Virus * ukash * gendarmerie national
Fermé
Gwentjess
Messages postés
3
Date d'inscription
vendredi 3 février 2012
Statut
Membre
Dernière intervention
4 février 2012
-
3 févr. 2012 à 22:17
Utilisateur anonyme - 28 janv. 2013 à 19:20
Utilisateur anonyme - 28 janv. 2013 à 19:20
A voir également:
- Virus * ukash * gendarmerie national
- Svchost.exe virus - Guide
- Altruistic virus ✓ - Forum Antivirus
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
7 réponses
jacques.gache
Messages postés
33453
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 616
Modifié par jacques.gache le 3/02/2012 à 22:39
Modifié par jacques.gache le 3/02/2012 à 22:39
bonjour, quand tu es devant les chois de démarrage au lieu de choisir sans echec essais de choisir l'invite de commande en mode sans echec et si tu as la fenêtre noir de celle ci tu y mets %systemroot%/system32/rstrui.exe et puis tu appuis sur entrée
cela t'ouvrira la restauration système il te suffira de chosir un point avant le problème et après on pourra voir si il y a des restes
pour t'aider https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/198225-restaurer-windows-10-8-7-vista-xp-avec-rstrui-et-l-invite-de-commande
https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/148803-restaurer-windows-7-ou-vista
-----------
Perso je ne sais peut être pas grand chose, mais si le peu que je sais peut aider et bien,
je veux bien le partager avec toi !!
cela t'ouvrira la restauration système il te suffira de chosir un point avant le problème et après on pourra voir si il y a des restes
pour t'aider https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/198225-restaurer-windows-10-8-7-vista-xp-avec-rstrui-et-l-invite-de-commande
https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/148803-restaurer-windows-7-ou-vista
-----------
Perso je ne sais peut être pas grand chose, mais si le peu que je sais peut aider et bien,
je veux bien le partager avec toi !!
Utilisateur anonyme
25 août 2012 à 21:42
25 août 2012 à 21:42
ben ouvre un nouveau sujet en expliquant ton souci en details :)
Gwentjess
Messages postés
3
Date d'inscription
vendredi 3 février 2012
Statut
Membre
Dernière intervention
4 février 2012
4 févr. 2012 à 08:49
4 févr. 2012 à 08:49
Merci Jacques pour ta reponse.
Ton adresse %systemroot% ne fonctionne pas !
Il dit que "%" n'est pas reconnu, j'essaye sans les "%" et là il me dit que "systemroot" n'est pas reconnu.
Ton adresse %systemroot% ne fonctionne pas !
Il dit que "%" n'est pas reconnu, j'essaye sans les "%" et là il me dit que "systemroot" n'est pas reconnu.
Gwentjess
Messages postés
3
Date d'inscription
vendredi 3 février 2012
Statut
Membre
Dernière intervention
4 février 2012
4 févr. 2012 à 08:58
4 févr. 2012 à 08:58
Ok Jacques, restauration systeme en cours ... Je vous tiens informé de la suite !
Merci
Merci
jacques.gache
Messages postés
33453
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 616
4 févr. 2012 à 12:10
4 févr. 2012 à 12:10
ok et comment tu as fait puisque tu disait que %systemroot%/system32/rstrui.exe ne passais pas !!
bon si tu as réussi la restauration système postes un diagnostique pour voir si plus rien !
Ouvre ce lien et télécharge ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
cliques sur télécharger "celui du bas"
ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe
Enregistres le sur ton Bureau.
Une fois le téléchargement achevé
pour XP, double-clique sur ZHPDiag
pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.
N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
https://www.cjoint.com/
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
bon si tu as réussi la restauration système postes un diagnostique pour voir si plus rien !
Ouvre ce lien et télécharge ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
cliques sur télécharger "celui du bas"
ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe
Enregistres le sur ton Bureau.
Une fois le téléchargement achevé
pour XP, double-clique sur ZHPDiag
pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.
N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
https://www.cjoint.com/
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
jacques.gache
Messages postés
33453
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 616
4 févr. 2012 à 12:59
4 févr. 2012 à 12:59
alors la si sur les sites il donne pas les bonnes chose regarde j'ai pris cela ici https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/198225-restaurer-windows-10-8-7-vista-xp-avec-rstrui-et-l-invite-de-commande
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Aujourd'hui gros problème avec UKASH : Ordi bloqué, mode sans échec bloqué !
La solution donnée par JACQUES.GACHE a parfaitement fonctionné pour moi (je suis sous XP) les slashs sont parfaitement dans le bon sens. J'avais essayé le script sans "restore" c'est pourquoi la première fois ça n'a pas fonctionné.
