Virus gendarmerie RIEN NE FONCTIONNE Résolu/Fermé

Question

Bonjour tout le monde, 


Pour info:

L'image de la version du ransomware qui a infecté mon pc portable:
https://www.malekal.com/wp-content/uploads/Urausy_nouvelle_variante.png

Mode sans échec IMPOSSIBLE
Mode sans échec avec prise en charge réseau IMPOSSIBLE
Invité de commande POSSIBLE
Mode normal IMPOSSIBLE
Points de restauration système EFFACES

Ma séquence de boot:
USB Diskette on Key/USB Hard Disk
USB CD/DVD ROM Drive
! USB Floppy
Internal VD/DVD Rom Drive
Notebook Hard Drive
! Network adapter


Cela fait 2 jours que j'ai eu ce ransomware après avoir cliqué sur un lien (2ème fois que je me fait avoir en 2 jours).
La première fois j'ai pu résoudre mon problème en faisant une Restauration de système via l'invité de commande (rstrui.exe).
Seulement, maintenant que j'ai à nouveau ce virus, j'ai voulu refaire la même manip mais le point de restauration de système a été supprimé cette fois-ci!

J'ai donc tapé regedit dans l'invité de commandes pour chercher dans HKEY_LOCAL_MACHINE\...\Windows NT\Currentversion\Shell
et en modifier la propriété
Mais c'était déjà écrit explorer.exe
je l'ai quand même fait (j'ai supprimé le "explorer.exe", validé, puis j'ai remis "explorer.exe"
aucun résultat quand je redémarre

J'ai voulu mettre kaspersky rescue disk sur une clef USB

à laide de rescue2usb, 
donc je mets en destination folder le lecteur K: où se trouve ma clef, il installe quelques fichiers dont Grub, puis gros mystère, je ne peux pas sélectionner la clef USB K: dans la case [Support USB], donc j'abandonne ce rescue2usb

Je tente cette fois avec Unetbootin (pour installer kaspersky rescue disk.iso sur mon USB toujours)
une fois l'installation terminée, sans problème, je retire ma clef de l'ordinateur non infecté et je l'insère sur mon portable infecté
Je démarre, dans ma séquence de boot l'USB drive est bien en tête
et juste après le premier écran HP il m'indique:
"Retirez le disque
Pressez une touche pour redémarrer"

J'ai également tenté avec le logiciel XBOOT d'installer l'iso sur ma clef, mais ça ne boot pas.

J'ai voulu tenter la même chose avec l'iso de Malekal, mais même histoire, je n'arrive pas à faire boot ma clef usb

Vraisemblablement le problème est le boot sur ma clef usb...
Mais je peux me tromper, j'y connais pas grand chose après tout je sais pas si ma clef USB est bootable.
Après comme je vous ai dit tout en haut, j'ai accès à l'invité de commandes, donc s'il y a une solution de ce côté là je prends!

Je crois avoir fait le tour, je suis à cours de solutions.
J'ai bien du passer 5-6h à chercher entre commentcamarche, le forum de malekal, mais je ne vois rien de plus que je puisse faire...

Merci de m'aider à récupérer sans pour autant passer par la case format...


Configuration: Windows XP / Firefox 16.0

Malekal_morte- · Answer

Salut,


Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Enregistre le rapport et poste le ici dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.

juju666 · Answer

Salut,

&#9654 Télécharge sur ta clé USB:  RogueKiller 

&#9654 Démarre en invite sur le PC malade et tape cd X: (où X est la lettre de ta clé)

&#9654 Tape RogueKiller.exe et RogueKiller devrait se lancer

&#9654 Attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan puis Suppression
&#9654 Une fois terminé, redémarre.

A+

WickedCat · Answer

Merci de vos réponses tout d'abord!

J'ai déjà tenté la méthode du live CD de Malekal, mais la clef USB ne BOOT PAS!

Pour roguekiller,
je l'ai téléchargé et mis dans ma clef USB
lorsque je suis sur l'invité de commandes 
je me retrouve sur: c:\Windows\System32
je tape donc cd D:
et il m'affiche ceci:

C:\Windows\System32
D:\

C:\>

Je ne peux pas écrire devant le D:\ ?????? Il a l'air de rester sur le C:\

Bref j'ai quand même le coup, mais évidemment il ne trouve pas de roguekiller
j'ai fait la même chose jusqu'à I:, les lecteurs sont introuvables au delà.

Vous avez une réponse à ça ?
merci encore

juju666 · Answer

Et si tu tape juste D: ?

WickedCat · Answer

Il faut tapper:
D:

pour changer de lecteur
erreur de ma part, désolé
je scan en ce moment même, je supprime après et je redémarre en croisant les doigts!

juju666 · Answer

ok :)
tu posteras le rapport qui sera sur ta clé ;)

WickedCat · Answer

Bon il était bien parti pour redémarrer
une fois avoir passé le logo windows et son chargement, je me préparais à retrouver mon bureau
mais il a redémarré une 2ème fois en me proposant une réparation des fichiers windows

Startup repair
je me retrouve sur un fond bleu à voir une barre de progression avancer

j'espère que c'est sur la bonne voie ça me plait moyen

juju666 · Answer

ça va d'aller :)
pour patienter :  https://www.youtube.com/watch?v=q2-A22d4EUM

WickedCat · Answer

Je devais poster le rapport ?
J'ai directement supprimé comme tu me l'avais indiqué en fait, tu me fais flipper là

je suis toujours sur mon Startup Repair
avec en état de progression Attempting repairs...
j'espère que ça se bloquera pas

juju666 · Answer

nan nan j'avais bien dis de faire suppression directement t'en fais pas.

