Virus gendarmerie / Windows 7 écran noirRésolu/Fermé

Question

Bonjour, 

Il me semble plus judicieux de recréer un sujet en espérant y remettre un peu d'ordre dans les procédures à suivre. J'ai vu des choses très intéressantes sur d'autres posts mais j'ai tout mélangé.. Le temps passe et le virus évolue !

Comme de nombreuses personnes, je viens d'être affecté par le virus se faisant passer par la gendarmerie (si quelqu'un a un nom à proposer, ça ferait moins tâche que le "virus gendarmerie" ^^).

Depuis mardi, cette page s'affichait en plein écran juste après le chargement de Windows.
Pas le temps donc de voir mon bureau.
https://www.malekal.com/fichiers/spywares/Ransomware_Ordinateur_bloque.png

J'ai par la suite redémarré mon pc : résultat identique.
Puis j'ai tenté le mode sans échec qui fonctionnait.
Je pensais que ça venait de mon nouveau clavier (je sais c'est bête..) alors j'ai remis l'ancien pour tester le démarrage normal mais la page s'affichait à nouveau.
Je n'ai pas prit la peine d'attendre que cette page s'affiche pour éteindre le pc en pensant repasser en mode sans échec... grave erreur ! Windows n'avait pas finit de démarrer derrière cette page et il m'a fallut attendre qu'il remette ses idées en place avant de se calmer.
Et là pour être calme, il l'est ! Quel que soit le mode de démarrage, c'est l'écran noir avec la sourie active. Mon ddr va bien, mes données aussi...

J'ai ensuite fait des recherches et je me suis rendu compte que le virus bloquait le démarrage de Windows au niveau de l'explorer.
Le virus évolue assez vite à en croire certains.. c'est la poisse !

J'aimerais ne pas avoir à formater.. Je possède le cd de Windows 7 et je m'en suis servi pour accéder à l'invite de commande (mais la navigation dans les fichiers est assez restreinte..).

Bref, j'ai testé plusieurs choses en suivants différents forums, pas forcément de la meilleure façon (il y avait pas mal d'idées à essayer). C'est pourquoi je créé ce topic afin de reprendre dans l'ordre.


Je ne sais plus trop ce qui pourrait être utile à raconter.. N'hésitez pas à me le demander si ça peut vous aider :)


J'espère que nous trouverons une solution ensemble, et que ça pourra servir à d'autres.


Configuration: Windows 7 / Firefox 12.0

Utilisateur anonyme · Answer

bonsoir,

j'espère tout simplement que windows ne soit pas endommagé !!!


 lis et suis ceci dans l'odre, on verra si on arrive à sauver ton pc d'une réinstallation :



 Grave le CD OTLPE : 

https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540

Ensuite tu démarres sur OTLPE. 
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante : 

- Télécharger le CD OTLPE (fichier image ISO) 
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté 
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= 
pour faire démarrer sur le CD ou clef USB (Démarrage sur la clé Usb n'est pas supporté par tous les pc, à voir Dans les options de démarrage).

- OTLPE se charge 


une fois sur l'interface d'OTLPE,

avec un autre pc, télécharge ceci et transfère le via une clé usb sur le pc infecté :



* [*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon. 


après cette opération, tu peux redémarre ton pc en mode normal, connecte toi à internet et reviens ici pour qu'on le nettoie :D

Utilisateur anonyme · Answer

attention, 

vu que tu as redémarré plusieur fois le pc, l'infection doit être bien installé, je ne te cache pas qu'il est possible que tu sois obligé de réparer windows !

à voir !

Mike.us · Answer

Effectivement.. Après avoir suivi la manip et redémarré le pc, la situation est restée la même (écran noir avec curseur actif).

J'avais testé la réparation de windows via le cd d'installation, mais ça n'avait pas fonctionné.

Utilisateur anonyme · Answer

est ce que tu as passé Roguekiller en mode suppression ?

si oui, ou se trouve le rapport ?

Utilisateur anonyme · Answer

redémarre ton pc en mode normal,


* télécharge ce programme Ransomfix (merci à Xplode)    
* lance le sur ta machine 
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )    
* copie, colle le dans ta prochaine réponse.    







 
?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 

clique sur rechercher et poste son rapport.

Mike.us · Answer

Voilà pour ransomfix :

# RansomFix v1.0 - Xplode
# OS : Windows (TM) Code Name "Longhorn" Preinstallation Environment  (32 bits)
# Username : Système - MININT-GCBBD56 (Administrateur)

_____| Winlogon - Shell |_____

Value : explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : X:\windows\explorer.exe  [0xD41D8CD98F00B204E9800998ECF8427E]
[OK]

_____| EOF |_____





Je coince avec adwcleaner. Lorsque je le lance via l'invite de commande, je n'arrive pas à voir la fenêtre s'ouvrir.

Utilisateur anonyme · Answer

là, tu es toujours sous OTLPE je pense !


essaie de lancer une réparation du système avec ton DVD pour voir ce qu'il dit !

Mike.us · Answer

> La réparation du démarrage système ne peut pas réparer automatiquement l'ordinateur.

Comment savoir pour OTLPE ? je ne n'avais pas inséré le cd d'OTLPE car j'étais sur celui de Windows 7 pour naviguer. Ça me semble bizarre.

