Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Gilles le juin 08, 2012, 15:12:09
-
Bjr, je suis infecté par le virus Gendarmerie.
Je pense avoir désinfecté mon PC, hélas il reste de nombreux fichiers "locked".
Merci pour un coup de main.
-
Bonjour Gilles et bienvenue sur SX,
Nous allons tout d'abord nous assurer que le Virus Gendarmerie n'est plus actif sur ton système.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de Old_Timer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2Fotl_pe10.jpg&hash=2d2d95aabf4fb706bee0afd2d554fdf04571e2a8) (http://www.servimg.com/image_preview.php?i=530&u=12972154)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr (http://pjjoint.malekal.com/) et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.
D'autre part si tu as des rapports à fournir si tu as utilisé des outils ?
@+
-
Merci pour ton aide,
j'ai suivi tes indications mais au cours de l'analyse il s'est affiché le msg d'erreur suivant : LIST INDEX OUT OF BOUNDS (21) et a donc stoppé sur la ligne "Application Even Log Record 11251..".
L'analyse s'est donc arrêtée et aucune action possible.
@+
-
Re,
Tu es sous quel système d'exploitation ?
Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Si ton antivirus est Avast, veille à ne pas lancer OTL dans la Sandbox.
Si malgré tout le message d'erreur persiste, fais ce qui suit.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RogueKiller :
- Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
- /!\ Important -> Quitte tous les programmes en cours
- Double-clique sur RogueKiller.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Patiente le temps du Prescan, puis clique sur Scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.sur-la-toile.com%2F4Z2Y&hash=e0448063f7abd408bec396e63a86c098d7ec20bf)
- Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
@+
-
J'avais justement utilisé RogueKiller avant de lancer l'aide suite aux fichiers "locked"
Mon système est windows 7 et mon antivirus Mc Afee Security Center.
J'ai été vigilant au lancement par "executer en tant qu'administrateur".
J'ai tout de même relancé RogueKiller.....rien d'anormal.
Je souhaiterais maintenant résoudre le pb des fichiers locked impossible à ouvrir.
Merci de suivre mon pb
-
Re,
Oui, mais il faut quand même s'assurer que tout a bien été nettoyé.
Tu peux poster le contenu du rapport RogueKiller, s'il te plaît ?
Tu avais utilisé aussi Malwarebytes ?
Si oui, poste aussi le rapport (dans l'onglet Rapports/Logs)
On va changer d'outil pour le diagnostic.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) ZHPDiag :
- Télécharge ZHPDiag2.exe (http://telechargement.zebulon.fr/telecharger-zhpdiag.html) de Nicolas Coolman et enregistre-le sur ton Bureau
Sous IE9, le filtre Smart Screen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur ZHPDiag2.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
- L'outil a créé 3 icônes ZHPDiag, ZHPFix et MBRCheck sur le Bureau (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi27.servimg.com%2Fu%2Ff27%2F12%2F97%2F21%2F54%2Fth%2Ficanes10.jpg&hash=50f7222369929facefa3622ce5c30d2e538ef506) (http://www.servimg.com/image_preview.php?i=577&u=12972154)
- Double-clique sur ZHPDiag pour lancer l'outil
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur la loupe (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Floupe10.jpg&hash=091d54dc83e26f7a02b2dec5ed16ad043ba286f1) (http://www.servimg.com/image_preview.php?i=613&u=12972154) pour lancer l'analyse et patiente jusqu'à ce que le scan affiche 100%
Referme ZHPDiag
- Le rapport ZHPDiag.txt se trouve sur le Bureau.
Ce rapport étant trop long pour le forum, héberge-le sur pjjoint.fr (http://pjjoint.malekal.com/) et copie-colle le lien fourni dans ta réponse.
@+
-
Bonjour chantal11,
Merci pour ta persévérance,
J'ai utilisé ZHPDiag et voici le chemin pour consulter le rapport :
-
Bonjour,
Rkill, AdwCleaner et RannohDecryptor ont été utilisé hier, tu es aidé sur un autre forum ?
@+
-
non
-
Re,
Tu peux fournir les rapports s'il te plaît ?
(pour RannohDécryptor, je n'ai besoin que de la fin du rapport de la ligne Statistic à la ligne Scan finished)
@+
-
Bonjour,
Pas de nouvelles ?
C'est bien de venir demander de l'aide sur des sites spécialisés, c'est encore mieux de suivre les instructions et d'aller jusqu'au bout des procédures ;)