Virus " gendarmerie nationale " sous win7 - Win 7 - Windows & Software
Marsh Posté le 22-02-2012 à 19:49:54
rien n'y fait avec la ligne de commande, cad ?
tu as fait quoi ?
Marsh Posté le 22-02-2012 à 19:59:38
" Pour cela, redémarrez l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisissez invites de commandes en mode sans échec et appuyez sur la touche entrée du clavier.
Une fois sur l'invite de commandes, tapez la commande : regedit " j'ai essayé ça, sans succès mon pc démarre et rien ne s'écrit
Marsh Posté le 22-02-2012 à 20:01:56
tu n'as donc pas le menu avec le choix démarrage sans échec ,
tapote f8 sans arret des le debut du boot
Marsh Posté le 22-02-2012 à 21:27:34
J'ai accès au menu en tapant sur f8 au démérage, mais impossible d'écrire la commande citée plus haut !
dans ce même menu f8 j'ai testé la restau system mais il me dit qu'aucun point de restau n'est disponible.
Marsh Posté le 22-02-2012 à 21:52:10
et au menu tu choisis bien invite de commandes ?
Marsh Posté le 22-02-2012 à 21:58:35
Petit up, j'ai repris le contrôle du pc en retournant dans l'invite de commande en suivant ce topic : http://www.malekal.com/2012/02/09/ [...] code-powa/
Je suis en train de mettre à jour mon antivirus, mais que dois-je faire de plus pour terminer la désinfection ?
Merci de vos réponses !
Marsh Posté le 22-02-2012 à 22:05:02
Si tu veux avoir plus d'efficacité il faut vérifier le poste alors que Windows b'est pas chargé avec un live CD que tu télécharge, tu grave et tu boot dessus comme Avira rescue.
http://www.avira.com/fr/support-do [...] cue-system
En générale au premier test je ne fais qu'un inventaire sans mise en quarantaine ni suppression car si tu as un virus dans un des fichiers systèmes, ca démarre plus.
Marsh Posté le 22-02-2012 à 22:18:21
qu'utilise tu comme anti virus ?
lance un scan
Marsh Posté le 22-02-2012 à 22:50:15
J'utilise Avira,
le rapport Hijackthis http://pjjoint.malekal.com/files.p [...] h5g5x13d11
le rapport MWBAM http://pjjoint.malekal.com/files.p [...] 13i15n10q5
et voilà le rapport d'Avira http://pjjoint.malekal.com/files.p [...] 11e9x10r10
Marsh Posté le 29-02-2012 à 12:13:33
Salut à tous.
Juste pour dire que j'ai réussi à enlever le virus sur mon pc windows 7.
Je vais vous expliquer en plusieurs étape.
1: Démarrer en mode sans échec en tapant F8 au moment du démarrage du PC (ou alors, la technique un peu barbare, on débranche l'ordi violemment puis on le rallume, le PC va dire qu'il y a eu un pb et nous propose plusieurs démarrages dont le démarrage en mode sans échec)
2: Quand vous êtes dans le mode sans échec, cliquez sur démarrer, puis tapez dans le champ recherche: msconfig. Dans l'onglet démarrage, en dernière position il doit y avoir un fichier avec un nom un peu étrange qui doit se trouver dans C:\Users\LeNomDeMonOrdi\AppData\Roaming. Pour l'instant ne toucher à rien.
3: Sans fermer la fenêtre de msconfig, ouvrez le poste de travail (ou ordinateur sur seven) puis ouvrez le disque local (normalement C: ) puis dans la barre d'adresse en haut (à la place de Ordinateur -> Disque local (C: ) ) faites un clic droit "modifier adresse", tapez C:\Users\LeNomDeMonOrdi\AppData (pour moi ça sera C:\Users\Iv3rson\AppData), puis tapez entrer.
3: Aller dans le dossier "Roaming". Un fichier .exe avec un nom bizarre devrait être là. Il doit avoir la date et l'heure à laquelle vous avez attrapé ce virus de m****.
4: Supprimez ce fichier, puis redémarrez le PC en mode normal cette fois. Normalement, la page du virus ne devrait plus s'afficher.
