Sujet Précédent Sujet Suivant

Virus ukash gendarmerie

Fermé
Pika68 - 14 mars 2014 à 21:05
 Utilisateur anonyme - 15 mars 2014 à 00:09
Bonjour,

Je poste ce premier message car je suis confronté comme un grand nombre d'internaute au fameux virus type gendarmerie qui exige un paiement ukash pour débloquer.

Le mien se présente sous la forme "reverton" avec la web cam à côté de mon adresse ip.

J'ai longuement pris le temps de regarder tout les posts sur le sujet et j'ai tenté les différentes manipulation, et notamment le mode sans échec.

Par contre lorsque je le lance l'ordinateur redémarre illico avant même de charger le bureau.

J'ai tenté avec l'invit de commande mais lorsque je veux inscrire %windir% il ne connaît pas

J'arrive à rentrer dans le dossier c:windows\system32\restore mais la par contre il ne connaît pas rstrui.exe

J'ai à peu près tout essayé mais rien ne fonctionne.
Et pour info le lecteur CD ne fonctionne pas....

Avez vous une idée?

Merci d'avance de votre aide

Cdt

10 réponses

Réponse 1 / 10
Utilisateur anonyme
14 mars 2014 à 21:11
Bonsoir

Quel est ton système d'exploitation?

@+
0
Pika68
14 mars 2014 à 21:22
Pardon, détail essentiel

Windows XP service pack 3
0
Réponse 2 / 10
Utilisateur anonyme
14 mars 2014 à 21:27
Re

Tu reprends avec ceci:

Tu procèdes comme pour accéder au mode sans échec mais tu choisis:

Invite de commande en mode sans échec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace

cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir :
C : \windows \system32 \restore> rstrui

Cela te permettra d'accéder à la restauration

Mais ce n'est pas fini ...


@+
0
Réponse 3 / 10
Pika68
14 mars 2014 à 22:30
Re

Lorsque je mets cd@windows, l'info suivante apparaît :

"La commande n'est pas reconnue. Entrez HELP pour obtenir une liste des commandes prises en charge."

Par contre ça fonctionne avec CD Windows (avec un espace) mais lorsque j'arrive a rstrui.exe, il me remet "la commande n'est pas prise en charge..."

A ton avis?
Merci en tout cas
0
Réponse 4 / 10
Utilisateur anonyme
14 mars 2014 à 22:38
Le signe @ n'est pas à écrire; il représente un espace comme mentionné dans mon précédent propos

@+
0
Pika68
14 mars 2014 à 22:43
Ok

Donc j'arrive bien à obtenir

C:\windows\system32\restore

Mais lorsqu'arrivé la je mets rstrui.exe ça me dit que la commande n'est pas reconnue....
0
Pika68
14 mars 2014 à 22:46
Est il possible que le virus ait supprimé ou bloque l'accès à ce fichier rstrui.exe?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Utilisateur anonyme
14 mars 2014 à 22:51
Re

tu as lu: rstrui et non rstrui.exe
0
Pika68
14 mars 2014 à 22:56
Malheureusement ni l'un ni l'autre ne fonctionnent

Toujours le même refrain : " La commande...."

****** de virus de ******
0
Réponse 6 / 10
Pika68
14 mars 2014 à 23:10
Alors va comprendre.... Je viens de redémarrer, j'ai fait F9 ou quelque chose comme ça, je me suis retrouvé dans un écran bleu puis j'ai fait "qui without saving" ou quelque chose comme ça...

L'ordi à redémarre tout seul, j'ai fait ctrl+suppr et pause comme c'était indiqué dans certains topic.

Bref le virus ne s'est pas lancé et j'ai eu le temps de brancher la clef USB et lancer roguekiller que j'avais télécharger sur USB....

L'analyse est presue terminée.

Je pose le compte rendu des que fini.

Merci
0
Réponse 7 / 10
Pika68
14 mars 2014 à 23:38
Voilà le CR de roguekiller

RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Vincent [Droits d'admin]
Mode : Recherche -- Date : 03/14/2014 23:13:27
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2646817493-366603282-594300510-1019\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CCSet\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_HP_rmv.job : C:\WINDOWS\TEMP\{838C3C78-5658-4C47-94B5-D05A15301DA0}.exe - --uninstall=1 [x] -> TROUVÉ
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\WINDOWS\TEMP\{6C6D156A-F04E-4C81-B704-637941614857}.exe - --uninstall=1 [x] -> TROUVÉ

¤¤¤ Entrées Startup : 1 ¤¤¤
[Vincent][SUSP PATH] od8zv8vt.lnk : C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\od8zv8vt.lnk @C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp,XXS1 [-][7][-] -> TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ( @ ) +++++
--- User ---
[MBR] 6577cd66414791c350c55c69f0b2448c
[BSP] f1b1dd97aad4e020f0ebc0e9908861bb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20489 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 41961780 | Size: 55827 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ( @ ) +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )

Termine : << RKreport[0]_S_03142014_231327.txt >>


A votre avis

Merci
0
Réponse 8 / 10
Utilisateur anonyme
14 mars 2014 à 23:41
Re

Tu passes à l'option suppression et tu me postes son rapport.

merci

@+
0
Réponse 9 / 10
Pika68
15 mars 2014 à 00:08
Ma connexion internet est coupée sur le Pc infecte, alors que tout a l.heure j'ai réussi a poster m'envoyer le rapport par mail sur tablette...

Je n'ose pas redémarrer au cas ou cela bug....

Je vais laisser commec a pour ce soir, il est temps de se reposer....

Merci bonne nuit

Je te redis demain
0
Réponse 10 / 10
Utilisateur anonyme
15 mars 2014 à 00:09
Bonne nuit et @ plus tard
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
convocation gendarmerie sans motif
david 38 -
BmV -

27 réponses
Appel de là-bas gendarmerie par un 06
Sabibi -
Aranud87 -

2 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses