Virus gendarmerie RIEN NE FONCTIONNE
Résolu
WickedCat
Messages postés
14
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour tout le monde,
Pour info:
L'image de la version du ransomware qui a infecté mon pc portable:
https://www.malekal.com/wp-content/uploads/Urausy_nouvelle_variante.png
Mode sans échec IMPOSSIBLE
Mode sans échec avec prise en charge réseau IMPOSSIBLE
Invité de commande POSSIBLE
Mode normal IMPOSSIBLE
Points de restauration système EFFACES
Ma séquence de boot:
USB Diskette on Key/USB Hard Disk
USB CD/DVD ROM Drive
! USB Floppy
Internal VD/DVD Rom Drive
Notebook Hard Drive
! Network adapter
Cela fait 2 jours que j'ai eu ce ransomware après avoir cliqué sur un lien (2ème fois que je me fait avoir en 2 jours).
La première fois j'ai pu résoudre mon problème en faisant une Restauration de système via l'invité de commande (rstrui.exe).
Seulement, maintenant que j'ai à nouveau ce virus, j'ai voulu refaire la même manip mais le point de restauration de système a été supprimé cette fois-ci!
J'ai donc tapé regedit dans l'invité de commandes pour chercher dans HKEY_LOCAL_MACHINE\...\Windows NT\Currentversion\Shell
et en modifier la propriété
Mais c'était déjà écrit explorer.exe
je l'ai quand même fait (j'ai supprimé le "explorer.exe", validé, puis j'ai remis "explorer.exe"
aucun résultat quand je redémarre
J'ai voulu mettre kaspersky rescue disk sur une clef USB
à laide de rescue2usb,
donc je mets en destination folder le lecteur K: où se trouve ma clef, il installe quelques fichiers dont Grub, puis gros mystère, je ne peux pas sélectionner la clef USB K: dans la case [Support USB], donc j'abandonne ce rescue2usb
Je tente cette fois avec Unetbootin (pour installer kaspersky rescue disk.iso sur mon USB toujours)
une fois l'installation terminée, sans problème, je retire ma clef de l'ordinateur non infecté et je l'insère sur mon portable infecté
Je démarre, dans ma séquence de boot l'USB drive est bien en tête
et juste après le premier écran HP il m'indique:
"Retirez le disque
Pressez une touche pour redémarrer"
J'ai également tenté avec le logiciel XBOOT d'installer l'iso sur ma clef, mais ça ne boot pas.
J'ai voulu tenter la même chose avec l'iso de Malekal, mais même histoire, je n'arrive pas à faire boot ma clef usb
Vraisemblablement le problème est le boot sur ma clef usb...
Mais je peux me tromper, j'y connais pas grand chose après tout je sais pas si ma clef USB est bootable.
Après comme je vous ai dit tout en haut, j'ai accès à l'invité de commandes, donc s'il y a une solution de ce côté là je prends!
Je crois avoir fait le tour, je suis à cours de solutions.
J'ai bien du passer 5-6h à chercher entre commentcamarche, le forum de malekal, mais je ne vois rien de plus que je puisse faire...
Merci de m'aider à récupérer sans pour autant passer par la case format...
Pour info:
L'image de la version du ransomware qui a infecté mon pc portable:
https://www.malekal.com/wp-content/uploads/Urausy_nouvelle_variante.png
Mode sans échec IMPOSSIBLE
Mode sans échec avec prise en charge réseau IMPOSSIBLE
Invité de commande POSSIBLE
Mode normal IMPOSSIBLE
Points de restauration système EFFACES
Ma séquence de boot:
USB Diskette on Key/USB Hard Disk
USB CD/DVD ROM Drive
! USB Floppy
Internal VD/DVD Rom Drive
Notebook Hard Drive
! Network adapter
Cela fait 2 jours que j'ai eu ce ransomware après avoir cliqué sur un lien (2ème fois que je me fait avoir en 2 jours).
La première fois j'ai pu résoudre mon problème en faisant une Restauration de système via l'invité de commande (rstrui.exe).
