La Gendarmerie a encore frappé Fermé

Question

Bonjour, 
J'ai été touchée moi aussi la semaine dernière !
Sur des forums, j'ai trouvé une manip en tapant F8 pour accéder aux invites de commandes en mode sans échec.
Jusque là, ça va
mais je n'ai jamais accès aux invites, après la page "administrateur" et "autre session à mon nom", les invites sont censées s'ouvrir avec une page cmd..exe (ça se fait tout seul ou j'ai un truc à faire ??) mais moi, immanquablement, le PC continue et ouvre Windows et donc la "sale page" qui me demande 200 euros !
Je ne peux donc rien taper ni regedit ni autre mot magique
Je ne peux pas non plus utiliser roguekiller... comment le lancer depuis la page de démarrage de Windows alors que mon PC malade ne l'a pas sur le disque dur ?
Le reboot ne m'arrangerait pas mais ne me fait pas peur !
Ce qui m'embête, c'est de perdre des fichiers (photos des enfants et bibliothèque i Tunes)

L'ordi malade est sous Windows XP, ce n'est pas celui d'où j'écris (forcément) !


Configuration: Windows 7 / Firefox 9.0.1

Utilisateur anonyme · Answer

Bonjour

Tu as essayé en mode sans echec??

klm974 · Answer

Je sélectionne "invite de commande en mode sans echec" puis entrée

Utilisateur anonyme · Answer

Je sélectionne "invite de commande en mode sans echec" puis entrée

Oui et ensuite==> 
Saisir les commandes suivantes en validant par entrée :
cd %windir%
cd system32
cd restore
rstrui.exe

Attention après chaque cd il y a un espace.
Normalement cette manip doit lancer la restauration système .Choisis une date antérieur a l'infection.
Redémarres en mode normal et verifies si l'infection est toujours présente.
J'attends de tes nouvelles:)

klm974 · Answer

Merci de vous pencher sur mon cas !
A quel moment je tapes tout ça ?? : quand je tape entrée il me demande de choisir le système à restaurer (il n'y que W XP media center de proposé) et quand je sélectionne ça puis entrée, le PC enchaîne tout seul jusqu'au redémarrage de Windows !
J'ai essayé de taper cette prose quand j'ai juste un curseur qui clignote en haut à gauche d'une page toute noire une fois le système à redémarrer, mais je tape dans le vide, il n'y a rien qui s'affiche et ça va jusqu'à Windows qui repart etc etc
J'ai loupé une étape ? Je comprends rien !!

Utilisateur anonyme · Answer

Je te mets un lien vers la page explicative de malekal afin que tu puisse comprendre la manip.Regardes a partir de ===>Tous OS : Restauration du système en ligne de commandes mode sans échec

https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

klm974 · Answer

C'est justement cette fenêtre cmd-exe qui ne s'affiche pas !!
J'ai un curseur (un tiret) qui clignote et après 30 sec où il ne se passe rien, le PC continue tout seul !

Utilisateur anonyme · Answer

Tu vas redémarrer en mode sans echec avec prise en charge réseau et télécharger .

* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

klm974 · Answer

Euh... je le télécharge comment ? Avec mon ordi malade ? mais j'ai pas accès au bureau !
Dès que Windows ouvre une session, j'ai la page de rançon qui s'affiche et je ne peux plus rien faire, à part éteindre mon ordi en maintenant enfoncé le bouton d'arrêt !

klm974 · Answer

Quand je tape F8 entre les 2 pages de démarrage, je tombe sur la page mode sans échec / mode sans échec avec prise en charge réseau / invite de commandes en mode sans échec
Je mets l'option choisie en "surbrillance" (comme ils disent)
Si je ne tape pas entrée, il ne se passe rien et ça peut durer longtemps comme ça
Si je tape entrée, quelle que soit l'option choisie, invariablement le PC tourne tout seul, ouvre Windows tout seul et je retombe au bout de 4-5 mn sur la page maudite ! 
C'est foutu ou je loupe une étape à chaque fois !
Sur les tuto de malekal, ça avait l'air super simple sauf que je n'arrive pas aux pages qui me permettent de rentrer mes ordres !

Utilisateur anonyme · Answer

Ok tu as certainement la variante qui patch le fichier explorer.exe
Suis ce tuto a partir de Procédure pour Windows XP et regardes bien la video.
https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

Good luck....

klm974 · Answer

Tu vas dire que je suis un boulet indécrottable et que j'aurais mieux fait de rester au Minitel... mais comment je fais pour obtenir la fenêtre "de la disquette pour sauvegarder l'image" ?? C'est un portable donc je n'ai pas de souris mais un pad.
Je clique, double clique, clic droit, clic gauche... rien ne se passe !!
Je suis perduuue !!

Utilisateur anonyme · Answer

Tu passes? juste le curseur de la souris dans le coin à droite. En fait tu fais comme dans la vidéo

klm974 · Answer

Ouais ben, je dois être vraiment neu neu car j'ai beau passer la flèche dans tous les coins, rien n'apparaît !

klm974 · Answer

J'ai vu sur une autre discussion que pour accéder aux invites, la personne ouvrait windows en mode administrateur, ce que je n'osait pas faire !
Même ça, je ne peux pas le faire car il me demande un mot de passe (???... je ne savais pas que j'en avais créé 1) et de toute façon, je n'ai pas le temps de taper quoi que ce soit car au bout de 10 sec, il reboot !!
Et maintenant il tourne en rond : F8 - invite - mode adminstrateur - mot de passe et hop reboot ... donc, moi je fais F8 etc etc etc

Utilisateur anonyme · Answer

Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.



Étape 1: OTLPE (de OldTimer), préparation
Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Exécute le, le brûlement du cd est automatique, répond oui à la question "Do you want burn the cd?"

Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.




Étape 2: OTLPE (de OldTimer), analyse

Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en français)

Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
Faire un double clic sur l'icône OTLPE.
Si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

Puis cliquer sur le bouton Run Scan:


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTLPE. 

Le fichier rapport est sauvegardé dans C:\OTL.txt

Héberges ton rapport sur le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

klm974 · Answer

Alors, j'ai tout récupéré en passant par le gestionnaire de gestion !
Comme j'en avais ras le bol, j'ai tapé CTL+ALT+SUP à l'ouverture de ma session et le gestionnaire s'est ouvert !
Alors j'ai lancé "cmd" en nouvelle tâche et je suis tombée sur les invites de commande
Après, j'ai suivi la manip regedit
Et voilà

Merci pour ton temps passé sur mon cas !

La Gendarmerie a encore frappé

16 réponses

Discussions similaires

Newsletters