Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Votre ordinateur est bloqué Gendarmerie


Messages recommandés

Bonjour,

 

Le portable Hp pavilion ZV5000 sous XP famil de ma voisine me semble salement touché. Et je ne m'en sort pas !

 

Je n'arrive pas à le booter en mode sans échec : il boucle, et revient à l'écran proposant les différents modes de boot ;

 

le boot sur cd ne prends pas sauf une fois sur le Kaspersky rescue 10 duquel je n'ai pas su obtenir un résultat,

 

ce Pc semble ne pas s'arrêter mais seulement se mettre en veille prolongée,

 

la derniere bonne config ramène à l'écran xp puis a un écran noir avec la fenêtre du virus,

 

ctrl-alt-(pause ou suppr) ne donnent pas la main !

 

Mais que puis je faire ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Avant tout, tenter une restauration système à une date antérieure.

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 (F5 pour certaines marques de PC)pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Pear,

 

je te remercie de te pencher sur ce cas qui me résiste.

 

J'avais consulter ton message précédement et je m'en étais inspiré pour essayer d'avancer mais

aucun accès aux commandes XP (natives) du Pc

par deux fois (sur plus de 10 à 15 tentatives)j'ai pu booter avec un CD

(sinon il sort de veille prolongée en allant à l'affichage de la fenêtre gendarmerie sans me laisser la main.)

la commande (ctrl alt pause) est inopérante

 

J'ai d'abord booté avec un XP allégé sur Cd pas celui du Pc

et "%systemroot%\system32\restore\rstrui.exe" m'a valut un message d'erreur l'exe n'était pas trouvé (j'imagine dans le cd).

 

En ce moment le Cdlive Dr Web 600 (un linux je crois) tourne en scan ...

je ne sais si cela pourra donner quelque chose.

 

 

 

Je crains d'être confronter à devoir procéder à une réinstallation d'XP ! ... Sauf si tu me donnes d'autres possibilités.

 

Cordialement

Modifié par galimatias
Lien vers le commentaire
Partager sur d’autres sites

Oui,

 

et avec seulement 256 M le scan va durer toute la nuit !

 

ceci dit DrWeb a trouvé en 4 h sur 48% du disque : 6 Java zipé, un acrobat 6 script, un exploit Pdf,

malheureusement je n'ai pas pris soin d'y activer l'option snapshots !

 

hum les gendarmes rient ?

 

Ce virus est-ce toujours une histoire du vrai "explorer.exe" renommé en "Twexx32.dll"

et du faux "explorer.exe" à renommer en "malware" puis à deleter ?

 

Cordialement

Modifié par galimatias
Lien vers le commentaire
Partager sur d’autres sites

Patience!

 

C'est sûr qu'avec 256 m° , vous savez ce que c'est .

Vous savez aussi ce qu'il faut faire pour améliorer votre confort!

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Oui Bonjour Pear,

 

le Dr Web a bien naturellement trouvé une noria de virus après 14 h de scan !

 

Mais toujours ce blocage par le Gendarme qui rit,

en fait je n'arrive pas à avoir l'écran "invite de commande en mode sans échec"

un écran bleu très rapide s'affiche et de nouveau ça reviens à l'écran où opter sur invite de ...

 

Quant à mettre plus de mémoire dans ce Pc : sa propriétaire s'en accommode alors moi aussi! (et surtout je n'ai pas de barrette de ce format dans mon tiroir : trop ancienne)

 

En conclusion je reste demandeur de la conduite à tenir.

 

Avec Kaspersky10 j'ai poubellisé l'explorer.exe du gendarme

mais pas de trace d'un twexx32.dll à renommer en explorer.exe ...

donc je vais prendre les explorer2 ou 3 selon besoin de chez Malekal et essayer de le mettre

 

 

 

Cordialement

Modifié par galimatias
Lien vers le commentaire
Partager sur d’autres sites

Si vous n'avez pas accès à internet, utilisez une autre machine pour télélécharger et installer sur clé usb que vous brancherez sur la malade:

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Aïe,

 

l'opération avec Kaspersky n'a pas aboutie au résultat escompté !

Je vais la renouveller et essayer de voir où j'ai merdé !

 

Quoique qu'avec le finder j'ai cherché "explorer.exe" dans le c: windows et l'ai poubellisé

mais une occurence a du m'échappée, j'imagine !

 

Mais booter sur le cd n'est pas aisé, la bête se défend et me verrouille sur le HD !

 

Après cette manoeuvre je lancerai le rogue et anti mais il me faut en prealable un xp qui soit accessible.

 

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

il me faut en prealable un xp qui soit accessible.

 

 

Si ce n'est toujours pas le cas:

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

1274538354-reatogo.jpg

 

Double-click sur l'icone OTLPE1274093075-icootl.jpg

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

1287928545-otlpe05.gif

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

OTLPE-main.png

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

/md5stop

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...