Comment supprimer le ransomware
"Gendarmerie Nationale"
"Gendarmerie Nationale"
Ce Ransomware / Screenlocker prend tout l'écran, empêchant tout action de l'utilisateur.
Il peut être présent sous plusieurs variantes:
- Ajout d'une clé RUN lui permettant de se relancer au démarrage du PC
- Remplacement du fichier %windir% / explorer.exe avec copie préalable dans %windir% / twexx32.dll
- Ajout d'un raccourci dans le dossier de démarrage
En fonction de ces variantes, plusieurs méthodes existent. Pour savoir quelle variante est présente (et la supprimer), suivre la démarche suivante:
Télécharger : Malwarebytes RogueKiller
****** Variante utilisant une clé RUN ou ajoutant un raccourci ******
- Démarrer en mode sans échec avec prise en charge réseau. Si le malware est présent, ce n'est pas cette variante : passer à la suite
- Télécharger et lancer RogueKiller en mode Scan puis Suppression
- Vous devriez avoir le rapport suivant et être capable de redémarrer normalement:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: **** [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[SUSP PATH] ctfmon.lnk @Lauro : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\ALLUSE~1\APPLIC~1\4454F1A831D76E378B738CBDF0422CE.exe.tmp -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> DELETE
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
- Lancer un scan avec Malwarebytes et tout supprimer
****** Variante modifiant la clé SHELL ******
EDIT du 24/05/2012:
Parfois le mode sans échec peut être inaccessible. Si c'est le cas, alors nous sommes dans le cas d'une modification de la clé Shell. Il va falloir graver un live CD.
Parfois le mode sans échec peut être inaccessible. Si c'est le cas, alors nous sommes dans le cas d'une modification de la clé Shell. Il va falloir graver un live CD.
RogueKiller peut maintenant désinfecter les systèmes depuis un live CD OTLPE.
Suivre la vidéo pour s'en débarrasser:
Télécharger en plus OTLPE et suivre les explications de la vidéo.
Suivre la vidéo pour s'en débarrasser:
Télécharger en plus OTLPE et suivre les explications de la vidéo.
****** Variante remplaçant explorer.exe ******
- Si vous pensez être en présence de cette variante (méthodes précédentes n'ayant pas fonctionné), suivre la vidéo suivante pour le supprimer (remplacement de explorer.exe).
- Remarque : La méthode de la vidéo peut ne pas marcher. Si c'est le cas, voir en dessous.
- Le raccourci clavier CTRL + ALT + PAUSE peut également marcher pour débloquer le bureau
- La méthode de la vidéo ne marche pas tout le temps (en particulier avec des version récentes de IE). Si c'est le cas, il faut alors graver et démarrer sur un live CD (comme Ubuntu : http://ubuntu-fr.org/telechargement , ou encore OTLPE). Puis :
- Une fois sur le live CD, aller dans le disque local appartenant à windows
- Trouver le fichier C:/windows/twexx32.dll (S'il n'existe pas, ne pas faire ce qui suit!)
- Supprimer C:/windows/explorer.exe
- Renommer twexx32.dll en explorer.exe
- Redémarrer en mode normal, le problème doit être résolu
- On peut également utiliser une autre méthode pour réaliser la même chose sans graver de live CD
- Démarrer en mode sans échec invite de commande
- Taper la commande suivante (si votre disque système est C:) et redémarrer:
copy /Y /B C:\windows\twexx32.dll /B C:\windows\explorer.exe
Hé mon pot je suis toujours bloqué à enregistrer l'image..même si je passe le curseur tout doucement il n'ya rien qui s'affiche...en mode MSE ne fonctionne pas non plus...sauve moi la vie STP ;-)
RépondreSupprimerJe suis pas ... ton pote!
RépondreSupprimerSi tu n'arrives pas à afficher le petit bandeau, je te conseille de te faire aider sur un forum, ça sera plus adapté.
un grand merci antivirus , plus à jour qu'un payant , Big GG and Thanks
Supprimerlol
RépondreSupprimerPROBLEME DE CURSEUR AUSSI .TU N'AURAIS PAS TROUVE GIOGABANA
RépondreSupprimerUn grand merci à vous! Efficacité redoutable !
RépondreSupprimerReste un moyen sinon : En passant en invite de commande et en remontant jusqu'au c:/Windows, appeler le twexx32.dll qui va afficher l'explorer normal de windows. A partir de la, renommer les fichiers conformément aux instructions. Sans oublier la phase 2 (rapport roguekiller etc...)
