Virus gendarmerie
Résolu/Fermé
Solstel
-
Modifié par Solstel le 24/02/2012 à 15:17
sch15 Messages postés 2 Date d'inscription jeudi 24 octobre 2013 Statut Membre Dernière intervention 12 février 2014 - 24 oct. 2013 à 15:38
sch15 Messages postés 2 Date d'inscription jeudi 24 octobre 2013 Statut Membre Dernière intervention 12 février 2014 - 24 oct. 2013 à 15:38
A voir également:
- Virus gendarmerie
- Svchost.exe virus - Guide
- Altruistic virus ✓ - Forum Antivirus
- Myavids virus ✓ - Forum Téléphones & tablettes Android
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
13 réponses
Utilisateur anonyme
24 févr. 2012 à 15:36
24 févr. 2012 à 15:36
Bonjour
Et bien à partir d'OTLPE,tu vas faire ceci:
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* Tu choisis ta session
Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
Ensuite
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
Et bien à partir d'OTLPE,tu vas faire ceci:
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* Tu choisis ta session
Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
Ensuite
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
Utilisateur anonyme
24 févr. 2012 à 18:30
24 févr. 2012 à 18:30
Re
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
http://imagesup.org/image
* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX
:files
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
D:\Windows\SysWOW64\explorer.exe | D:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe /replace
tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse
@+
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
http://imagesup.org/image
* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX
:files
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
D:\Windows\SysWOW64\explorer.exe | D:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe /replace
tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse
@+
Fait.
Il me demande de rebooter tout de suite apres sans afficher de rapport.
Pb c'est que l'ordi reste bloque, j' ai du l'eteindre....
J'ai essaye sans la cle USB: ca ne marche pas, toujours bloque.
J'ai recharge reatogo, il n'y a pas d'autre rapport que celui que j'ai poste precedemment...
Je refais la manip ? Je reessaye de booter ?
Merci...
Il me demande de rebooter tout de suite apres sans afficher de rapport.
Pb c'est que l'ordi reste bloque, j' ai du l'eteindre....
J'ai essaye sans la cle USB: ca ne marche pas, toujours bloque.
J'ai recharge reatogo, il n'y a pas d'autre rapport que celui que j'ai poste precedemment...
Je refais la manip ? Je reessaye de booter ?
Merci...
Utilisateur anonyme
24 févr. 2012 à 19:33
24 févr. 2012 à 19:33
Re
Ressaye mais avec la seule ligne:
:files
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
@+
Ressaye mais avec la seule ligne:
:files
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
@+
Meme chose...
Est ce que cela ne viendrait pas de la difficulte que je signalais dans ma question initiale:
Si j'essaye d'envoyer a la corbeille D:\Windows\explorer.exe
(le fichier pollue), il me dit que ce n'est pas possible. Idem si je veux
le renommer.
Le fichier a l'air d'etre protege...
Je ne pense pas que ce soit le virus qui soit en cause mais mon systeme
qui protege (a savoir pourquoi ?) le fichier....
Faudrait donc deja le deproteger... Non ? Any idea ?...
Est ce que cela ne viendrait pas de la difficulte que je signalais dans ma question initiale:
Si j'essaye d'envoyer a la corbeille D:\Windows\explorer.exe
(le fichier pollue), il me dit que ce n'est pas possible. Idem si je veux
le renommer.
Le fichier a l'air d'etre protege...
Je ne pense pas que ce soit le virus qui soit en cause mais mon systeme
qui protege (a savoir pourquoi ?) le fichier....
Faudrait donc deja le deproteger... Non ? Any idea ?...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
24 févr. 2012 à 21:30
24 févr. 2012 à 21:30
Re
Essayons de proceder avec un autre CDLive.
Kaspersky Rescue 10
Tutoriel ici:
https://forum.malekal.com/viewtopic.php?t=35913&start=
@+
Essayons de proceder avec un autre CDLive.
Kaspersky Rescue 10
Tutoriel ici:
https://forum.malekal.com/viewtopic.php?t=35913&start=
@+
Utilisateur anonyme
24 févr. 2012 à 22:24
24 févr. 2012 à 22:24
Re
Ok;
Pas de soucis pour moi ;
Bonne soirée et à dimanche
@+
Ok;
Pas de soucis pour moi ;
Bonne soirée et à dimanche
@+
sch15
Messages postés
2
Date d'inscription
jeudi 24 octobre 2013
Statut
Membre
Dernière intervention
12 février 2014
24 oct. 2013 à 15:38
24 oct. 2013 à 15:38
meme chose comment ta fait stp?
Utilisateur anonyme
26 févr. 2012 à 10:39
26 févr. 2012 à 10:39
Bonjour
Reprend le gravage de ce disque;si c'est un réinscriptible.
Sinon tu reprends sur un autre disque.
@+
Reprend le gravage de ce disque;si c'est un réinscriptible.
Sinon tu reprends sur un autre disque.
@+
Bonjour,
Ca y est je suis sur Kasperly (le code de montage de disque n'accepte
pas les raccourcis... bete mais m'a fallu une heure pour comprendre !).
Le probleme c'est que le tutorial dit bien que la fonction "recherche de virus"
ne peux pas tuer le virus.
Par contre me semble que j'ai acces aux fichier (dans C:\Windows) .... j'ai pu le renommer...
