Virus gendarmerie / Windows 7 écran noir

[Résolu/Fermé]
Signaler
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
-
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
-
Bonjour,

Il me semble plus judicieux de recréer un sujet en espérant y remettre un peu d'ordre dans les procédures à suivre. J'ai vu des choses très intéressantes sur d'autres posts mais j'ai tout mélangé.. Le temps passe et le virus évolue !

Comme de nombreuses personnes, je viens d'être affecté par le virus se faisant passer par la gendarmerie (si quelqu'un a un nom à proposer, ça ferait moins tâche que le "virus gendarmerie" ^^).

Depuis mardi, cette page s'affichait en plein écran juste après le chargement de Windows.
Pas le temps donc de voir mon bureau.
https://www.malekal.com/fichiers/spywares/Ransomware_Ordinateur_bloque.png

J'ai par la suite redémarré mon pc : résultat identique.
Puis j'ai tenté le mode sans échec qui fonctionnait.
Je pensais que ça venait de mon nouveau clavier (je sais c'est bête..) alors j'ai remis l'ancien pour tester le démarrage normal mais la page s'affichait à nouveau.
Je n'ai pas prit la peine d'attendre que cette page s'affiche pour éteindre le pc en pensant repasser en mode sans échec... grave erreur ! Windows n'avait pas finit de démarrer derrière cette page et il m'a fallut attendre qu'il remette ses idées en place avant de se calmer.
Et là pour être calme, il l'est ! Quel que soit le mode de démarrage, c'est l'écran noir avec la sourie active. Mon ddr va bien, mes données aussi...

J'ai ensuite fait des recherches et je me suis rendu compte que le virus bloquait le démarrage de Windows au niveau de l'explorer.
Le virus évolue assez vite à en croire certains.. c'est la poisse !

J'aimerais ne pas avoir à formater.. Je possède le cd de Windows 7 et je m'en suis servi pour accéder à l'invite de commande (mais la navigation dans les fichiers est assez restreinte..).

Bref, j'ai testé plusieurs choses en suivants différents forums, pas forcément de la meilleure façon (il y avait pas mal d'idées à essayer). C'est pourquoi je créé ce topic afin de reprendre dans l'ordre.


Je ne sais plus trop ce qui pourrait être utile à raconter.. N'hésitez pas à me le demander si ça peut vous aider :)


J'espère que nous trouverons une solution ensemble, et que ça pourra servir à d'autres.


22 réponses


bonsoir,

j'espère tout simplement que windows ne soit pas endommagé !!!


lis et suis ceci dans l'odre, on verra si on arrive à sauver ton pc d'une réinstallation :



Grave le CD OTLPE :

https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540

Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante :

- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start=
pour faire démarrer sur le CD ou clef USB (Démarrage sur la clé Usb n'est pas supporté par tous les pc, à voir Dans les options de démarrage).

- OTLPE se charge


une fois sur l'interface d'OTLPE,

avec un autre pc, télécharge ceci et transfère le via une clé usb sur le pc infecté :



* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.


après cette opération, tu peux redémarre ton pc en mode normal, connecte toi à internet et reviens ici pour qu'on le nettoie :D

Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Rapide et claire ! :)
Je reviens ici dès que j'ai fait la manip.

attention,

vu que tu as redémarré plusieur fois le pc, l'infection doit être bien installé, je ne te cache pas qu'il est possible que tu sois obligé de réparer windows !

à voir !



Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Effectivement.. Après avoir suivi la manip et redémarré le pc, la situation est restée la même (écran noir avec curseur actif).

J'avais testé la réparation de windows via le cd d'installation, mais ça n'avait pas fonctionné.

est ce que tu as passé Roguekiller en mode suppression ?

si oui, ou se trouve le rapport ?



Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Désolé de l'oubli. Voilà le rapport de RogueKiller :

RogueKiller V8.0.2 [08/31/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Remove -- Date : 09/05/2012 22:12:07

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKLM\[...]\command : (X:\i386\iexplore.exe) -> FOLDER NOT FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> X:\i386\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8067f35bf23e8984a0d08654daf951a0
[BSP] 0830e3e865d0c5453922c40248e1afa2 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 703766 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1441519616 | Size: 250000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] c9f8c920bfc93904b61efd8e972e3ac8
[BSP] 39dd614faf8521216b6905ce88742929 : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238473 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: +++++
--- User ---
[MBR] 2602fc610f79eed737e1cf209fcea5d7
[BSP] 096ca65415799301792a33c93b5e78da : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 32 | Size: 15310 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

redémarre ton pc en mode normal,


* télécharge ce programme Ransomfix (merci à Xplode)
* lance le sur ta machine
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
* copie, colle le dans ta prochaine réponse.








? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le,

clique sur rechercher et poste son rapport.

Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Si je redémarre le pc en mode normal, ça va me faire un écran noir avec curseur actif.
Sinon je peux passer par l'invite de commande via le cd d'installation de Windows 7 et j'accède aux programmes par ma clé usb.

