Virus gendarmerie roguekiller

Résolu
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   -  
g3n-h@ckm@n Messages postés 13238 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour a tous
Je vous ecrit d un autre ordi car le mien est actuellement infecté par le virus de la gendarmerie
J ai windows 7 et je possede roguekiller sur l ordi infecté mais cependant je ne parvient pas a le demarer en mode sans echecs avec invite de commande puisque ca mets beaucoip de temps a charger les fichiers et qu au bout d un moment l ordi redemarre tout seul
Comment faut il que je procede alors pour pouvoir enlever le virus ? Je pense que le noeud du probleme est de pouvoir ouvrir l ordi de facon a pouvoir lancer roguekiller mais que dois je faire ....?

Merci beaucoup
A voir également:

11 réponses

Réponse 1 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,

En invite de commandes donc :

tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell

ferme le registre, tape shutdown -r

le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue.
2
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Ok je fais de suite merci je te dis lorsque j ai fais
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Comment je fais pour supprimer la valeur shell ? J ai bien trouver grace a tion arborescence et dans winlogon en face de shell il y a REG_SZ pour le type et explorer.exe pour donnees je dois faire quoi ? Merci encore
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
clic droit -> supprimer sur la valeur Shell
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Clique droit sur winlogon puis supprimer ? Desole de te demande pour etre bien sur car n etant pas doué je voudrais pas faire de betises tu comprends
Si je fais clique droit sur shell j ai modifier modifier données binaires supprimer ou renomer
Sije faisclique droit sur explorer.exe j ai clé valeur chaine valeur binaire ...
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Clique droit sur winlogon puis supprimer ?
SURTOUT PAS ! et c'est pas ce que j'ai demandé !

Si je fais clique droit sur shell j ai modifier modifier données binaires supprimer ou renomer
T'es au bon endroit
0
Réponse 2 / 11
yougy2 Messages postés 445 Date d'inscription   Statut Membre Dernière intervention   128
 
tu l'allumes en mode sans echec avec prise en charge réseau ou sans ?
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Avec
0
yougy2 Messages postés 445 Date d'inscription   Statut Membre Dernière intervention   128
 
essaye sans, ca lui fera des processus et des drivers en moins a charger.
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Ok je vais essayer ca tout de suite alors merci
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Ok j arrive entrer j ai le terminal c:/windows/system32/ enfin les c est des anti slach plutot je fzis quoi maintenznt ?
Merci
0
yougy2 Messages postés 445 Date d'inscription   Statut Membre Dernière intervention   128
 
non, la tu es allé en invite de commande ^^ fais un shutdown
0
Réponse 3 / 11
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Le virus redemarre quand meme en ralumant normalement
0
Réponse 4 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
c'est quelle variante que tu as ? http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
Le 1er, le 2eme ou le 3eme ?
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Reveton avec la photo webcam
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
ok donc en invite de commande tape C:\Windows\System32\rstrui.exe et valide par appui sur "Enter".
restaure ton pc à une date antérieure, ça va dégager le "virus"
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Pas mieux j ai restauré a la date la plus antérieur pourtant
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Il faut pas remplacer explorer.exe par iexplorer.exe dans le shell puis redemarrer l ordi ?
0
Réponse 6 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
non ça va juste démarrer internet explorer au lieu de démarrer l'explorateur windows et le virus va se relancer.

Fais ça : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Je peux le mettre sur une clef usb .?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
oui en fait le tuto est pas à jour mais quand tu le lance le truc tu clique sur USB et sardu va s'installer
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Ok je ferais l operation demain si ca te derange pas car je peux pas ce soir merci encore
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Salut, je suis revenu dans le regedit la ou tu m'avais demander de faire le manipulation et il y a plus shell c'est normal ???????????????????????
0
Réponse 7 / 11
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
SHELL a disparu dans winlogon depuis que j'ai fait la manip que tu m'as dis de faire (
Salut,

En invite de commandes donc :

tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell

ferme le registre, tape shutdown -r

le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue. )

Est ce normal ?????? Comment faire pour le aire réapparaitre ?????
0
Réponse 8 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut

Gné ? Pourquoi tu veux la faire revenir ? Pas besoin d'elle pour que le pc démarre.
0
G.Solti
 
bah je crois que si il y a pas d'explorer.exe dans winlogon, j'aurait un écran sans bureau ni rien non?

