Virus gendarmerie nationale
Fermé
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
-
23 août 2014 à 15:11
Utilisateur anonyme - 24 août 2014 à 18:45
Utilisateur anonyme - 24 août 2014 à 18:45
A voir également:
- Virus gendarmerie nationale
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
11 réponses
Utilisateur anonyme
23 août 2014 à 15:22
23 août 2014 à 15:22
Bonjour
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
@+
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
@+
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 16:51
23 août 2014 à 16:51
Ca n'a pas marché. Pourtant j'ai lancé un scan dans roguekiller, puis supprimé et redémarré et le virus est toujours là....
Je ne sais plus quoi faire :(
Je ne sais plus quoi faire :(
Utilisateur anonyme
23 août 2014 à 16:57
23 août 2014 à 16:57
Re
tu peux accéder au bureau de ton PC?
@+
tu peux accéder au bureau de ton PC?
@+
Clemsouuu
Messages postés
776
Date d'inscription
mercredi 24 août 2011
Statut
Membre
Dernière intervention
24 décembre 2017
130
23 août 2014 à 18:06
23 août 2014 à 18:06
En mode sans echec oui il peut normalement
Javait vu un autre sujet a ce propos si je le trouve je te fais signe
Javait vu un autre sujet a ce propos si je le trouve je te fais signe
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 17:13
23 août 2014 à 17:13
Merci pour ton aide Guillaume.
Non je ne peux pas accéder au bureau.
J'ai l'impression que Roguekiller n'a repéré aucun fichier malveillant...
Non je ne peux pas accéder au bureau.
J'ai l'impression que Roguekiller n'a repéré aucun fichier malveillant...
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 17:51
23 août 2014 à 17:51
je ne sais pas comment copier le rapport de mon ordinateur infesté pour te l'envoyer de mon mac. je suis vraiment très novice dslée
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
23 août 2014 à 17:53
23 août 2014 à 17:53
Re
Via une clé Usb peut être !!
Via une clé Usb peut être !!
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 18:41
23 août 2014 à 18:41
RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 08/23/2014 18:37:15
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0xc000009a] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SOFTWARE
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SECURITY
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SAM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\DEFAULT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Documents and Settings\NetworkService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Solene\NTUSER.DAT
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-->
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8c6fdfd2bfb7d81cabdcf69250b9cb7c
[BSP] 7bbfa602eda425b8b8dcb473fee337f4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_08232014_183715.txt >>
RKreport[0]_S_08232014_183705.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 08/23/2014 18:37:15
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0xc000009a] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SOFTWARE
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SECURITY
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SAM
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\DEFAULT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\Documents and Settings\NetworkService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Solene\NTUSER.DAT
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-->
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8c6fdfd2bfb7d81cabdcf69250b9cb7c
[BSP] 7bbfa602eda425b8b8dcb473fee337f4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[0]_D_08232014_183715.txt >>
RKreport[0]_S_08232014_183705.txt
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 18:41
23 août 2014 à 18:41
voici le rapport
Bonjour,
-Démarrer en mode sans échec
-Démarrer/éxécuter/msconfig puis dans l'onglet démarrer désactiver tout
-Redémarrer
Le virus se trouve normalement dans le dossier caché Document and setting /votre nom/AppData/Local/temp
Bien souvent il est sous la forme "45849284684684284842.exe"
Cdlt
-Démarrer en mode sans échec
-Démarrer/éxécuter/msconfig puis dans l'onglet démarrer désactiver tout
-Redémarrer
Le virus se trouve normalement dans le dossier caché Document and setting /votre nom/AppData/Local/temp
Bien souvent il est sous la forme "45849284684684284842.exe"
Cdlt
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 18:05
23 août 2014 à 18:05
Merci pour ton aide mais le mode sans échec ne fonctionne pas...
Utilisateur anonyme
23 août 2014 à 18:51
23 août 2014 à 18:51
Re
Tu procèdes avec OTL/OTLPE
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Tu me postes ce rapport OTL.txt
merci
@+
Tu procèdes avec OTL/OTLPE
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Tu me postes ce rapport OTL.txt
merci
@+
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
23 août 2014 à 19:03
23 août 2014 à 19:03
ca me met un message d'erreur RunScanner Error
Utilisateur anonyme
23 août 2014 à 20:07
23 août 2014 à 20:07
Re
On change de CDlive.
Tu procèdes avec OTLPE sous environnement Seven.
Télécharge ici http://www.security-helpzone.com/Tools/g3n/7pe_x___86_E.exe => OTLPE sous environnement windows 7 en CD Live (Merci à "g3n-h@ckm@n")
double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir
insère un cd dans ton graveur puis clique sur "BURN ISO"
(normalement le fichier à graver est déjà sélectionné)
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour ce faire suivre ce lien : Booter sur un CD
Tu lances l'iso d'OTLPE que tu as gravé.
* Double-clique sur l'icone OTLPE
* Une fenêtre s'ouvre: « Choose Windows Directory »
Tu choisis le lecteur qui embarque Windows (C par défaut) et ensuite tu pointes vers ce fichier Windows.
Une autre fenêtre mentionne :"Do you wish to loadremote user profile(s) for scanning ?"
Tu cliques sur Oui
Tu choisis ensuite ta session (logiquement la première ligne de cette fenêtre)
La ligne en bas du tableau est cochée (sinon le faire)
Cliquer sur Ok
Tu cliques sur OK
Ensuite
* sous custom scans /fixes
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
On change de CDlive.
Tu procèdes avec OTLPE sous environnement Seven.
Télécharge ici http://www.security-helpzone.com/Tools/g3n/7pe_x___86_E.exe => OTLPE sous environnement windows 7 en CD Live (Merci à "g3n-h@ckm@n")
double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir
insère un cd dans ton graveur puis clique sur "BURN ISO"
(normalement le fichier à graver est déjà sélectionné)
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour ce faire suivre ce lien : Booter sur un CD
Tu lances l'iso d'OTLPE que tu as gravé.
* Double-clique sur l'icone OTLPE
* Une fenêtre s'ouvre: « Choose Windows Directory »
Tu choisis le lecteur qui embarque Windows (C par défaut) et ensuite tu pointes vers ce fichier Windows.
Une autre fenêtre mentionne :"Do you wish to loadremote user profile(s) for scanning ?"
Tu cliques sur Oui
Tu choisis ensuite ta session (logiquement la première ligne de cette fenêtre)
La ligne en bas du tableau est cochée (sinon le faire)
Cliquer sur Ok
Tu cliques sur OK
Ensuite
* sous custom scans /fixes
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
24 août 2014 à 12:35
24 août 2014 à 12:35
Bonjour Guillaume,
Le lien que tu m'as donné pour télécharger OTLPE sous windows 7 ne fonctionne pas...
merci.
Le lien que tu m'as donné pour télécharger OTLPE sous windows 7 ne fonctionne pas...
merci.
Utilisateur anonyme
24 août 2014 à 13:23
24 août 2014 à 13:23
Bonjour
http://www.telecharger.sosvirus.net/outils-diagnostique/
OTLPENet
@+
http://www.telecharger.sosvirus.net/outils-diagnostique/
OTLPENet
@+
SoSur
Messages postés
10
Date d'inscription
samedi 23 août 2014
Statut
Membre
Dernière intervention
24 août 2014
24 août 2014 à 18:42
24 août 2014 à 18:42
je ne peux pas graver de fichier .exe à partir de mon mac. est ce que je peux le transformer en .iso?