Merci, j vous paye une bière? don paypal possible? ça le mérite !
ok mais ou se trouve c:/windows ou twexx32.dll je sais pas trop mais c ou?
SupprimerNe pas répondre, ne pas répondre, ne pas répondre... oh, wait !
SupprimerMerci, je savais pas qu'on pouvais appeler la dll comme ça :)
RépondreSupprimerPour les dons Paypal, voir sur la page de RogueKiller : http://www.sur-la-toile.com/RogueKiller/
je ne sais pas comment utiliser ce logiciel pour resoudre mon probleme d'une façon simple svp la reponse c'est urgent
RépondreSupprimerIl suffit de lire et suivre les étapes une par une.
Supprimerj'ai chopé le virus :-( et je n'arrive pas à enregistrer l'image ? comment faire??
RépondreSupprimerTu as essayé en mode sans échec?
SupprimerLa nouvelle variante ne remplace plus explorer
bonjour tigzy-RK
RépondreSupprimerpeux tu me dire pourquoi avast refuse ton programme ?
""un logiciel potentiellement indésirable a été bloqué""
cordialement
bonjour
SupprimerLes AVs n'aiment pas trop les outils de désinfection.
C'est une histoire de dangerosité potentielle.
C'est trop compliquer !!!!!!!! j'en ai marre s'il te plait tu fait via team viewer ? :'(
RépondreSupprimerJe vois pas ce qu'il y a de compliqué, si tu peux démarrer en mode sans échec tu as juste à passer RogueKiller!
RépondreSupprimerRien n'est compliqué, c'est hyper détaillé!
le virus est toujours présent aprés un Démarrer en mode sans échec avec prise en charge réseau.
RépondreSupprimerj'ai voulu renommer le fichier en passant par invite de commande, le nom était déja le bon donc pas de changement et les fichiers twexx32.dll et explorer.exe n'existe pas quand je suis les étapes de la video
comment faire ?
Tu as passé RogueKiller?
Supprimerj'ai pas reussi à acceder au bureau, dés que j'ouvre la session la page reviens direct et bloque tout
SupprimerDans ce cas il faut utiliser la méthode avec le live CD, ou le MSE en invite de commande
Supprimerj'ai finalement réussi a restaurer le système en invite de commande, merci
Supprimerj;ai exactement la meme chose ,peut me dire ou se trouve la touche (invite de commande)et par ailleurs c'est quoi le (live cd ou le mse).je te remerçie.et etant poli je te passe le bonjour,merci pour tes reponse par avance
SupprimerMerci pour ce que vous faites ! J avais la derniere variante du virus et la methode est super efficace...
RépondreSupprimerMerci, c'est vraiment de la balle de trouver de l'aide comme sa!!!!!!!
RépondreSupprimerGrace à toi j'ai debuguer mon pc en 5 min. La solution avec le Live cd était la seule car je n'avais plus d'accès clavier pour passer en mode sans échec.
Merci encore.
Moi j'arrivai pas a aller au mode sans echec donc lorsque XP marqué bienvenue je lançai comme un fou le gestionnaire de tache est terminer le processus explorer.exe. J'ai lancé une nouvelle tache en marquant cmd puis j'ai tapé ça copy /Y /B C:\windows\twexx32.dll /B C:\windows\explorer.exe et MAGIE !!!
RépondreSupprimerSalut, j'essaye ta technique car rien ne marche et ça me rend fou. Faut-il respecter les espaces dans ta formule magique, auquel cas peux tu la redonner telle que je dois l'inscrire une fois la nouvelle commande lancée stp? D' avance merci
SupprimerMoi j'y arrive pas méme en sans echec il me dit que le chemin d'accès spéciefié est intoruvable pourtant j'ai taper correctement mais ca fonctionne pas, un peu d'aide s'il vous plait..
RépondreSupprimerBon alors j'ai regarder la video, j'ai essayer de demarer en mode sans echec prise en charge reseau, pas moyen.
RépondreSupprimerJ'ai dobc suivi la video, quand le message de la fausse gendarmerie s'est afficher j'ai essayer de faite comme toi a savoir click droit sur le logo pour l'enregistrer( arete moi si jme suis planter) mais y'a pas moyen, je peut purement et simplement toucher a rien
je doit faire quoi maintenant stp?
Faire ce qui est demandé, à savoir invite de commande ou live CD.
Supprimerj'ai eut un ransomware, et grâce a tes conseils je m'en suis débarrasser très vite alors que je suis complétement minable en informatique!