5: Pour finir complètement la suppression du virus, il a 2 choses à faire: Refaites l'étape 3 mais tapez C:\Users\LeNomDeMonOrdi\AppData\Local\Temp. Vous devez avoir là dedans un fichier qui ressemble à celui là: 0.466320069925360767f76.exe avec la date et l'heure à laquelle vous avez attrapé le virus. Supprimez le.
6: Ensuite, dernière chose: retournez dans msconfig comme tout à l'heure. Retournez également dans l'onglet "Démarrage". Décochez la ligne qui correspond au nom un peu étrange de tout à l'heure. Puis cliquez sur OK pour valider. Vous allez surement devoir redémarrer votre PC. Faites le.
-----> A partir de ce moment là, vous pouvez suivre le tuto suivant http://www.commentcamarche.net/faq [...] s-msconfig, plus simple. Mais lisez quand même l'étape 9 du mien.
7: Une fois redémarré, cliquez sur démarrer et dans le champ recherche, tapez Exécuter. Puis dans la fenêtre qui s'ouvre, tapez regedit puis valider.
8: Naviguer jusqu'à la clé : "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig".
9: Vous devez avoir un dossier appelé "startupreg". Développez le. Vous devez avoir le nom du fichier bizarre .exe qui se trouvait dans C:\Users\LeNomDeMonOrdi\AppData\Roaming. Faites clic droit sur le dossier puis du fichier .exe et supprimer.
Voilà normalement, il y a plus rien.
Mettez bien à jour votre PC, et installez vous un autre antivirus éventuellement. Et SURTOUT, n'allez plus sur des sites à la c** (genre streaming et tout)
Bye
Marsh Posté le 04-11-2013 à 21:25:18
Bonsoir
le virus du gendarme vient de tout bloquer.
le problème est qu'en mode sans echec, on arrive toujours sur la page du virus.
si on selectionne l'invite de commande, au lancement de Win7, c'est l'ecran noir et pas de tableau de commande donc pas de solution de ce coté là
comment peut on se sortir de là ?
merci d'avance
Marsh Posté le 05-11-2013 à 09:04:59
OK merci. On va penser à se mettre ça sous le coude.
Pour l'instant on s'en est sorti en faisant une restauration système dans le panneau de démarrage sans échec. on a réussi à redémarrer W7. téléchargement de rogue killer et suppression du virus.
Pour l'instant, ça marche. wait and see
Marsh Posté le 08-11-2013 à 15:05:46
J'ai nettoyé ce virus quelques fois, c'est très rapide, pas besoin de live CD, il suffit de démarrer en mode sans echec en ligne de commande et executer rstrui.exe (utilitaire de restauration).
Hormis ça, enlevez ce satané mcafee qui ne détecte pas ce virus, au moins en version gratuite si j'ai bien compris, ya un virus et il voit rien...
Marsh Posté le 08-11-2013 à 17:52:36
intrus34 a écrit : J'ai nettoyé ce virus quelques fois, c'est très rapide, pas besoin de live CD, il suffit de démarrer en mode sans echec en ligne de commande et executer rstrui.exe (utilitaire de restauration). |
Attention : Une restauration système exécutée par rstrui.exe via l'invite de commandes est irréversible. On ne peut pas "l'annuler", contrairement à une restauration système faite par Windows directement
Si la restauration système se passe mal, et on sait que cela arrive, la situation serait plus qu'inquiétante, plus de possibilité pour récupérer le pc.
Cette commande est donc à utiliser qu'en dernier recours quand tout a été tenté.
Marsh Posté le 08-11-2013 à 21:26:27
intrus34 a écrit : J'ai nettoyé ce virus quelques fois, c'est très rapide, pas besoin de live CD, il suffit de démarrer en mode sans echec en ligne de commande et executer rstrui.exe (utilitaire de restauration). |
ouh lala.........
reprenons :
il existe plusieurs versions du virus gendarmerie et certaines versions sont actives meme en mode sans echec, c est le cas de la personne au dessus...... donc non, il me suffit pas de demarrer en mode sans echec pour resoudre le probleme, parce qu il arrive que le virus soit actif aussi en mode sans echec.....
pour ce qui est de ta solution de restauration, c est vraiment la solution en mode blonde...... rstrui est a eviter, deja parce que ca peut faire planter la machine, et ensuite parce que tu peux perdre des donnees.....
si on peut demarrer en mode sans echec, alors il suffit d installer malwarebytes ou roguekiller qui reglent le probleme.
