[Résolu] Virus gendarmerie, mode sans échec impossible

[alainj77]

Bonjour

Sur un vieux PC avec Windows XP mon voisin a attrapé le virus gendarmerie et rien ne fonctionne, ni le démarrage normal (fenêtre UCASH), ni le démarrage sans échec (avec ou sans prise en charge du réseau) ni l'invite de commande en mode sans échec. Avec ces 3 derniers, le PC redémarre automatiquement.

J'ai pu redémarrer en utilisant un CD OLTPE mais la je ne sais plus quoi faire.

Pouvez vous m'aider à supprimer ce virus?

Merci d'avance de votre aide

[Apollo]

Bonsoir,

 

Comme ça: http://forum.pcastuces.com/sujet.asp?f=31&s=65

 

@++

[alainj77]

Bonsoir Apollo

Content de te retrouver.

J'ai suivi a la lettre tes instructions.

Le probléme, l'infection est toujours là, mais si je double clique sur Rogue Killer à l'ouverture de la session, la fenêtre Ucash aparaît avant qu'il ne se lance. Je vois qu'il s'est lancé en appuyant sur le bouton d'arrêt qui ferme la fenêtre Ucash et me fais voir un instant très bref le lancement de RogueKiller, et le PC s'arrête.

Ca sent pas bon l'histoire lol

[Apollo]

Mouais!

 

Avec le cd live, télécharge RKill renommé en Winlogon.exe et l'exécuter; le pc ne doit pas redémarrer. Lancer MBAM dans la foulée.

Si ça ne marche pas il faudra créer un autre cd live de chez Kaspersky. (spécifique aux ransomwares)

 

Étape 1: rkill (de Grinler), téléchargement
Télécharger rkill depuis l'un des liens ci-dessous:

http://www.bleepingcomputer.com/forums/topic308364.html

Lien 2
Lien 3
Lien 4

http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe

Enregistrer le fichier sur le Bureau.

Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus et celui de l'antispyware. Si vous ne savez pas comment faire, reportez-vous à cet article.

Étape 3: rkill (de Grinler), exécution
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista/7/8, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître. (c'est très rapide)

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les cinq liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

Ne redémarre pas le pc!

 

------------------------------

Télécharge ou lance directement MBAM en analyse rapide pour commencer, et vire ce qu'il trouve.

 

@++

[alainj77]

Je crois que je n'ai pas tout compris.

Avec le CD OLTPE, je peux bien télécharger RKill, mais je suppose qu'après il faut que je le lance à partir de Windows, et ça je ne peux pas vu que la fenêtre Ucash apparaît avant que quoi que ce soit se passe, donc désactiver les modules résidents de l'anti virus = impossible vu que je n'ai pas le temps de faire autre chose qu'un double clic sur un icone du bureau.

[Apollo]

Pff saleté!!

 

Grave le cd live de Kaspersky.

 

Kaspersky WindowsUnlocker to fight ransom malware.

Il faut cliquer sur les + pour voir toute la procédure à suivre: http://support.kaspersky.com/viruses/disinfection/8005#block2

 

Cela risque d'être long.

 

@++

[alainj77]

Bonjour Apollo

Cela a en effete été très long.

J'ai fait le CD de Kaspersky et suivi les étapes 2, 3 et 4 du site de Kaspersky.

Ensuite je redémarre le PC et miracle, le virus est toujours là, donc le PC est toujours bloqué.

Ca sent très très mauvais. Ne serait ce pas une nouvelle version de cette cochonnerie, car j'ai vu que le texte est maintenant encadré avec des logo INTERPOL?

[Apollo]

Bonjour,

 

En effet, ça devient inquiétant.

 

Essaie la méthode utilisant Hitman Pro, exemple: http://www.bleepingcomputer.com/virus-removal/remove-cyber-command-of-new-york-ransomware

 

Si la méthode parait fonctionner, il ne faut pas s'arrêter là, il y aura bien d'autres analyses à faire. (MBAM + d'autres selon ZHPDiag)

 

Si ça échoue, il faudra sauvegarder les docs avec un cd live Ubuntu http://www.vista-xp.fr/forum/topic2618.html puis formater le disque C.

 

Ubuntu doit être chargé en mémoire, pas installé, sinon Windows serait écrasé.

 

Tout ça à cause d'applications non à jour... (java etc).

 

@++

[alainj77]

Méthode utilisée 2 fois, la première fois le redémarrage s'est bloqué (mais 8 détections), j'ai donc redémarré une nouvelle fois sur la clef et ressupprimé la seule détection qu'il a trouvé. Au redémarrage, toujours bloqué, j'ai donc démarré en mode sans échec, c'était bon. J'ai retenté un démarrage normal et là tout est bon.

J'attends tes instructions pour la suite.

[Apollo]

Ah? Bonne nouvelle semble-t-il!

 

Tu vas d'abord faire une analyse rapide avec MBAM après nettoyage de temp (tu feras une complète plus tard, après d'autres manip).

 

Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

Ferme tes applications, navigateurs.

Sous XP, double cliquer sur le fichier.
Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFTGC.txt)

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

---------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau. http://fr.malwarebytes.org/

http://www.pcastuces.com/logitheque/malwarebytes_anti-malware.htm

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.
A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
• Sélectionne "Exécuter un examen rapide."
• Clique sur "Rechercher"
• L'analyse démarre, le scan est relativement long, c'est normal.
• A la fin de l'analyse, un message s'affiche :
  
   

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  
  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
• Ferme tes navigateurs.
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++