RépondreSupprimervraiment merci beaucoup!
Et quand on a un ordi sans lecteur on fait comment svp?
RépondreSupprimerOrdi sans lecteur. Ai fait invite commande et taper la ligne entiere puis rebooter et la toujours pareil. Apres re reboot je ne peux plus relancer mon mode sans echec?! Que faire?
RépondreSupprimerParce que le mode sans échec marchait avant?
SupprimerJe crois que je ne sais pas utiliser l'invite sur commande.
RépondreSupprimerComme je dois taper la commande? Parce que quand je fais avec espace etc..., me met que le fichier spécifié est introuvable.
Qu'est ce que cela veut dire stp?
Merci d'avance!
Tu es sûr que le mode sans échec ne marche plus?
SupprimerTu es sûr qu'il s'agit du même ransomware? (même visuel)
Il y a dans la nature un autre ransomware qui n'a pas du tout le même fonctionnel.
J'ai exactement le même visuel oui. Quand je démarre en mode sans échec, j'ai ce visuel la aussi.
SupprimerLe mode invite sur commande est le seul ou j'ai l'impression de pouvoir faire quelque chose.
En effet, la première solution que tu nous propose ne marche pas malheureusement.
J'ai donc essayé ce mode invite sur commande et j'ai vraiment l'impression d'être con parce que j'y arrive pas.
Est ce que tu saurais ce que je peux faire?
Tu as un message d'erreur avec l'invite de commande? fichier non trouvé?
SupprimerDans ce cas il reste la solution live CD pour vérifier que le fichier twexx32.dll existe bien (ou pas).
Si vraiment tu n'y arrives pas, le plus simple restera de te faire aider sur un forum (voir liste dans le menu de droite)
Le message d'erreur que j'ai, c'est "le fichier spécifié est introuvable"
SupprimerJe vais essayer le Cd dans ce cas. Toutes les étapes sont decrites dans les liens?
Je te remercie pour tes conseils, franchement!
Non les liens ce sont des références de forums.
SupprimerLà bas des gens vont t'aider à corriger le problème.
Je te parlais des liens pour la création du Live Cd, parce que je ne connais pas du tout ca, et sans indications , je vais surement me planter en beauté!
SupprimerPour OTLPE, il suffit de lancer le .exe et ça doit demander tout seul à graver le truc. pour Ubuntu, il faut graver l'ISO en tant qu'image
SupprimerAprès il faut savoir comment booter sur un CD/DVD.
Une fois ça de fait, tu arrives sur le bureau du live cd avec accès au disque dur système.
Je suis désolé de demander autant, mais pour Ubuntu, j'ai besoin d'un CD de quelle taille?
SupprimerEt j'ai simplement à le télécharger ou il faut l'installer sur le CD?
Ubuntu, un CD normal fera l'affaire (700 Mo)
SupprimerTu ne dois pas l'installer, mais graver l'ISO en tant qu'image. Regarde sur google si tu ne sais pas comment faire.
Ensuite, tu dois bien démarrer sur le live CD sans toucher au disque.
N'installe surtout Ubuntu sur ton disque!
Si tu as un doute, je te conseille vraiment d'aller sur un forum
Ok parfait, merci beaucoup pour tous ces conseils! J'espère que ca va marcher!
SupprimerJ'ai fait le live Cd, j'ai pu accéder à mon espace Windows, mais le twexx.32dll n'est pas présent.
SupprimerQue dois je faire dans ce cas la?
C'est donc que ce n'est pas une version qui remplace explorer.exe
SupprimerRegarde si c'est pas celui-là plutôt : http://tigzyrk.blogspot.com/2012/02/comment-supprimer-le-ransomware-gema.html
Je pense que ce n'est malheureusement pas celui la non plus, car au niveau visuel, celui que j'ai, c'est le gendarmerie 1. Mais apparemment, il n'a pas remplacé le explorer.Exe.
SupprimerJe vais quand même essayer la technique proposée.
Merci en tout cas, de votre patience!
Oui tu peux essayer le raccourci clavier, ça peut marcher
Supprimermoi j ai tout essayé et finalement trouvé un remède tres simple j ai demaré le pc sur cd avec otpen une fois que j ai eu acces au bureau j'ai tout simplement fait une restauration systeme bon il est vrai que j ai un autre pc pour graver le cd
Supprimerjespere que sa va vous aider
cordialement Marco
Merci beaucoup pour cette explication très précise !