Seulement, maintenant que j'ai à nouveau ce virus, j'ai voulu refaire la même manip mais le point de restauration de système a été supprimé cette fois-ci!
J'ai donc tapé regedit dans l'invité de commandes pour chercher dans HKEY_LOCAL_MACHINE\...\Windows NT\Currentversion\Shell
et en modifier la propriété
Mais c'était déjà écrit explorer.exe
je l'ai quand même fait (j'ai supprimé le "explorer.exe", validé, puis j'ai remis "explorer.exe"
aucun résultat quand je redémarre
J'ai voulu mettre kaspersky rescue disk sur une clef USB
à laide de rescue2usb,
donc je mets en destination folder le lecteur K: où se trouve ma clef, il installe quelques fichiers dont Grub, puis gros mystère, je ne peux pas sélectionner la clef USB K: dans la case [Support USB], donc j'abandonne ce rescue2usb
Je tente cette fois avec Unetbootin (pour installer kaspersky rescue disk.iso sur mon USB toujours)
une fois l'installation terminée, sans problème, je retire ma clef de l'ordinateur non infecté et je l'insère sur mon portable infecté
Je démarre, dans ma séquence de boot l'USB drive est bien en tête
et juste après le premier écran HP il m'indique:
"Retirez le disque
Pressez une touche pour redémarrer"
J'ai également tenté avec le logiciel XBOOT d'installer l'iso sur ma clef, mais ça ne boot pas.
J'ai voulu tenter la même chose avec l'iso de Malekal, mais même histoire, je n'arrive pas à faire boot ma clef usb
Vraisemblablement le problème est le boot sur ma clef usb...
Mais je peux me tromper, j'y connais pas grand chose après tout je sais pas si ma clef USB est bootable.
Après comme je vous ai dit tout en haut, j'ai accès à l'invité de commandes, donc s'il y a une solution de ce côté là je prends!
Je crois avoir fait le tour, je suis à cours de solutions.
J'ai bien du passer 5-6h à chercher entre commentcamarche, le forum de malekal, mais je ne vois rien de plus que je puisse faire...
Merci de m'aider à récupérer sans pour autant passer par la case format...
A voir également:
- Virus gendarmerie RIEN NE FONCTIONNE
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Gendarmerie qui appelle avec un portable - Forum Vos droits sur internet
27 réponses
ça touche pas aux fichiers perso, juste à l'OS.
1ère règle : on fait des sauvegardes sur des supports amovibles ;)
2ème règle : on réfléchit PUIS on clique, pas l'inverse
3ème règle : on tient ses programmes (java, adobe, ....) à jour :D
.::. Contributeur Sécurité .::.
1ère règle : on fait des sauvegardes sur des supports amovibles ;)
2ème règle : on réfléchit PUIS on clique, pas l'inverse
3ème règle : on tient ses programmes (java, adobe, ....) à jour :D
.::. Contributeur Sécurité .::.
Salut,
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Enregistre le rapport et poste le ici dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Enregistre le rapport et poste le ici dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
Salut,
▶ Télécharge sur ta clé USB: RogueKiller
▶ Démarre en invite sur le PC malade et tape cd X: (où X est la lettre de ta clé)
▶ Tape RogueKiller.exe et RogueKiller devrait se lancer
▶ Attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan puis Suppression
▶ Une fois terminé, redémarre.
A+
▶ Télécharge sur ta clé USB: RogueKiller
▶ Démarre en invite sur le PC malade et tape cd X: (où X est la lettre de ta clé)
▶ Tape RogueKiller.exe et RogueKiller devrait se lancer
▶ Attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan puis Suppression
▶ Une fois terminé, redémarre.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci de vos réponses tout d'abord!
J'ai déjà tenté la méthode du live CD de Malekal, mais la clef USB ne BOOT PAS!
Pour roguekiller,
je l'ai téléchargé et mis dans ma clef USB
lorsque je suis sur l'invité de commandes
je me retrouve sur: c:\Windows\System32
je tape donc cd D:
et il m'affiche ceci:
C:\Windows\System32
D:\
C:\>
Je ne peux pas écrire devant le D:\ ?????? Il a l'air de rester sur le C:\
Bref j'ai quand même le coup, mais évidemment il ne trouve pas de roguekiller
j'ai fait la même chose jusqu'à I:, les lecteurs sont introuvables au delà.