WickedCat · Answer

Ouf

Mais ce 2ème redémarrage suivi d'un Startup repair sur fond bleu en 800x600
ça me dit rien qui vaille, et j'ose pas l'interrompre maintenant

WickedCat · Answer

Je laisse continuer le Startup Repair ou non ?

J'ose pas l'interrompre, mais j'ai comme l'impression qu'il tourne en boucle sans rien faire.

juju666 · Answer

Laisse travailler :)

WickedCat · Answer

Mouerf, le startup repair n'a pas pu trouver de solutions

vu que j'ai un HP, il me propore l'outil HP Recovery Manager

il me propose diverses options en 3 catégories, mais ça ressemble à du format...

Catégorie 1: J'ai besoin d'aide immédiatement
- Restauration de système Microsoft
- Réinstallation système
- Réccupération de l'image réduite

Catégorie 2: J'aimerais identifier tous les problèmes
- Exécuter le contrôle de l'ordinateur

Catégorie 3: J'aimerais prendre des précautions
- Programme de sauvegarde des fichiers (il me demande quels types de fichirs je veux sauvegarder, images, etc.. ça a l'air idiot et pas crédible)

Je redémarre en mode bourrin?

juju666 · Answer

ouais si pas on verra pour une solution annexe

WickedCat · Answer

Non il redémarre en boucle maintenant c'est pire...

Je l'allume
écran HP
écran chargement de Windows
il redémarre

Je ne peux pas atteindre le bureau

Au redémarrage il me propose:

Lancer l'outil de redémarrage système (recommandé)
Démarrer Windows normalement (en boucle donc)

Que faire... ?

juju666 · Answer

Lancer l'outil de redémarrage système (recommandé) 

ensuite tu choisis  

- HP Recovery Manager

- Catégorie 1: J'ai besoin d'aide immédiatement 

- Récupération de l'image réduite

WickedCat · Answer

Ca correspond à quoi ?

Tout est sur une seule partition (OS + données)

J'aimerais ne pas les perdre

juju666 · Answer

ça touche pas aux fichiers perso, juste à l'OS. 

1ère règle : on fait des sauvegardes sur des supports amovibles ;) 
2ème règle : on réfléchit PUIS on clique, pas l'inverse
3ème règle : on tient ses programmes (java, adobe, ....) à jour :D 
  
 .::. Contributeur Sécurité .::.

Malekal_morte- · Answer

Il peut aussi tenter de supprimer le fichier malicieux skype.dat depuis l'invites de commandes en mode sans échec. 

il se trouve dans C:\Users\session\AppData\Roaming\skype.dat  

donc en invites de commandes
cd \ 
cd Users 
cd sessioninfectee (à remplacer 
cd AppData 
cd Roaming 
dir et là on doit voir skype.dat 
del /F /Q skype.dat 
et redémarrage 

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

WickedCat · Answer

T'es sûr de toi sur l'image réduite ?
J'ai pas le CD d'installation de windows, je sais pas ce que mes parents en ont fait
Et j'ai beaucoup de données relatives à mes études qui sont très importantes

WickedCat · Answer

au mon dieu c'est skype.dat le fichier à la base de tout ça ?
J'avais sous l'invité de commande fait CTRL ALT SUPPR pour lancer explorer.exe, et je voyais ce fichier dans roaming
je me demande ce que c'était mais j'ai trop hésité..

Maintenant quand je fais F8 au démarrage je vois le mode sans échec et l'invite de commandes, mais il redémarre après avoir chargé les fichiers windows...

juju666 · Answer

Poste le rapport RogueKiller !
On parle dans le vide là, on sait pas ce qu'il a fait, comment veux-tu quelconque aide ?

WickedCat · Answer

Salut,

Bah je sais pas comment utiliser Roguekiller, tout ce que j'ai fait à ce sujet c'est:

- je l'ai mis dans la clef usb
- j'insère la clef usb dans l'ordi infecté
- je démarre en invité de commandes
- H: (mon port qui avait la clef)
- roguekiller.exe
- scan
- suppression

Après le scan il m'a affiché toute une liste de ligne du registre je pense, dont Shell, elles étaient toutes écrites en rouge je crois et cochées
Donc j'ai fait Suppression comme tu me l'avais conseillé
Puis ça m'a demandé de redémarrer l'ordinateur

Résultat:

Je n'ai pas le résultat sur ma clef usb, je pensais que ça s'écrirait tout seul et même pas eu le temps (1ère fois que j'utilisais roguekiller)
Windows ne charge pas jusqu'au bout
je ne peux plus lancer l'invité de commandes forcément vu que je peux pas charger windows
le pc redémarre sans cesse pendant le chargement de windows

juju666 · Answer

Ah ben il aurait du écrire le résultat sur la clé usb en principe.
Y'a pas de dossier Quarantine à côté de l'exécutable ? 
Comme disait mak ici voir à faire un chkdsk : https://forums.commentcamarche.net/forum/affich-27356208-virus-gendarmerie-rien-ne-fonctionne#27

Tu as un outil multiconsoles ici : http://www.security-helpzone.com/Tools/g3n/Multi_consoles.iso

à tester, j'ai pas de tuto sous la main.

WickedCat · Answer

J'ai confié mon portable à un informaticien qui extrait mon disque pour extraire les données sur un DD externe et il installe windows sur le disque du portable je pense donc qu'il sera version usine.

J'aurai au moins mes données de sauvegardées sur mon DD externe.

Merci quand même pour votre aide même si j'ai pas pu le réparer moi-même, c'était sympa de m'avoir répondu.

Allez ciao ;)

Malekal_morte- · Answer

:)

Pour ne pas le rechopper.


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Virus gendarmerie RIEN NE FONCTIONNE

27 réponses

Discussions similaires

Newsletters