Tout est très bien expliqué dans le tuto ci-après :
http://forums.cnetfrance.fr/topic/116680-restaurer-windows-avec-rstrui-et-linvite-de-commande-seven-vista-xp/
Aujourd'hui gros problème avec UKASH : Ordi bloqué, mode sans échec bloqué !
La solution donnée par JACQUES.GACHE a parfaitement fonctionné pour moi (je suis sous XP) les slashs sont parfaitement dans le bon sens. J'avais essayé le script sans "restore" c'est pourquoi la première fois ça n'a pas fonctionné.
Tout est très bien expliqué dans le tuto ci-après :
http://forums.cnetfrance.fr/topic/116680-restaurer-windows-avec-rstrui-et-linvite-de-commande-seven-vista-xp/
Bonsoir,
Le PC de mon frère a subi le même sort, pas de possibilité d'utiliser le mode sans échec non plus... La solution de Jacques Gache est sans doute bonne mais lorsque je tape dans l'invite de commande %systemroot%/system32/rstrui.exe un message m'indique que cela n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commande.
Pour info ma ligne de commande commence par C:\Windows\system32> donc avant de taper "entrer" j'ai "C:\Windows\system32>%systemroot%/system32/rstrui.exe" Est-ce normal??
Merci de votre attention.
Le PC de mon frère a subi le même sort, pas de possibilité d'utiliser le mode sans échec non plus... La solution de Jacques Gache est sans doute bonne mais lorsque je tape dans l'invite de commande %systemroot%/system32/rstrui.exe un message m'indique que cela n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commande.
Pour info ma ligne de commande commence par C:\Windows\system32> donc avant de taper "entrer" j'ai "C:\Windows\system32>%systemroot%/system32/rstrui.exe" Est-ce normal??
Merci de votre attention.
supaOz
Messages postés
10
Date d'inscription
mercredi 19 mai 2010
Statut
Membre
Dernière intervention
8 février 2012
2
8 févr. 2012 à 11:18
8 févr. 2012 à 11:18
j'ai eu le même pb:
So les conseils plus haut sont surement bon et à faire.
pour allez vite voila comment récupérer et désinfecter son pc de ce virus:
1 - démarrage en mode "sans echec" ->faire F8 après l'invite bios plusieurs fois jusqu'à avoir un choix d'option de démarrage, donc le sans échec.
2 - touche windows + R --> executer: msconfig
3 - dans la section droite "démarrage" vous trouverez 3 ou 4 lancement effectif a décocher ces dernier change de nom a chaque infection et, ne sont donc pas reconnu sous google lors d'un recherche d'informations.
Pour les identifier: 2 sont des fichiers du type "nom-qui-change.exe" et pointes vers un sous-répertoire de C:\Users\votre-nom-d'utilisateur\AppData\ + sous répertoire roamin et/ou locallow
un fois identifier-> décocher leur démarrage puis allez sous l'explorateur supprimer ces fichiers.
4 - il est possible qu'un autre se lance depuis C:\ProgramData -> même chose on décoche et on supprime.
5 - Enfin un dernier "le plus important" se trouve dans votre menu démarrer dans la section démarrage.
Ce dernier est un appel de c:\windows\system32\rundll32.exe vers un fichier *.tmp situé sous un répertoire temporaire.
si ce dernier n'est pas supprimé, au démarrage suivant il réinfecte votre machine complètement donc voici la manip:
ouvrir
- menu windows--> "tous les programmes"--->demarrage
là vous voyez un fichier tmp ou *.tmp ou autre chose mais avec tmp ^^
so click droit dessus et supprimer.
Autre solution plus complète:
Sous msconfig (voir plus haut) on retrouve dans la liste de demarrage l'appel de rundll32.exe vers le tmp.
passer votre souris dessus pour voir son lien complet et donc identifier ou se trouve le fichier tmp.
décocher le démarage et manuellement sous l'explorateur de fichier allez supprimer le fichier tmp.
IMPORTANT: Ne jamais supprimer le fichier c:\windows\system32\rundll32.exe
6 - Voila on arrive au bout ^^ ->redémarrer votre machine
7- Le Final ---> il reste une infection sous le registre pour se faire telecharger "spybot search and destroy" installer le et apres l'avoir mis à jour faite une verification du systeme complet, il vous trouvera une infection du type "fraud.defense *" si vous la trouve ou s'il trouve même d'autre chose dans tous les cas une fois le scan terminé faite "corriger toutes les erreurs"
Voila maintenant c'est bon le pc est sauf, mais n'hésitez pas a faire un scan complet depuis votre antivirus, perso:
Antivir lui n'as rien vu que ce soit sur les fichiers décrit ci-dessus ou même lors de l'infection.
