Virus ukash gendarmerie
Pika68
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je poste ce premier message car je suis confronté comme un grand nombre d'internaute au fameux virus type gendarmerie qui exige un paiement ukash pour débloquer.
Le mien se présente sous la forme "reverton" avec la web cam à côté de mon adresse ip.
J'ai longuement pris le temps de regarder tout les posts sur le sujet et j'ai tenté les différentes manipulation, et notamment le mode sans échec.
Par contre lorsque je le lance l'ordinateur redémarre illico avant même de charger le bureau.
J'ai tenté avec l'invit de commande mais lorsque je veux inscrire %windir% il ne connaît pas
J'arrive à rentrer dans le dossier c:windows\system32\restore mais la par contre il ne connaît pas rstrui.exe
J'ai à peu près tout essayé mais rien ne fonctionne.
Et pour info le lecteur CD ne fonctionne pas....
Avez vous une idée?
Merci d'avance de votre aide
Cdt
Je poste ce premier message car je suis confronté comme un grand nombre d'internaute au fameux virus type gendarmerie qui exige un paiement ukash pour débloquer.
Le mien se présente sous la forme "reverton" avec la web cam à côté de mon adresse ip.
J'ai longuement pris le temps de regarder tout les posts sur le sujet et j'ai tenté les différentes manipulation, et notamment le mode sans échec.
Par contre lorsque je le lance l'ordinateur redémarre illico avant même de charger le bureau.
J'ai tenté avec l'invit de commande mais lorsque je veux inscrire %windir% il ne connaît pas
J'arrive à rentrer dans le dossier c:windows\system32\restore mais la par contre il ne connaît pas rstrui.exe
J'ai à peu près tout essayé mais rien ne fonctionne.
Et pour info le lecteur CD ne fonctionne pas....
Avez vous une idée?
Merci d'avance de votre aide
Cdt
A voir également:
- Virus ukash gendarmerie
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Gendarmerie qui appelle avec un portable - Forum Vos droits sur internet
10 réponses
Re
Tu reprends avec ceci:
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir :
C : \windows \system32 \restore> rstrui
Cela te permettra d'accéder à la restauration
Mais ce n'est pas fini ...
@+
Tu reprends avec ceci:
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
cd@restore
rstrui
Pour obtenir :
C : \windows \system32 \restore> rstrui
Cela te permettra d'accéder à la restauration
Mais ce n'est pas fini ...
@+
Re
Lorsque je mets cd@windows, l'info suivante apparaît :
"La commande n'est pas reconnue. Entrez HELP pour obtenir une liste des commandes prises en charge."
Par contre ça fonctionne avec CD Windows (avec un espace) mais lorsque j'arrive a rstrui.exe, il me remet "la commande n'est pas prise en charge..."
A ton avis?
Merci en tout cas
Lorsque je mets cd@windows, l'info suivante apparaît :
"La commande n'est pas reconnue. Entrez HELP pour obtenir une liste des commandes prises en charge."
Par contre ça fonctionne avec CD Windows (avec un espace) mais lorsque j'arrive a rstrui.exe, il me remet "la commande n'est pas prise en charge..."
A ton avis?
Merci en tout cas
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Alors va comprendre.... Je viens de redémarrer, j'ai fait F9 ou quelque chose comme ça, je me suis retrouvé dans un écran bleu puis j'ai fait "qui without saving" ou quelque chose comme ça...
L'ordi à redémarre tout seul, j'ai fait ctrl+suppr et pause comme c'était indiqué dans certains topic.
Bref le virus ne s'est pas lancé et j'ai eu le temps de brancher la clef USB et lancer roguekiller que j'avais télécharger sur USB....
L'analyse est presue terminée.
Je pose le compte rendu des que fini.
Merci
L'ordi à redémarre tout seul, j'ai fait ctrl+suppr et pause comme c'était indiqué dans certains topic.
Bref le virus ne s'est pas lancé et j'ai eu le temps de brancher la clef USB et lancer roguekiller que j'avais télécharger sur USB....
L'analyse est presue terminée.
Je pose le compte rendu des que fini.
Merci
Voilà le CR de roguekiller
RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Vincent [Droits d'admin]
Mode : Recherche -- Date : 03/14/2014 23:13:27
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2646817493-366603282-594300510-1019\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CCSet\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_HP_rmv.job : C:\WINDOWS\TEMP\{838C3C78-5658-4C47-94B5-D05A15301DA0}.exe - --uninstall=1 [x] -> TROUVÉ
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\WINDOWS\TEMP\{6C6D156A-F04E-4C81-B704-637941614857}.exe - --uninstall=1 [x] -> TROUVÉ
¤¤¤ Entrées Startup : 1 ¤¤¤
[Vincent][SUSP PATH] od8zv8vt.lnk : C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\od8zv8vt.lnk @C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp,XXS1 [-][7][-] -> TROUVÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ( @ ) +++++
--- User ---
[MBR] 6577cd66414791c350c55c69f0b2448c
[BSP] f1b1dd97aad4e020f0ebc0e9908861bb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20489 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 41961780 | Size: 55827 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: ( @ ) +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )
Termine : << RKreport[0]_S_03142014_231327.txt >>
A votre avis
Merci
RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Vincent [Droits d'admin]
Mode : Recherche -- Date : 03/14/2014 23:13:27
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2646817493-366603282-594300510-1019\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CCSet\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_HP_rmv.job : C:\WINDOWS\TEMP\{838C3C78-5658-4C47-94B5-D05A15301DA0}.exe - --uninstall=1 [x] -> TROUVÉ
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\WINDOWS\TEMP\{6C6D156A-F04E-4C81-B704-637941614857}.exe - --uninstall=1 [x] -> TROUVÉ
¤¤¤ Entrées Startup : 1 ¤¤¤
[Vincent][SUSP PATH] od8zv8vt.lnk : C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\od8zv8vt.lnk @C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp,XXS1 [-][7][-] -> TROUVÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ( @ ) +++++
--- User ---
[MBR] 6577cd66414791c350c55c69f0b2448c
[BSP] f1b1dd97aad4e020f0ebc0e9908861bb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20489 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 41961780 | Size: 55827 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: ( @ ) +++++
--- User ---
[MBR] 6b25f36d6c0add261e3e974ab1c93571
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )
Termine : << RKreport[0]_S_03142014_231327.txt >>
A votre avis
Merci
Windows XP service pack 3