Je crois qu'au lieu d'effacer il fallait l'effacer et le renommer explorer.exe

Tu penses que si je reboot sur la clé usb il y a pas de problème avec la disparition d'explorer.exe ??
0
Réponse 9 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
lol je connais le sujet hein.

testé et approuvé des 100aines de fois ici même.

la seule véritable est dans la ruche HKLM pas HKCU.

mais bon si t'as pas confiance tu peux aller voir ailleurs :)
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Ne t'inquiéte pas j'ai bien confiance, je fais aujoued'hui même reboot sur clé usb

Je dois te poster le rapport de roguekiller et ne pas éaindre mon ordi infécté à la fin c'est bien ça?

Merci encore
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
j'ai fait reboot sur cd :

Bon alors j'ai fait mais l'ordi s'allume(je fais démarrage normal) , avant d'entrée le code
écran tout blanc ... bruit de l'ouverture du bureau .... le virus apparait
peut être ai-je raté quelque chose...
Je réessaye samedi soir avec quelqu'un qui maitrise mieux que
0
Réponse 10 / 11
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
Salut,
Grace à un ami on a réussit après maintes essais de télécharger roguekiller, fait scan et suppression. J'ai maintenant le fichier que Roguekiller à déposer sur le bureau, il faut que je t'envoie quoi de se dossier ??

On a aussi télécharger ensuite malwarbytes anti malwares mais après 30 minute du scan complet, j'ai un ecran bleu(numéro 1036
Signature du problème :
Nom d'événement de problème: BlueScreen
Version du système: 6.1.7601.2.1.0.768.3
Identificateur de paramètres régionaux: 1036

Informations supplémentaires sur le problème :
BCCode: 109
BCP1: A3A039D896942B1D
BCP2: B3B7465EE91268DF
BCP3: FFFFF80000B96BB0
BCP4: 0000000000000006
OS Version: 6_1_7601
Service Pack: 1_0
Product: 768_1



et donc je ne peux pas 'utiliser ce qui est problématique car il était en train de trouver des choses... As tu une idées du problème ???


Merci beaucoup de ton aide
0
Réponse 11 / 11
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut

Poste le contenu du fichier RKReport[1]
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
dans les fichier texte j'ai juste
Eula
ou bien Quarabtine Rapport ou il y a juste celà dedans:


Time : 26/05/2013 16:55:57
--------------------------
ERROR [explorer.exe.vir] -> C:plorer.exe
[skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
ERROR [explorer.exe.vir] -> C:plorer.exe
[skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat


Time : 26/05/2013 16:57:01
--------------------------
ERROR [explorer.exe.vir] -> C:plorer.exe
[skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
ERROR [explorer.exe.vir] -> C:plorer.exe
[skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
ERROR [explorer.exe.vir] -> C:plorer.exe
[skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
han c'est la variante skype.dat donc en invite de commande en mode sans échec tape ça :

del /F /Q C:\Users\DorianGerbier\AppData\Roaming\skype.dat
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
ok et ça sert à quoi?
Ca pourra régler se problème d'écran bleu que j'ai quand je lance un ogiciel(antivirus par exemple ou autre et au bout de 5-10 minutes poom écrn bleu )
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Tu trouveras de l'aide ailleurs puisque tu te résigne à te débrouiller seul et à ne pas suivre mes consignes.

Bonne chance !
0
G.Solti Messages postés 57 Date d'inscription   Statut Membre Dernière intervention   1
 
???
Pourquoi penses tu que je suis pas tes consignes ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses