Virus gendarmerie roguekiller

Résolu
G.Solti Messages postés 61 Statut Membre -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour a tous
Je vous ecrit d un autre ordi car le mien est actuellement infecté par le virus de la gendarmerie
J ai windows 7 et je possede roguekiller sur l ordi infecté mais cependant je ne parvient pas a le demarer en mode sans echecs avec invite de commande puisque ca mets beaucoip de temps a charger les fichiers et qu au bout d un moment l ordi redemarre tout seul
Comment faut il que je procede alors pour pouvoir enlever le virus ? Je pense que le noeud du probleme est de pouvoir ouvrir l ordi de facon a pouvoir lancer roguekiller mais que dois je faire ....?

Merci beaucoup

11 réponses

Résumé de la discussion

Le virus de la gendarmerie sur Windows 7 bloque le démarrage et rend difficile l’accès en mode sans échec avec invite de commandes, ce qui complique l’utilisation d’outils comme RogueKiller. L’approche conseillée consiste à modifier le registre pour supprimer la valeur shell de Winlogon, ce qui autorise un démarrage normal et permet ensuite d’éliminer l’infection de manière plus complète. Cependant, cette opération ne retire pas le fichier malveillant et doit être suivie d’un nettoyage après démarrage, par exemple avec RogueKiller et Malwarebytes, afin d’éviter une réinfection ou des redémarrages. Des symptômes complémentaires comme des redémarrages ou des écrans bleus peuvent apparaître; il peut être nécessaire d’utiliser une clé USB ou un outil de maintenance pour accéder au système sans s’enliser.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    En invite de commandes donc :

    tape regedit

    le registre s'ouvre

    deplie avec les petits "+"

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows NT
    \CurrentVersion
    \Winlogon

    clique gauche sur winlogon

    tableau de droite , supprime la valeur shell

    ferme le registre, tape shutdown -r

    le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
    Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue.
    2
    1. G.Solti Messages postés 61 Statut Membre 1
       
      Ok je fais de suite merci je te dis lorsque j ai fais
      0
    2. G.Solti Messages postés 61 Statut Membre 1
       
      Comment je fais pour supprimer la valeur shell ? J ai bien trouver grace a tion arborescence et dans winlogon en face de shell il y a REG_SZ pour le type et explorer.exe pour donnees je dois faire quoi ? Merci encore
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      clic droit -> supprimer sur la valeur Shell
      0
    4. G.Solti Messages postés 61 Statut Membre 1
       
      Clique droit sur winlogon puis supprimer ? Desole de te demande pour etre bien sur car n etant pas doué je voudrais pas faire de betises tu comprends
      Si je fais clique droit sur shell j ai modifier modifier données binaires supprimer ou renomer
      Sije faisclique droit sur explorer.exe j ai clé valeur chaine valeur binaire ...
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Clique droit sur winlogon puis supprimer ?
      SURTOUT PAS ! et c'est pas ce que j'ai demandé !

      Si je fais clique droit sur shell j ai modifier modifier données binaires supprimer ou renomer
      T'es au bon endroit
      0
  2. yougy2 Messages postés 522 Statut Membre 129
     
    tu l'allumes en mode sans echec avec prise en charge réseau ou sans ?
    0
    1. G.Solti Messages postés 61 Statut Membre 1
       
      Avec
      0
    2. yougy2 Messages postés 522 Statut Membre 129
       
      essaye sans, ca lui fera des processus et des drivers en moins a charger.
      0
    3. G.Solti Messages postés 61 Statut Membre 1
       
      Ok je vais essayer ca tout de suite alors merci
      0
    4. G.Solti Messages postés 61 Statut Membre 1
       
      Ok j arrive entrer j ai le terminal c:/windows/system32/ enfin les c est des anti slach plutot je fzis quoi maintenznt ?
      Merci
      0
    5. yougy2 Messages postés 522 Statut Membre 129
       
      non, la tu es allé en invite de commande ^^ fais un shutdown
      0
  3. G.Solti Messages postés 61 Statut Membre 1
     
    Le virus redemarre quand meme en ralumant normalement
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    c'est quelle variante que tu as ? http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
    Le 1er, le 2eme ou le 3eme ?
    0
    1. G.Solti Messages postés 61 Statut Membre 1
       
      Reveton avec la photo webcam
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok donc en invite de commande tape C:\Windows\System32\rstrui.exe et valide par appui sur "Enter".
      restaure ton pc à une date antérieure, ça va dégager le "virus"
      0
    3. G.Solti Messages postés 61 Statut Membre 1
       
      Pas mieux j ai restauré a la date la plus antérieur pourtant
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. G.Solti Messages postés 61 Statut Membre 1
     
    Il faut pas remplacer explorer.exe par iexplorer.exe dans le shell puis redemarrer l ordi ?
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    non ça va juste démarrer internet explorer au lieu de démarrer l'explorateur windows et le virus va se relancer.

    Fais ça : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live
    0
    1. G.Solti Messages postés 61 Statut Membre 1
       
      Je peux le mettre sur une clef usb .?
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui en fait le tuto est pas à jour mais quand tu le lance le truc tu clique sur USB et sardu va s'installer
      0
    3. G.Solti Messages postés 61 Statut Membre 1
       
      Ok je ferais l operation demain si ca te derange pas car je peux pas ce soir merci encore
      0
    4. G.Solti Messages postés 61 Statut Membre 1
       
      Salut, je suis revenu dans le regedit la ou tu m'avais demander de faire le manipulation et il y a plus shell c'est normal ???????????????????????
      0
  8. G.Solti Messages postés 61 Statut Membre 1
     
    SHELL a disparu dans winlogon depuis que j'ai fait la manip que tu m'as dis de faire (
    Salut,

    En invite de commandes donc :

    tape regedit

    le registre s'ouvre

    deplie avec les petits "+"

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows NT
    \CurrentVersion
    \Winlogon

    clique gauche sur winlogon

    tableau de droite , supprime la valeur shell

    ferme le registre, tape shutdown -r

    le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
    Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue. )

    Est ce normal ?????? Comment faire pour le aire réapparaitre ?????
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut

    Gné ? Pourquoi tu veux la faire revenir ? Pas besoin d'elle pour que le pc démarre.
    0
    1. G.Solti
       
      bah je crois que si il y a pas d'explorer.exe dans winlogon, j'aurait un écran sans bureau ni rien non?

      Je crois qu'au lieu d'effacer il fallait l'effacer et le renommer explorer.exe

      Tu penses que si je reboot sur la clé usb il y a pas de problème avec la disparition d'explorer.exe ??
      0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    lol je connais le sujet hein.

    testé et approuvé des 100aines de fois ici même.

    la seule véritable est dans la ruche HKLM pas HKCU.

    mais bon si t'as pas confiance tu peux aller voir ailleurs :)
    0
    1. G.Solti Messages postés 61 Statut Membre 1
       
      Ne t'inquiéte pas j'ai bien confiance, je fais aujoued'hui même reboot sur clé usb

      Je dois te poster le rapport de roguekiller et ne pas éaindre mon ordi infécté à la fin c'est bien ça?

      Merci encore
      0
    2. G.Solti Messages postés 61 Statut Membre 1
       
      j'ai fait reboot sur cd :

      Bon alors j'ai fait mais l'ordi s'allume(je fais démarrage normal) , avant d'entrée le code
      écran tout blanc ... bruit de l'ouverture du bureau .... le virus apparait
      peut être ai-je raté quelque chose...
      Je réessaye samedi soir avec quelqu'un qui maitrise mieux que
      0
  11. G.Solti Messages postés 61 Statut Membre 1
     
    Salut,
    Grace à un ami on a réussit après maintes essais de télécharger roguekiller, fait scan et suppression. J'ai maintenant le fichier que Roguekiller à déposer sur le bureau, il faut que je t'envoie quoi de se dossier ??

    On a aussi télécharger ensuite malwarbytes anti malwares mais après 30 minute du scan complet, j'ai un ecran bleu(numéro 1036
    Signature du problème :
    Nom d'événement de problème: BlueScreen
    Version du système: 6.1.7601.2.1.0.768.3
    Identificateur de paramètres régionaux: 1036

    Informations supplémentaires sur le problème :
    BCCode: 109
    BCP1: A3A039D896942B1D
    BCP2: B3B7465EE91268DF
    BCP3: FFFFF80000B96BB0
    BCP4: 0000000000000006
    OS Version: 6_1_7601
    Service Pack: 1_0
    Product: 768_1

    et donc je ne peux pas 'utiliser ce qui est problématique car il était en train de trouver des choses... As tu une idées du problème ???

    Merci beaucoup de ton aide
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut

    Poste le contenu du fichier RKReport[1]
    0
    1. G.Solti Messages postés 61 Statut Membre 1
       
      dans les fichier texte j'ai juste
      Eula
      ou bien Quarabtine Rapport ou il y a juste celà dedans:


      Time : 26/05/2013 16:55:57
      --------------------------
      ERROR [explorer.exe.vir] -> C:plorer.exe
      [skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
      ERROR [explorer.exe.vir] -> C:plorer.exe
      [skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat


      Time : 26/05/2013 16:57:01
      --------------------------
      ERROR [explorer.exe.vir] -> C:plorer.exe
      [skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
      ERROR [explorer.exe.vir] -> C:plorer.exe
      [skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
      ERROR [explorer.exe.vir] -> C:plorer.exe
      [skype.dat.vir] -> C:\Users\DorianGerbier\AppData\Roaming\skype.dat
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      han c'est la variante skype.dat donc en invite de commande en mode sans échec tape ça :

      del /F /Q C:\Users\DorianGerbier\AppData\Roaming\skype.dat
      0
    3. G.Solti Messages postés 61 Statut Membre 1
       
      ok et ça sert à quoi?
      Ca pourra régler se problème d'écran bleu que j'ai quand je lance un ogiciel(antivirus par exemple ou autre et au bout de 5-10 minutes poom écrn bleu )
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Tu trouveras de l'aide ailleurs puisque tu te résigne à te débrouiller seul et à ne pas suivre mes consignes.

      Bonne chance !
      0
    5. G.Solti Messages postés 61 Statut Membre 1
       
      ???
      Pourquoi penses tu que je suis pas tes consignes ?
      0