Marsh Posté le 09-11-2013 à 00:08:26
@fred7 :
On peut regarder s'il n'y a pas autre chose, cette vérole ne rentre jamais seul sur un pc !!
Scan ZHPDiag
Comment héberger un rapport sur ci-joint :
Aide en image => ICI
Marsh Posté le 10-11-2013 à 07:58:21
Non le virus n'est pas actif en ligne de commande en mode sans echec.vu son caractère...graphique ^^
Pour la restauration ça enlève au moins les entrées du programme au démarrage, ça enlève pas le virus.
et le virus on peut l'avoir sur son disque dur, si il n'a pas de point d'entrée il ne sera jamais exécuté, à moins qu'on l'exécute manuellement.
C'est pas une blonde ici, c'est un informaticien qui à eu son premier ordi ya 30 ans ^^
C'est juste la solution rapide.Si tu as un point de restoration récent, ya pas de soucis.
Marsh Posté le 10-11-2013 à 10:30:20
intrus34 a écrit : |
bon, je repete : certaines versions du virus gendarmerie sont actifs en mode sans echec! C est du vecu!!! (pas sur ma machine, j ai fais un peu de depannage informatique, c est un probleme que j ai vu) Tu veux un exemple de plus??? tiens :
http://www.tomsguide.fr/forum/id-2 [...] sible.html
extrait :
Citation : Concrètement, j'arrive à accéder à la page pour choisir le mode sans échec, mais au démarrage de celui-ci, après quelques secondes, ça bloque à nouveau : d'abord page blanche, puis page du virus. |
Ensuite pour ta solution de restauration, excuse moi mais ce n'est pas la solution d'un "informaticien", c'est la solution d'un utilisateur lambda.....
et l'argument de dire "je suis informaticien" depuis 30 ans, ca ne veut strictement rien dire..... l"informatique, c'est vaste!!!! tu fais quoi en informatique???? Quand bien meme ca serait du depannage, ca ne veut rien dire.
Et quand on commence a trop vieillir (je sais ce que c'est... ), on finit par rencontrer des gens plus jeune que soi et qui maitrisent mieux! C'est comme ca, c'est la vie! Alors perso je me retiens de dire que j'ai 20 ans de pratique parce que je sais qu'il y a des gens plus jeune que moi qui maitrisent bien mieux que moi!
Bref, desole, mais la solution de restauration, c'est vraiment a utiliser en dernier recours comme te l'a dit malwarebleach.
D'ailleurs malwarebleach semble maitrisait son truc et il est sympa de prendre le temps d'intervenir pour venir en aide aux gens qui ont des problemes de virus, j'ai vu plusieurs messages de malwarebleach et y a pas grand chose a redire pour moi......
Marsh Posté le 10-11-2013 à 12:45:51
Ca n'existe pas les "certaines versions du virus gendarmerie"
Ca, ce sont les effets avec en général une image qui s'affiche qui font qu'on l'appelle comme cela (il peut s'appeler virus hadopi, virus Police etc)
Tu n'as pas un virus gendarmerie et des variantes, mais diverses infections avec en image apparente "un virus gendarmerie" (la logique est différente)
Il ya 2 ans en fonction de l'image associée on pouvait déterminer le type d'infection On aurait presque pu dire que la communauté du crime se partageait le boulot)
Maintenant tout est mélangé
Tu peux avoir du trojan winlock comme du trojan ransomware avec du DirtyDecrypt (et il faut dinstinguer le payload du dropper) et dans les versions extremes et récentes, tu peux toujours t'amuser à virer l'infection mais TOUTES tes données dites multimédia (images/photos, musiques, documents, films, ..) seront cryptées avec une clé unique par fichier
Ce qui est fait qu'il est IMPOSSIBLE de récupérer ses données avec un décrypteur comme on pouvait le faire il y a quelques mois
La solution si les données sont importantes : Passer à la caisse avec un paiement Ukash avec celui qui vous a infecté (si son adresse mail est toujours valde car ils changent souvent d'adresse)
Après il faut se débarasser des Des PUPs/LPIs, au mieux (ben oui, comme le rappelle MalwareBleach l'infection ne vient jamais seule)
Dans les variantes on peut avoir un "stealer" dont le but est de piller vos accès / comptes et par la suite, dérober vos données et accéder à vos informations personnelles ou encore utiliser votre identité, …
En plus ces merdes évoluent.