Je suppose qu'il faut le remplacer mais comment (par quoi ?)...
Merci !
Ca y est je suis sur Kasperly (le code de montage de disque n'accepte
pas les raccourcis... bete mais m'a fallu une heure pour comprendre !).
Le probleme c'est que le tutorial dit bien que la fonction "recherche de virus"
ne peux pas tuer le virus.
Par contre me semble que j'ai acces aux fichier (dans C:\Windows) .... j'ai pu le renommer...
Je suppose qu'il faut le remplacer mais comment (par quoi ?)...
Merci !
Utilisateur anonyme
26 févr. 2012 à 13:27
26 févr. 2012 à 13:27
Re
Il n'y a rien à remplacer.
Laisse faire Kaspersky.
Il te demandera certainement de redémarrer ton PC.
@+
Il n'y a rien à remplacer.
Laisse faire Kaspersky.
Il te demandera certainement de redémarrer ton PC.
@+
Bon alors, j'ai laisse faire.
Je lui ai fait tout scanner et il a trouve qqs cheval de Troie mais pas
de virus... il m'a demande s'il devait les detruire j'ai repondu que oui
et voila. Il n'a pas demande de redemarrer.
Je l'ai tout de meme fait.
Puis j'ai arrete l'ordi et essaye de redemarrer en mode normal...
Toujours le meme pb... Il n'a donc pas trouve le virus.
Le pb c'est que a la fin du tuto Kaspersky il est dit:
Virus Gendarmerie
Notez que dans le cas du Virus Gendarmerie, avec la variante qui remplace explorer.exe
Kaspersky CD Live détecte bien le explorer.exe malicieux et le supprime mais au redémarrage il est restauré par une version malicieuse.
Le CD est d'aucune utilité.
Chez moi il le detecte meme pas il semble....
Any new idea ?....
Je lui ai fait tout scanner et il a trouve qqs cheval de Troie mais pas
de virus... il m'a demande s'il devait les detruire j'ai repondu que oui
et voila. Il n'a pas demande de redemarrer.
Je l'ai tout de meme fait.
Puis j'ai arrete l'ordi et essaye de redemarrer en mode normal...
Toujours le meme pb... Il n'a donc pas trouve le virus.
Le pb c'est que a la fin du tuto Kaspersky il est dit:
Virus Gendarmerie
Notez que dans le cas du Virus Gendarmerie, avec la variante qui remplace explorer.exe
Kaspersky CD Live détecte bien le explorer.exe malicieux et le supprime mais au redémarrage il est restauré par une version malicieuse.
Le CD est d'aucune utilité.
Chez moi il le detecte meme pas il semble....
Any new idea ?....
Utilisateur anonyme
26 févr. 2012 à 20:55
26 févr. 2012 à 20:55
Re
Le mode sans echec est fonctionnel?
@+
Le mode sans echec est fonctionnel?
@+
Utilisateur anonyme
26 févr. 2012 à 21:37
26 févr. 2012 à 21:37
Re
Et bien sous OTLPE.
Tu te rends dans Windows et tu remplaces explorer.exe par celui-ci
D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe
@+
Et bien sous OTLPE.
Tu te rends dans Windows et tu remplaces explorer.exe par celui-ci
D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe
@+
Sous OTLPE je n'arrivais pas a remplacer le fichier car il etati "protege".
Par contre je peux y acceder sous Kaspersky.
J'ai fait le remplacement que tu m'avais indique:
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
D:\Windows\SysWOW64\explorer.exe | D:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe /replace
Et... ca ne marche toujours pas.
Quand je rallume mon ordi il est toujours sur l'ecran
"Windows failes to start.A recent hardware or software change might be the cause.
Ensuite il dit:
File \Boot\BCD
Status: 0xc000000d
Info: The Windows Boot Configuration Data file is missing required information.
.... la c'est la seche totale....
Par contre je peux y acceder sous Kaspersky.
J'ai fait le remplacement que tu m'avais indique:
D:\Windows\explorer.exe | D:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe /replace
D:\Windows\SysWOW64\explorer.exe | D:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe /replace
Et... ca ne marche toujours pas.
Quand je rallume mon ordi il est toujours sur l'ecran
"Windows failes to start.A recent hardware or software change might be the cause.
Ensuite il dit:
File \Boot\BCD
Status: 0xc000000d
Info: The Windows Boot Configuration Data file is missing required information.
.... la c'est la seche totale....
Utilisateur anonyme
Modifié par Guillaume5188 le 26/02/2012 à 22:13
Modifié par Guillaume5188 le 26/02/2012 à 22:13
Re
Je répète ;tu entreprends certaines choses tout seul.
Donc je te laisse gérer.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Je répète ;tu entreprends certaines choses tout seul.
Donc je te laisse gérer.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Utilisateur anonyme
26 févr. 2012 à 22:21
26 févr. 2012 à 22:21
Re
Je te laisses gérer.
Comme précisé;toutes manipulations autres et dont je ne suis informé peuvent dans certains cas entrainer un plantage du PC dont je en voudrais être tenu responsable.
@+
Je te laisses gérer.
Comme précisé;toutes manipulations autres et dont je ne suis informé peuvent dans certains cas entrainer un plantage du PC dont je en voudrais être tenu responsable.
@+
24 févr. 2012 à 18:15
J' ai charge le compte rendu du scan dans le lien ci-dessus.
Merci....