Virus ukash gendarmerie

Pika68 -  
 Utilisateur anonyme -
Bonjour,

Je poste ce premier message car je suis confronté comme un grand nombre d'internaute au fameux virus type gendarmerie qui exige un paiement ukash pour débloquer.

Le mien se présente sous la forme "reverton" avec la web cam à côté de mon adresse ip.

J'ai longuement pris le temps de regarder tout les posts sur le sujet et j'ai tenté les différentes manipulation, et notamment le mode sans échec.

Par contre lorsque je le lance l'ordinateur redémarre illico avant même de charger le bureau.

J'ai tenté avec l'invit de commande mais lorsque je veux inscrire %windir% il ne connaît pas

J'arrive à rentrer dans le dossier c:windows\system32\restore mais la par contre il ne connaît pas rstrui.exe

J'ai à peu près tout essayé mais rien ne fonctionne.
Et pour info le lecteur CD ne fonctionne pas....

Avez vous une idée?

Merci d'avance de votre aide

Cdt

10 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Quel est ton système d'exploitation?

    @+
    0
    1. Pika68
       
      Pardon, détail essentiel

      Windows XP service pack 3
      0
  2. Utilisateur anonyme
     
    Re

    Tu reprends avec ceci:

    Tu procèdes comme pour accéder au mode sans échec mais tu choisis:

    Invite de commande en mode sans échec :

    Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
    @ pour espace

    cd \
    cd@windows
    cd@system32
    cd@restore
    rstrui

    Pour obtenir :
    C : \windows \system32 \restore> rstrui

    Cela te permettra d'accéder à la restauration

    Mais ce n'est pas fini ...

    @+
    0
  3. Pika68
     
    Re

    Lorsque je mets cd@windows, l'info suivante apparaît :

    "La commande n'est pas reconnue. Entrez HELP pour obtenir une liste des commandes prises en charge."

    Par contre ça fonctionne avec CD Windows (avec un espace) mais lorsque j'arrive a rstrui.exe, il me remet "la commande n'est pas prise en charge..."

    A ton avis?
    Merci en tout cas
    0
  4. Utilisateur anonyme
     
    Le signe @ n'est pas à écrire; il représente un espace comme mentionné dans mon précédent propos

    @+
    0
    1. Pika68
       
      Ok

      Donc j'arrive bien à obtenir

      C:\windows\system32\restore

      Mais lorsqu'arrivé la je mets rstrui.exe ça me dit que la commande n'est pas reconnue....
      0
    2. Pika68
       
      Est il possible que le virus ait supprimé ou bloque l'accès à ce fichier rstrui.exe?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    tu as lu: rstrui et non rstrui.exe
    0
    1. Pika68
       
      Malheureusement ni l'un ni l'autre ne fonctionnent

      Toujours le même refrain : " La commande...."

      ****** de virus de ******
      0
  7. Pika68
     
    Alors va comprendre.... Je viens de redémarrer, j'ai fait F9 ou quelque chose comme ça, je me suis retrouvé dans un écran bleu puis j'ai fait "qui without saving" ou quelque chose comme ça...

    L'ordi à redémarre tout seul, j'ai fait ctrl+suppr et pause comme c'était indiqué dans certains topic.

    Bref le virus ne s'est pas lancé et j'ai eu le temps de brancher la clef USB et lancer roguekiller que j'avais télécharger sur USB....

    L'analyse est presue terminée.

    Je pose le compte rendu des que fini.

    Merci
    0
  8. Pika68
     
    Voilà le CR de roguekiller

    RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
    mail : http://www.adlice.com/contact/
    Remontees : http://forum.adlice.com
    Site Web : http://www.surlatoile.org/RogueKiller/
    Blog : http://www.adlice.com

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Vincent [Droits d'admin]
    Mode : Recherche -- Date : 03/14/2014 23:13:27
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 13 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-2646817493-366603282-594300510-1019\[...]\Run : AVG-Secure-Search-Update_0214c (C:\Documents and Settings\Vincent\Application Data\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=0f0b7924f40347d08c6bd15f51222b0a-88d2a840cb3e866ae47ef599e6474e3d5b20d9aa /CMPID=0214c [x][x]) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ][PUM] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ
    [HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
    [HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
    [HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ DLL][SUSP PATH] HKLM\[...]\CCSet\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
    [HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ
    [HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp [-]) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_HP_rmv.job : C:\WINDOWS\TEMP\{838C3C78-5658-4C47-94B5-D05A15301DA0}.exe - --uninstall=1 [x] -> TROUVÉ
    [V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\WINDOWS\TEMP\{6C6D156A-F04E-4C81-B704-637941614857}.exe - --uninstall=1 [x] -> TROUVÉ

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [Vincent][SUSP PATH] od8zv8vt.lnk : C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage\od8zv8vt.lnk @C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\tv8vz8do.cpp,XXS1 [-][7][-] -> TROUVÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ( @ ) +++++
    --- User ---
    [MBR] 6577cd66414791c350c55c69f0b2448c
    [BSP] f1b1dd97aad4e020f0ebc0e9908861bb : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 20489 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 41961780 | Size: 55827 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ( @ ) +++++
    --- User ---
    [MBR] 6b25f36d6c0add261e3e974ab1c93571
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
    Partition table:
    0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 1910 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )

    Termine : << RKreport[0]_S_03142014_231327.txt >>

    A votre avis

    Merci
    0
  9. Utilisateur anonyme
     
    Re

    Tu passes à l'option suppression et tu me postes son rapport.

    merci

    @+
    0
  10. Pika68
     
    Ma connexion internet est coupée sur le Pc infecte, alors que tout a l.heure j'ai réussi a poster m'envoyer le rapport par mail sur tablette...

    Je n'ose pas redémarrer au cas ou cela bug....

    Je vais laisser commec a pour ce soir, il est temps de se reposer....

    Merci bonne nuit

    Je te redis demain
    0