Par ex ZeroAccess/Sirefef ne droppe plus de partie rootkit et ne patch plus de fichier systèmes. Le dropper prend le contrôle d’explorer.exe et wscntfy.exe (les fameux TR/ATRAPS.GEN et TR/ATRAPS.GEN2 que l'on voit un peu partout puisque les gens utilisent maintenant AVIRA au lieu d'AVAST)
Maintenant il droppe du Win32.Obvod ou "Virus Sacem"
Quant aux infections avec lesquelles on peut redémarre en mode sans échec on a la version REVETON, alors qu'avec la variante URAUSY cela ne fonctionne pas (idem pour utiliser ou pas une ancienne restauration, qui peut OU PAS remettre le sytème en place mais gardera OU PAS l'infection (qui peut créer son propre système en jouant au chat et à la souris pour ne pas disparaitre) , qui, latente, attendra son moment pour réapparaitre (et pas en cliquant dessus)
La conclusion est simple : Il est impossible de dire qu'avec "le virus gendarmerie" on fait telle ou telle action, comme "pas besoin de live CD, il suffit de démarrer en mode sans echec en ligne de commande et executer rstrui.exe" etc car
UNE ERADICATION PASSE D'ABORD PAR UNE ANALYSE pour savoir à quoi on a à faire, déterminer quelles sont les infections multiples, et surtout voir les modifications apportées sur le système (sinon à essayer de passer des outils divers et multiples comme MalwareBytes (qui ne voit pas tout), du RogueKiller (dédié à certaines infections) , du TDSS killer (qui lui aussi peut parfois éradiquer QUE partiellement une infection) ou pire "CCleaner" (la baguette magique qui fait aussi le café), c'est avoir une chance de redémarrer son PC avec un BSOD qui demandera une réinstallation du sytème avec remlse à zéro des clés de registre (donc perte de tout ce qu'on a installé ensuite)
C'est ce que propose MalwareBleach du reste : Une Analyse avant d'y apposer l'outil adapté
Marsh Posté le 10-11-2013 à 12:55:17
Pour mettre tout le monde d'accord :
il y a plusieurs variantes de ransomwares (dont le "virus gendarmerie" fait parti). Il y a donc plusieurs méthodes de désinfection. On adapte la méthode suivant la situation et suivant le comportement de l'ordinateur à traiter. Ce n'est pas le hasard qui permet de s'en sortir ou parce que l'on a réussi une fois avec une méthode qu'il faut la généraliser.
Proposer sur un forum public la méthode avec rstrui c'est de l'inconscience surtout de la part d'un mec qui est dans le métier. Un informaticien sait et connait les risques encourus par une telle méthode => plantage du pc sans possibilité de revenir en arrière si le pc ne possède pas de point de restauration viable. Donc méthode à bannir.
Il existe des méthodes plus simples et qui ont fait leurs preuves.
- On peut tout a fait tenter une restauration système (mais pas avec la commande rstrui, mais de façon classique) et terminer la désinfection par des outils dédiés si la restauration système aboutie.
- On peut aussi utiliser l'association de RogueKiller et malwarebytes.
Si on est bloqué, car le pc ne réagit plus, pas de démarrage possible ou impossible d'utiliser le mode sans échec (clé safeboot supprimée par l'infection) on passe par un live CD, celui de Malekal intègre Roguekiller et OTL => méthode très efficace mais interdite d'utilisation par la charte de HardWare.fr, c'est bien dommage.
