Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus gendarmerie


 Share

Messages recommandés

Bonjour à tous,

 

Bon pour faire bref le PC de ma cousine à été infecté par un virus gendarmerie nationale.

 

J'ai résolu (en partie) le problème grâce à OTLPE (remplacement de explorer.exe), maintenant Windows se bloque (en mode normal) au logo chargement d'XP avec la barre de progression.

 

J'ai tout de même accès au mode sans échec où j'ai effectué une recherche avec Malwarebytes qui m'a trouvé pas mal de bestioles mais le problème ne s'est pas résolu pour autant, j'ai désinstallé Avast, (oups!!!) en ayant au préalable télécharger Antivir mais l'install échoue à cause de Microsoft runtime redistribuable kit.

du coup j'ai fouiné, j'ai télécharger et tenté d'installer et échoué aussi.

 

Je me suis dis alors que peut être était-ce un problème matériel puisque la pile du Cmos était morte je l'ai changée, remis la date et l'heure du bios à jour échec également.

 

J'ai voulu également faire un tour du côté de touslesdrivers.com mais l'install du contrôle ActiveX échoue car Impossible d'accéder au service Windows Installer... J'ai télécharger Windows Installer sur le site de Microsoft mais rien ne change.

 

J'ai tenté une restauration grâce à mon CD d'xp mais sa version étant un Fake (pas bien!!!) je ne peux qu'atteindre la console de récupération, où j'ai effectué un CHKDSK /p et CHKDSK /r sans succès.

 

Ayant remarqué quelques outils intéressants sur le CD OTLPE je me suis demandé si, une fois de plus, celui-ci pourrais me sauver la mise...

Puis j'avoue que je sèche aussi un peu ça fait 2 jours que j'y suis et j'en ai marre c'est pourquoi je poste un rapport OTLPE ici, j'espère que vous pourrez m'aider à résoudre ce problème.

 

Merci d'avance!!!!

 

Rapport OTLPE

 

et accessoirement Rapport Hijackthis

 

et Config Everest

Modifié par nanette234
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\WINDOWS\system32\drivers\ueoaqyqb.sys

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

ensuite:

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vista:Désactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller UsbFix (après la désinfection)

Double clic sur le raccourci sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

 

 

et encore:

 

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

110906042614938066.jpg

 

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Ajoutez un nouveau rapport Otlpe.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Bonjour pear et surtout merci de ton aide,

 

Donc en ce qui concerne la première étape, à savoir, la recherche du fichier C:\WINDOWS\system32\drivers\ueoaqyqb.sys avec Virus total

le fichier ueoaqyqb.sys était inexistant donc aucune analyse n'a été effectuée.

 

Les rapports de usb fix: 1) recherche

2) suppression

 

Les rapports AdwCleaner: 1) recherche

2) suppression

 

Et enfin Rapport OTLPE

 

Petite précision, tout au long des différents redémarrage effectué lors de ces procédures le PC bloquait sur le Logo Windows, sauf après le dernier scan effectué avec OTLPE, je croise les doigts pour que ça dure.

 

Je reviendrais vers posté ici ci cela se reproduisait.

 

Merci pour ton aide!!!

Lien vers le commentaire
Partager sur d’autres sites

la recherche du fichier C:\WINDOWS\system32\drivers\ueoaqyqb.sys avec Virus total

le fichier ueoaqyqb.sys était inexistant donc aucune analyse n'a été effectuée.

 

Il apparait bien dans votre 1° rapport Otlpe mais plus dans le second.

DRV - [2012/02/15 11:38:14 | 000,054,016 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\ueoaqyqb.sys -- (lymdi)

 

 

 

 

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

DRV - File not found [Kernel | On_Demand] -- -- (ZDPNDIS5)

DRV - File not found [Kernel | On_Demand] -- -- (ZDCndis5)

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)

DRV - File not found [Kernel | System] -- -- (PCIDump)

DRV - File not found [Kernel | System] -- -- (lbrtfdc)

DRV - File not found [Kernel | System] -- -- (i2omgmt)

DRV - File not found [Kernel | On_Demand] -- -- (EverestDriver)

DRV - File not found [Kernel | System] -- -- (Changer)

IE - HKU\JULIE.PERLI_ON_C\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)

IE - HKU\maman.PERLI_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - Reg Error: Key error. File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\freecompress[email protected]spointer.com: C:\Program Files\FreeCompressor\spointer\extensions\freecompress[email protected]spointer.com [2010/07/26 11:22:35 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]spointer.com: C:\Program Files\Fluendo\Moovida\spointer\extensions\[email protected]spointer.com

O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (Interest recogniser for Freecompressor (powered by Spointer)) - {a83c3565-302c-4bf8-b000-6b6f1811d892} - C:\Program Files\FreeCompressor\spointer\extensions\freecompressor_air_ie.dll (Freecompressor)

O2 - BHO: (no name) - {E2A7BD67-0EAF-497f-B05B-748D7BF3C421} - No CLSID value found.

O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - File not found

O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)

O3 - HKU\JULIE.PERLI_ON_C\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)

O3 - HKU\maman.PERLI_ON_C\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France\prxtbSof2.dll (Conduit Ltd.)

O4 - HKLM..\Run: [] File not found

O4 - HKU\Administrateur_ON_C..\Run: [WOOKIT] File not found

O4 - HKU\maman.PERLI_ON_C..\Run: [WOOKIT] File not found

O4 - HKLM..\RunOnce: [] File not found

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://www.ma-config.com/plugins/MaConfig_5_2_2_0.cab ("Ma-Config.com control)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

O16 - DPF: {B60CEFE7-2DD0-4B78-951A-509D951DB1F0} http://www.extrafilm.fr/ExtraFilmUploader6.cab (ExtraFilm Uploader Control)

O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)

[2010/07/26 11:22:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\JULIE.PERLI\Application Data\freeCompressor

[2011/10/01 05:49:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\maman.PERLI\Application Data\OfferBox

[2004/08/03 23:54:30 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\xhnyyh1.dll

[2004/08/03 23:54:30 | 000,000,204 | ---- | C] () -- C:\WINDOWS\System32\ok7eao0.dll

[2004/08/03 23:54:30 | 000,000,016 | -H-- | C] () -- C:\WINDOWS\System32\lj93ilo.dll

2011/09/19 11:31:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\JULIE.PERLI\Application Data\Uniblue

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...