Vous avez une réponse à ça ?
merci encore
J'ai déjà tenté la méthode du live CD de Malekal, mais la clef USB ne BOOT PAS!
Pour roguekiller,
je l'ai téléchargé et mis dans ma clef USB
lorsque je suis sur l'invité de commandes
je me retrouve sur: c:\Windows\System32
je tape donc cd D:
et il m'affiche ceci:
C:\Windows\System32
D:\
C:\>
Je ne peux pas écrire devant le D:\ ?????? Il a l'air de rester sur le C:\
Bref j'ai quand même le coup, mais évidemment il ne trouve pas de roguekiller
j'ai fait la même chose jusqu'à I:, les lecteurs sont introuvables au delà.
Vous avez une réponse à ça ?
merci encore
Il faut tapper:
D:
pour changer de lecteur
erreur de ma part, désolé
je scan en ce moment même, je supprime après et je redémarre en croisant les doigts!
D:
pour changer de lecteur
erreur de ma part, désolé
je scan en ce moment même, je supprime après et je redémarre en croisant les doigts!
Bon il était bien parti pour redémarrer
une fois avoir passé le logo windows et son chargement, je me préparais à retrouver mon bureau
mais il a redémarré une 2ème fois en me proposant une réparation des fichiers windows
Startup repair
je me retrouve sur un fond bleu à voir une barre de progression avancer
j'espère que c'est sur la bonne voie ça me plait moyen
une fois avoir passé le logo windows et son chargement, je me préparais à retrouver mon bureau
mais il a redémarré une 2ème fois en me proposant une réparation des fichiers windows
Startup repair
je me retrouve sur un fond bleu à voir une barre de progression avancer
j'espère que c'est sur la bonne voie ça me plait moyen
Je devais poster le rapport ?
J'ai directement supprimé comme tu me l'avais indiqué en fait, tu me fais flipper là
je suis toujours sur mon Startup Repair
avec en état de progression Attempting repairs...
j'espère que ça se bloquera pas
J'ai directement supprimé comme tu me l'avais indiqué en fait, tu me fais flipper là
je suis toujours sur mon Startup Repair
avec en état de progression Attempting repairs...
j'espère que ça se bloquera pas
Ouf
Mais ce 2ème redémarrage suivi d'un Startup repair sur fond bleu en 800x600
ça me dit rien qui vaille, et j'ose pas l'interrompre maintenant
Mais ce 2ème redémarrage suivi d'un Startup repair sur fond bleu en 800x600
ça me dit rien qui vaille, et j'ose pas l'interrompre maintenant
Je laisse continuer le Startup Repair ou non ?
J'ose pas l'interrompre, mais j'ai comme l'impression qu'il tourne en boucle sans rien faire.
J'ose pas l'interrompre, mais j'ai comme l'impression qu'il tourne en boucle sans rien faire.
Mouerf, le startup repair n'a pas pu trouver de solutions
vu que j'ai un HP, il me propore l'outil HP Recovery Manager
il me propose diverses options en 3 catégories, mais ça ressemble à du format...
Catégorie 1: J'ai besoin d'aide immédiatement
- Restauration de système Microsoft
- Réinstallation système
- Réccupération de l'image réduite
Catégorie 2: J'aimerais identifier tous les problèmes
- Exécuter le contrôle de l'ordinateur
Catégorie 3: J'aimerais prendre des précautions
- Programme de sauvegarde des fichiers (il me demande quels types de fichirs je veux sauvegarder, images, etc.. ça a l'air idiot et pas crédible)
Je redémarre en mode bourrin?
vu que j'ai un HP, il me propore l'outil HP Recovery Manager
il me propose diverses options en 3 catégories, mais ça ressemble à du format...