Ce qu'il faut retenir sur ce type d'infection :
- L'infection est active tant que l'on ne l'a pas entièrement supprimée et peut faire de gros dégâts sur le pc, cryptage des données par exemple.
- Surtout ne pas restaurer avec la commande rstrui si tout n'a pas été tenté auparavant, faites vous aider par les assistants en désinfection des forums sécurité (CCM, Malekal, CNET, ici et j'en passe)
- Pour éviter d'être infecté par ce type de malware, il faut maintenir son pc à jour (navigateurs, OS, adobe flash player, java) attention au streaming et porno.
Marsh Posté le 11-11-2013 à 00:38:26
j'ai du en faire 50 de restaurations j'ai jamais eu le moindre problème, au pire si ça foire (cas extrême) le système est toujours récupérable.
Moi tous les logiciels semi automatisés censés virer 'tout ce qui est pas bon' sur le PC je m'en mefie comme de la peste par contre.
Rien ne vaut la bonne vieille méthode manuelle, si on connait tous les points d'entrée des logiciels on se débrouille sans problème.
D'ailleurs je conseille aux gens un anti virus et pas plus.
Pour les parano de la sécurité derrière une box je leur dis de ne même pas installer un firewall.
Pourquoi chercher les complications, j'ai un uptime de 6000h sur une station de travail, qui fait des forums, des videos, de la télé, du téléchargement, qui en même temps récupère une panne logique d'un DD...
Ya pas de soucis c'est du fiable ^^
Après si ya incapacité de différencier le mode sans echec et le mode sans échec en ligne de commande je peux rien pour vous.ça a été aussi la méthode préconisée par certains site de désinfection, peut être pas la plus conseillée j'avoue, mais celle qu'on peut faire sans aucun matériel externe, pas de disque système ou live CD, et qui prend 5 minutes top chrono.
Voilà je dis ça parce que je virus hadopi que j'ai du nettoyer, ou LES virus parce que je l'ai fait un paquet de fois, ne permettait pas le démarrage en mode sans échec, mais en mode sans echec en ligne de commande y'avait pas de soucis.
Après ça reste marginal et heureusement c'est pas l'intervention informatique que je fais le plus, il y en a tellement des choses à faire sur un PC que juger un informaticien parce qu'il fait une méthode, disons, pas la meilleure, ou pas la plus "dans les règles de l'art" pour moi c'est pas la chose qui me dérange.
Je dépanne des PC qui sont déjà lent, j'ai pas envie de les ralentir encore plus, un BON anti virus et il ne devrait pas y avoir de soucis, si les gens sont un peu attentifs, donc je préfère un peu de formation au passage.
Voilà sinon ma spécialité était l'administration de systèmes et réseaux, hybrides, spécialisé sur les systèmes UNIX et LINUX ( si ya une différence à faire), je pense que c'est autrement plus compliqué que du dépannage ou je suis en mode relax au moins, et après 2 ans j'ai eu aucun soucis sur aucune intervention, donc je vais pas paranoïer. Les gens repartent content avec une facture très raisonnable, pas comme certains voleurs qui prennent 100 boules voir plus, pour juste enlever un virus.
Faire en déplacement un scan complet d'un ordi d'un live CD entrainerait des coût prohibitif pour la plupart des gens, je préfère rester honnête, surtout que la plupart des gens ont pas des ordis avec des données si sensible, c'est pas des trucs secret défense...Même si garder l'intégrité des données au maximum est evidemment important.
Marsh Posté le 22-02-2012 à 19:40:30
Bonsoir à tous, comme apparemment pas mal de monde je suis victime de ce virus.. Cela fait maintenant un moment que je cherche comment résoudre mon problème sans trouver de solution.
J'ai essayé de redémarrer en mode sans échec, le virus continue quand même de bloqué mon bureau.
J'ai également essayé l'invite de commandes en mode sans échecs, comme le conseil pas mal de tutos mais rien n'y fait !
J'ai à ma disposition un autre ordinateur, ainsi que clef usb / CD .
Si qqun pouvait me venir en aide ce serait avec plaisir... d'avance merci !