Je vais tenter de récupérer les rapports comme ça.
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Voilà pour ransomfix :

# RansomFix v1.0 - Xplode
# OS : Windows (TM) Code Name "Longhorn" Preinstallation Environment (32 bits)
# Username : Système - MININT-GCBBD56 (Administrateur)

_____| Winlogon - Shell |_____

Value : explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : X:\windows\explorer.exe [0xD41D8CD98F00B204E9800998ECF8427E]
[OK]

_____| EOF |_____





Je coince avec adwcleaner. Lorsque je le lance via l'invite de commande, je n'arrive pas à voir la fenêtre s'ouvrir.

là, tu es toujours sous OTLPE je pense !


essaie de lancer une réparation du système avec ton DVD pour voir ce qu'il dit !



Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
> La réparation du démarrage système ne peut pas réparer automatiquement l'ordinateur.

Comment savoir pour OTLPE ? je ne n'avais pas inséré le cd d'OTLPE car j'étais sur celui de Windows 7 pour naviguer. Ça me semble bizarre.

la lettre X indique un autre lecteur :

ça peut être OTLPE ou un CD de windows :D


as tu tenté de faire une restauration système ?

la dernière solution serait de réinstaller le système d'exploitation par dessus de celui qui se trouve sur ton pc, au moins, tu ne perderas que les rassourcis des programmes installés sur ton pc !



Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Ah ! Du coup je me pose une question... Lequel choisir ! :D
Le C: contient le système
Le E: contient tout le reste
Le X: doit être OTLPE (je pensais pas qu'il s'y soit installé au chaud)
Le H: c'est pour ma clé usb

J'ai copié les programme du H: au E: (je pige plus iren là lol)

prends la partition du système, restaure le pc dans un premier temps à une date avant l'infection, puis si celà ça ne fonctionne pas, passe à une date entèrieur !


tiens moi au courant :D


Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Il n'y a aucune partition de système... ni de date antérieur.. rien ne fonctionne ^^"

Ça me rappel un message d'un certain "Gene Hackman" (sur le forum CCM) à ce sujet qui disait que le virus évoluait, et qu'il bloquait ces choses là (bloquer, supprimer..).
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Après un redémarrage (encore un..) je me suis retrouvé avec le lancement automatique de "réparation du démarrage" !

Je n'ai ni cd d'installation ni clé usb.. Normalement il lance windows et me fait l'écran noir. C'est pour ça qu'en général je tape F12 pour passer par la lecture du cd et ensuite l'invite de commande mais là... pas le temps de taper sur f12 !

Purée... si j'habitais pas au rez de chaussée je sauterais par la fenêtre..
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
La réparation du démarrage tourne en boucle sans trop indiquer l'état d'avancement*
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Lorsqu'il a fini, il demande de redémarrer en disant que windows redémarrera normalement si les problèmes sont résolus. Sinon bah il recommence ! (je te laisse deviner ce qu'il fait..)
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Au point où j'en suis, je crains devoir confier le pc au docteur.

Je tacherais de passer donner des nouvelles :)

Merci encore !

bonjour,

il faut que tu vois si tu peux récuperer un DVD de windows, ou par défaut restaurer tonn pc avec la partition Recovery (si pc de marque).

à ce niveau, windows est endommagé, on ne peut rien faire de plus avec les outis que nous disposons, l'infection a dû supprimé les fichiers importants, d'ou le problème au démarrage !


je pourrait te donner toujours un fichier explorer.exe et un winlogon, il faut les implanter manuellement à leur emplacement, sur ton disque dur, mais ceci n'est pas dit que ça fonctionnerait, est ce qu'on tente le coup ?

j'ai un xp pro à la maison, si tu es partant, je te file les fichiers et leurs emplacements légitimes pour essayer,

en attendant, je file bosser,

@ ++



Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Je possède un DVD de windows 7, c'est par ce DVD que j'arrivais à avoir l'invite de commande. A ce moment là je pouvais naviguer manuellement.

Mais là je ne peux plus y accéder. La réparation se lance automatiquement et échoue à chaque fois.

Je n'ai même plus l'accès au BIOS ou au choix du démarrage par le lecteur.

J'essaie de me rappeler quel truc j'ai pu faire pour en arriver là.

Bonne journée à toi !

tu es arrivé à lancer des applications à partire de ton lecteur, via l'invite de commande,


essaie de lancer l'executable, sur le DVD d'installation de seven via l'invite de commande, ça devrait fonctionner :D

@++


Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
J'aimerais pouvoir le faire ^^"

Ce matin le démarrage me donne accès à la réparation du démarrage système (qui fini par échouer) ou au windows normal (qui échoue également).

J'ai cru voir un message rapide parlant de BIOS AHCI, ça signifie quoi ?

il faut pouvoir lancer une réparation, voir réinstallation de ton système depuis le DVD de windows, pas le système qui est déjà installé sur le pc.



regarde ici :

https://www.google.fr/?gws_rd=ssl#hl=fr&gs_nf=1&cp=9&gs_id=4&xhr=t&q=BIOS+AHCI&pf=p&output=search&sclient=psy-ab&oq=BIOS+AHCI&gs_l=&pbx=1&fp=1&biw=1003&bih=515&bav=on.2,or.r_gc.r_pw.r_qf.&cad=b
Messages postés
76
Date d'inscription
mercredi 2 janvier 2008
Statut
Membre
Dernière intervention
18 septembre 2012
4
Merci pour le lien, ça me réconforte au moins sur ce point ^^

Il faudrait que je lance le dvd avant le système, mais sans l'accès au bios ou au menu boot, je ne vois pas comment faire.

Sur ce, c'est à mon tour d'aller au boulot :D

@++