Catégorie 1: J'ai besoin d'aide immédiatement
- Restauration de système Microsoft
- Réinstallation système
- Réccupération de l'image réduite
Catégorie 2: J'aimerais identifier tous les problèmes
- Exécuter le contrôle de l'ordinateur
Catégorie 3: J'aimerais prendre des précautions
- Programme de sauvegarde des fichiers (il me demande quels types de fichirs je veux sauvegarder, images, etc.. ça a l'air idiot et pas crédible)
Je redémarre en mode bourrin?
Non il redémarre en boucle maintenant c'est pire...
Je l'allume
écran HP
écran chargement de Windows
il redémarre
Je ne peux pas atteindre le bureau
Au redémarrage il me propose:
Lancer l'outil de redémarrage système (recommandé)
Démarrer Windows normalement (en boucle donc)
Que faire... ?
Je l'allume
écran HP
écran chargement de Windows
il redémarre
Je ne peux pas atteindre le bureau
Au redémarrage il me propose:
Lancer l'outil de redémarrage système (recommandé)
Démarrer Windows normalement (en boucle donc)
Que faire... ?
Lancer l'outil de redémarrage système (recommandé)
ensuite tu choisis
- HP Recovery Manager
- Catégorie 1: J'ai besoin d'aide immédiatement
- Récupération de l'image réduite
ensuite tu choisis
- HP Recovery Manager
- Catégorie 1: J'ai besoin d'aide immédiatement
- Récupération de l'image réduite
Il peut aussi tenter de supprimer le fichier malicieux skype.dat depuis l'invites de commandes en mode sans échec.
il se trouve dans C:\Users\session\AppData\Roaming\skype.dat
donc en invites de commandes
cd \
cd Users
cd sessioninfectee (à remplacer
cd AppData
cd Roaming
dir et là on doit voir skype.dat
del /F /Q skype.dat
et redémarrage
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
il se trouve dans C:\Users\session\AppData\Roaming\skype.dat
donc en invites de commandes
cd \
cd Users
cd sessioninfectee (à remplacer
cd AppData
cd Roaming
dir et là on doit voir skype.dat
del /F /Q skype.dat
et redémarrage
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
et aussi tenter une autre prise USB : https://forums.commentcamarche.net/forum/affich-27356208-virus-gendarmerie-rien-ne-fonctionne#4
Non pour la clef Shell.
La clef Shell est lu quand winlogon se lance par userinit, c'est au moment où le bureau est censé se charger.
Au pire tu as pas de shell donc pas de bureau.
Si ça reboot avant c'est un autre prb car bcp trop en amont.
Peut-être que RogueKiller a viré des trucs qui faut pas ou un autre prb.
C'est difficile à dire sans le rapport.
Des fois aussi, c'est un prb sur le systèmes de fichiers, comme les gens reboot le Windows sur la page du ransomware.
Suffit de faire un chkdsk.
La clef Shell est lu quand winlogon se lance par userinit, c'est au moment où le bureau est censé se charger.
Au pire tu as pas de shell donc pas de bureau.
Si ça reboot avant c'est un autre prb car bcp trop en amont.
Peut-être que RogueKiller a viré des trucs qui faut pas ou un autre prb.
C'est difficile à dire sans le rapport.
Des fois aussi, c'est un prb sur le systèmes de fichiers, comme les gens reboot le Windows sur la page du ransomware.
Suffit de faire un chkdsk.
Donc.. Si je fais:
Lancer l'outil de redémarrage système (recommandé)
ensuite
- HP Recovery Manager
- Catégorie 1: J'ai besoin d'aide immédiatement
- Récupération de l'image réduite
Est-ce que vous pouvez m'assurer que je ne perdrai pas mes données ?
Mais sinon il me reste quoi comme solution moins brutale.. ?
Lancer l'outil de redémarrage système (recommandé)
ensuite
- HP Recovery Manager
- Catégorie 1: J'ai besoin d'aide immédiatement
- Récupération de l'image réduite
Est-ce que vous pouvez m'assurer que je ne perdrai pas mes données ?
Mais sinon il me reste quoi comme solution moins brutale.. ?