Utilisateur anonyme · Answer

la lettre X indique un autre lecteur :

ça peut être OTLPE ou un CD de windows  :D


as tu tenté de faire une restauration système ?

la dernière solution serait de réinstaller le système d'exploitation par dessus de celui qui se trouve sur ton pc, au moins, tu ne perderas que les rassourcis des programmes installés sur ton pc !

Mike.us · Answer

Ah ! Du coup je me pose une question... Lequel choisir ! :D
Le C: contient le système
Le E: contient tout le reste
Le X: doit être OTLPE (je pensais pas qu'il s'y soit installé au chaud)
Le H: c'est pour ma clé usb

J'ai copié les programme du H: au E:   (je pige plus iren là lol)

Utilisateur anonyme · Answer

prends la partition du système, restaure le pc dans un premier temps à une date avant l'infection, puis si celà ça ne fonctionne pas, passe à une date entèrieur !


tiens moi au courant  :D

Mike.us · Answer

Il n'y a aucune partition de système... ni de date antérieur.. rien ne fonctionne ^^"

Ça me rappel un message d'un certain "Gene Hackman" (sur le forum CCM) à ce sujet qui disait que le virus évoluait, et qu'il bloquait ces choses là (bloquer, supprimer..).

Mike.us · Answer

Après un redémarrage (encore un..) je me suis retrouvé avec le lancement automatique de "réparation du démarrage" !

Je n'ai ni cd d'installation ni clé usb.. Normalement il lance windows et me fait l'écran noir. C'est pour ça qu'en général je tape F12 pour passer par la lecture du cd et ensuite l'invite de commande mais là... pas le temps de taper sur f12 !

Purée... si j'habitais pas au rez de chaussée je sauterais par la fenêtre..

Mike.us · Answer

Au point où j'en suis, je crains devoir confier le pc au docteur.

Je tacherais de passer donner des nouvelles :)

Merci encore !

Utilisateur anonyme · Answer

bonjour,

il faut que tu vois si tu peux récuperer un DVD de windows, ou par défaut restaurer tonn pc avec la partition Recovery (si pc de marque).

à ce niveau, windows est endommagé, on ne peut rien faire de plus avec les outis que nous disposons, l'infection a dû supprimé les fichiers importants, d'ou le problème au démarrage !


je pourrait te donner toujours un fichier explorer.exe et un winlogon, il faut les implanter manuellement à leur emplacement, sur ton disque dur, mais ceci n'est pas dit que ça fonctionnerait, est ce qu'on tente le coup ?

j'ai un xp pro à la maison, si tu es partant, je te file les fichiers et leurs emplacements légitimes pour essayer,

en attendant, je file bosser,

@ ++

Mike.us · Answer

Je possède un DVD de windows 7, c'est par ce DVD que j'arrivais à avoir l'invite de commande. A ce moment là je pouvais naviguer manuellement.

Mais là je ne peux plus y accéder. La réparation se lance automatiquement et échoue à chaque fois.

Je n'ai même plus l'accès au BIOS ou au choix du démarrage par le lecteur.

J'essaie de me rappeler quel truc j'ai pu faire pour en arriver là.

Bonne journée à toi !

Utilisateur anonyme · Answer

tu es arrivé à lancer des applications à partire de ton lecteur, via l'invite de commande,


essaie de lancer l'executable, sur le DVD d'installation de seven via l'invite de commande, ça devrait fonctionner  :D

@++

Mike.us · Answer

J'aimerais pouvoir le faire ^^"

Ce matin le démarrage me donne accès à la réparation du démarrage système (qui fini par échouer) ou au windows normal (qui échoue également).

J'ai cru voir un message rapide parlant de BIOS AHCI, ça signifie quoi ?

Utilisateur anonyme · Answer

il faut pouvoir lancer une réparation, voir réinstallation de ton système depuis le DVD de windows, pas le système qui est déjà installé sur le pc.



regarde ici :

https://www.google.fr/?gws_rd=ssl#hl=fr&gs_nf=1&cp=9&gs_id=4&xhr=t&q=BIOS+AHCI&pf=p&output=search&sclient=psy-ab&oq=BIOS+AHCI&gs_l=&pbx=1&fp=1&biw=1003&bih=515&bav=on.2,or.r_gc.r_pw.r_qf.&cad=b

Mike.us · Answer

Merci pour le lien, ça me réconforte au moins sur ce point ^^

Il faudrait que je lance le dvd avant le système, mais sans l'accès au bios ou au menu boot, je ne vois pas comment faire.

Sur ce, c'est à mon tour d'aller au boulot :D

@++

Utilisateur anonyme · Answer

trouve le fichier executable sur le DVD via l'explorateur (en général setup.exe ou autorun), lance le, il va faire le reste tout seul  ;-)

@ ++

Mike.us · Answer

Désolé pour le retard..

J'ai pu récupérer mon pc suite à l'aide d'un collègue informaticien (ça ne m'a couté qu'une bouteille de wisky, moins cher et ça fait plaisir aux autres lol).
Il a pu récupérer mes données persos et nettoyer le reste pour me réinstaller windows.

Désolé de ne pas avoir trouvé "la solution adéquate" pour ceux que ça aurait aidé :)

Merci encore pour l'aide !

Virus gendarmerie / Windows 7 écran noir

22 réponses

Newsletters