Allez courage ++
So les conseils plus haut sont surement bon et à faire.
pour allez vite voila comment récupérer et désinfecter son pc de ce virus:
1 - démarrage en mode "sans echec" ->faire F8 après l'invite bios plusieurs fois jusqu'à avoir un choix d'option de démarrage, donc le sans échec.
2 - touche windows + R --> executer: msconfig
3 - dans la section droite "démarrage" vous trouverez 3 ou 4 lancement effectif a décocher ces dernier change de nom a chaque infection et, ne sont donc pas reconnu sous google lors d'un recherche d'informations.
Pour les identifier: 2 sont des fichiers du type "nom-qui-change.exe" et pointes vers un sous-répertoire de C:\Users\votre-nom-d'utilisateur\AppData\ + sous répertoire roamin et/ou locallow
un fois identifier-> décocher leur démarrage puis allez sous l'explorateur supprimer ces fichiers.
4 - il est possible qu'un autre se lance depuis C:\ProgramData -> même chose on décoche et on supprime.
5 - Enfin un dernier "le plus important" se trouve dans votre menu démarrer dans la section démarrage.
Ce dernier est un appel de c:\windows\system32\rundll32.exe vers un fichier *.tmp situé sous un répertoire temporaire.
si ce dernier n'est pas supprimé, au démarrage suivant il réinfecte votre machine complètement donc voici la manip:
ouvrir
- menu windows--> "tous les programmes"--->demarrage
là vous voyez un fichier tmp ou *.tmp ou autre chose mais avec tmp ^^
so click droit dessus et supprimer.
Autre solution plus complète:
Sous msconfig (voir plus haut) on retrouve dans la liste de demarrage l'appel de rundll32.exe vers le tmp.
passer votre souris dessus pour voir son lien complet et donc identifier ou se trouve le fichier tmp.
décocher le démarage et manuellement sous l'explorateur de fichier allez supprimer le fichier tmp.
IMPORTANT: Ne jamais supprimer le fichier c:\windows\system32\rundll32.exe
6 - Voila on arrive au bout ^^ ->redémarrer votre machine
7- Le Final ---> il reste une infection sous le registre pour se faire telecharger "spybot search and destroy" installer le et apres l'avoir mis à jour faite une verification du systeme complet, il vous trouvera une infection du type "fraud.defense *" si vous la trouve ou s'il trouve même d'autre chose dans tous les cas une fois le scan terminé faite "corriger toutes les erreurs"
Voila maintenant c'est bon le pc est sauf, mais n'hésitez pas a faire un scan complet depuis votre antivirus, perso:
Antivir lui n'as rien vu que ce soit sur les fichiers décrit ci-dessus ou même lors de l'infection.
Allez courage ++
Merci, la procédure msconfig m'a bien aidé aussi, vu que je n'arrivais pas à avoir la main sur le PC: Mode sans echec bloqué, restauration du système désactivée.
J'ai démarré en mode sans echec ligne de commande, j'ai pu lancer msconfig.exe dans %windir%\pchealth\helpctr\binaries\msconfig.exe (j'ai windows XP pro) et j'ai pu déselectionner la ligne du virus (je n'en avais qu'une seule). Après, téléchargement de MBAM, scan du système, et c'était ok.
Petite astuce: En mode ligne de commande, si vous ne trouvez pas msconfig.exe, tappez:
cd %windir% (pour se placer dans le repertoire de windows)
dir msconfig.exe /s (pour afficher l'emplacement de msconfig.exe)
tapper ensuite ce qui s'affiche en rajoutant "\msconfig.exe" à la fin. Par exemple chez moi: c:\windows\pchealth\helpctr\binaries\msconfig.exe (attention au sens des "\")
J'ai démarré en mode sans echec ligne de commande, j'ai pu lancer msconfig.exe dans %windir%\pchealth\helpctr\binaries\msconfig.exe (j'ai windows XP pro) et j'ai pu déselectionner la ligne du virus (je n'en avais qu'une seule). Après, téléchargement de MBAM, scan du système, et c'était ok.
Petite astuce: En mode ligne de commande, si vous ne trouvez pas msconfig.exe, tappez:
cd %windir% (pour se placer dans le repertoire de windows)
dir msconfig.exe /s (pour afficher l'emplacement de msconfig.exe)
tapper ensuite ce qui s'affiche en rajoutant "\msconfig.exe" à la fin. Par exemple chez moi: c:\windows\pchealth\helpctr\binaries\msconfig.exe (attention au sens des "\")
4 déc. 2012 à 02:33
la restauration du systeme en F8 semble avoir fonctionné. + malwayrebytes
Merci beaucoup car j étais desespérée.