. (logique)

J'ai donc fait croire que j'étais en SP2 avec la base de registre.
J'ai redémarré, et essayé d'installé SP3, il commence l'installation mais j'ai le même problème de crypo avec le fichier update.inf ... lol

g3n-h@ckm@n · Answer

je m'y attendais un peu à vrai dire....

bon ben fais la methode N°2.

kstufe · Answer

Re 

j'ai donc fais la méthode N°2, qui je pense (car je n'étais pas derrière l'écran tout le long) à réinstaller Windows. au moment de redémarrer normalement, le PC reboot avec cet écran à fond bleu écrit en blanc. Ca recommence... 

Là, j'ai lancé: CHKDSK /F /R C: dans le cmd de OTL. 

Scan en cours...

g3n-h@ckm@n · Answer

ok

kstufe · Answer

Reboot fait après le scan, problème identique, impossible de redémarré normalement, il reboot après la page bleu écrit en blanc. Par contre, j'ai accès au disc sans problème en boot .iso OTL, un scan OTLPE.exe est en cours... pour faire l'essai ... 

Je pense refaire un essai de réparation Windows mais avec la méthode N°1. 

Qu'en penses tu???

g3n-h@ckm@n · Answer

faudrait verifier ton disque avec un logiciel genre acronis

kstufe · Answer

Je ne vois pas ce que c'est "acronis", j'ai regardé sur google, j'ai vu que c'était pour faire une sauvegarde de système... 

J'ai vu pourquoi le PC ne redémarre pas, il ne fait pas la réparation comme il faut:

Je boot sur CD Windows, je fais la méthode N°1, dans cette partie là: 
"Windows va copier les fichiers nécessaires à l'installation de Windows.", il les copie,
il initialise ma configuration et il redémarre.
Le problème, c'est qu'il redémarre mais reboot après le chargement Windows avec cette fameuse page bleu écrit en blanc... au lieu de m'emmenée vers l'installation de Windows...

pourquoi???

g3n-h@ckm@n · Answer

mmmmmmmmmmm........;;

execute ca et heberge le rapport voir..

PMK est l'outil Pmaxkiller de Kaspersky en ligne de commandes remanié de manière à obtenir un rapport detaillé ainsi que la priorité du processus réhaussée

telecharger PMK.exe :

http://www.forums-fec.be/gen-hackman/PMK.exe

et le lancer , cliquer sur lancer le nettoyage

L'outil va automatiquement telecharger la derniere version chez Kaspersky , et faute de connection internet , il installera celui qui est integré

appuyer sur une touche comme demandé en fin de scan , puis poster le rapport apparaissant sur le bureau sur le forum où on se fait aider

kstufe · Answer

je l'exécute d'où, de OTLP???

g3n-h@ckm@n · Answer

tu peux utiliser le pc en mode sans echec non ?

kstufe · Answer

Non, car il dit que "l'installation ne peux pas démarrer en mode sans échec, l'installation va redémarrer" j'ai pas le choix que de redémarrer ...

Donc???

g3n-h@ckm@n · Answer

bon alors bouge pas je te transforme le logiciel pour qu'il fonctionne avec OTLPE 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

kstufe · Answer

Ok, mais ça ne me gene pas de regraver j'ai du CD. C'est comme tu veux...

kstufe · Answer

Fais comme il faut, il n'y a pas de problème.
Une fois fini, met le lien, je le télécharge, je le grave et je le lance.

Met les explications pour lancé le scan de PMK.exe

Si c'est demain, ce n'est pas grave...

g3n-h@ckm@n · Answer

ok il largue un driver...donc c'est impossible à utiliser

kstufe · Answer

Donc je ne peux pas lancé de scan PMK sur le PC???

Pourquoi l'installe ne se fait pas correctement???

kstufe · Answer

Quoi faire maintenant???

Obliger de formater???

g3n-h@ckm@n · Answer

non attends je suis en train de confectionner un truc :)

kstufe · Answer

C'est quoi que tu veux faire??? Détail un peu ...

g3n-h@ckm@n · Answer

utilise ceci depuis le live cd OTLPE , clique sur look et poste le rapport qui s'affichera sur le bureau

http://forums-fec.be/gen-hackman/Part_Look.exe

kstufe · Answer

Le programme a marché, mais dans le rapport du PC infecté sous OTLPE, il n'y a que ça:

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

-------------------------------------------------------------------------------------------------------

j'ai essayé sur mon PC portable (avec lequel je dialogue en ce moment) j'ai ça:

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

 Disk: 0   Size=238G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    1    DE-UNKNWN   47M   No    No            63       96,327
  1    2    07-NTFS    235G   Yes   No        96,390  481,998,195
  2    0    0F-EXTEND  3.1G   No    No   482,094,585    6,297,480

 Disk: 1   Size=964M
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    06-Fat16   970M   Yes   No            32    1,988,576

je dirais que le programme fonctionne, mais pas comme il faut avec OTLPE...

g3n-h@ckm@n · Answer

non je vois plus quoi faire....

kstufe · Answer

Si tu n'as pas d'idée d'ici dimanche, je pense que je vais tout formater et tout réinstaller en espérant que ça remarche sans problème.

En tout cas, je te remercie beaucoup pour tout ce que tu as fais pour moi, car en plus, j'ai appris beaucoup de chose. ;-)

g3n-h@ckm@n · Answer

au pire formate avec killdisc

https://gen-hackman.kanak.fr/

kstufe · Answer

Le formatage c'est bien passé avec killdisk, installation en cours

g3n-h@ckm@n · Answer

:p

kstufe · Answer

Je pense faire un ghost, j'ai Norton ghost 2003, tu en pense quoi? 
Car je voudrais un truc pour qu'on puisse restaurer le système en mode "CDboot".

g3n-h@ckm@n · Answer

installe tous les programmes dont tu as besoin avant dans ce cas :)

kstufe · Answer

C'est ce que je suis entrain de faire. Le minimum (drivers, MàJ...) et mes programmes de base. Sinon, c'est bien Norton Ghost, ou il y mieux???

g3n-h@ckm@n · Answer

ben à vrai dire j ai jamais fait de ghosts donc je peux pas tge dire.....

Virus gendarmerie

131 réponses

Discussions similaires

Newsletters