RépondreSupprimerOn peut aussi rajouter la technique de la restauration système avec windows 7 pour arriver à installer Roguekiller ! Ca fais du bien de voir des gens qui continue de donner de leur temps et de leur connaissance pour aider les autres.
Merci à vous! Enfin debarassé grace a vous! Et, c'était hach'ment bien expliqué, contrairement à ce qu'en disent les autres! Et dieu sait que je suis NUL en informatique. MERCI encore. Cordialement.
RépondreSupprimerBonjour,
RépondreSupprimerJe dois être le plus malchanceux de tous. ;-(
Ce thread est super pour aider (merci encore Tigzy), présente plusieurs solutions mais pas pour moi. Plus complexe car j'accumule les cas défavorables mais j'espère trouver une solution:
1- j'ai chopé la variante "attention ...", premier screenshot en haut de la page
2- j'ai une version d'IE récente et donc je ne peux pas avoir la main sur une image a sauver sur le poster du faux gendarme. De plus le sablier remplace le pointer usuel.
3- Lors du démarrage de Windows, Ctrl-Alt-Suppr ne marche pas. Seul le scanner du doigt fonctionne et ensuite impossible d'interrompre le start-up avec Ctrl-Alt-Suppr
4- Mode sans Echec: que ce soit avec Reseau ou Invite de Commande, je n'ai pas d'acces et suis bloque a la fenetre de logon car driver de scan du doigt non charge et pas possible de faire Ctrl-Alt-Suppr
5- Démarrage avec la dernière bonne config. Apres login, je tombe a nouveau sur le Ransomware
6- Live CD. Pas possible de le booter car mon notebook a un logiciel de cryptage des données du disque (FinallySecure) et bien que je vois une fraction de seconde le Live CD se lancer, le FinallySecure prend la main au boot, je rentre mon password et il ne va plus sur le lecteur CD. Question: Plus possible de lancer le lecteur CD? meme depuis le menu du F8?
voila, j'ai épuisé toutes les solutions et je m'en remets a une bonne âme qui aurait une nouvelle idée.
Merci beaucoup!
J'ai mis un post sur le forum: http://forum.malekal.com/post279748.html#p279748
SupprimerY a t-il un risque de vol de données personnelles (login/mots de passe enregistrés, sessions) avec ce ransomware ?
RépondreSupprimersalut
SupprimerEn principe non, mais on ne sait jamais.
J'ai déjà vu un autre ransomware de ce type appeler d'autres malwares en même temps (ou être appelé par d'autres malwares)
Bonjour,
RépondreSupprimerMon ordi portable a chopé ce virus et je suis nul en informatique. De plus, quand mon ordi s'allume, je n'ai pas l'option " démarrer Windows normalement" ou " Démarrer sans échec". Que dois-je faire ?
Je retire ce que j'ai dit, j'arrive à le démarrer en mode "sans éhec invite de commande" et que je tape la commande, ca me met "la commande n'existe pas" et ca marche pas pouvez vous m'aider ??
RépondreSupprimerBonjour, faut il mettre des espaces pour l'option sans cd? Parce qu'ils me disent echec
RépondreSupprimerBonjour,
RépondreSupprimerJ'ai également ce satané virus et étant sous XP je ne peux strictement rien faire,ne sachant pas a quelle version du virus j'ai à faire je suis coincé ( des que j'arrive sur mon bureau la page virus se lance m’empêchant de faire quoique ce soit), le mode sans échec je ne sais absolument pas comment je peux y avoir accès (tous les sites parlent de F8, apparement moi c'est F12 mais tout est bloqué), j'ai essayé de booter avec ubuntu : impossible, Invite commande n'en parlons meme pas je suis tellement nul en informatique que je ne comprends pas la moitié de ce dont les gens parlent dans leurs réponses sur les forums ; en bref je ne sais plus quoi faire à part amener ma machine chez un type qui va me prendre 100 dollars pour me virer cette merde... Je lance donc une bouteille à la mer. Y'a-t-il un bateau dans le coin? Merci
Ceux qui ont des soucis, avez vous essayé le raccourci clavier ?
RépondreSupprimerCTRL + ALT + PAUSE
Avec l'autre ransomware ça marche, ici pourquoi pas
J'ai ce type de virus gendarmerie, mais avec une page écran un peu différente. Il y a en haut les logos République Française et Gendarmerie Nationale, avec en plus la photo d'une gendarmette devant son ordinateur (mais avec une inscription "Policia" sur son pull, hi-hi).
RépondreSupprimerBref, en mode "sans échec avec prise en charge réseau", je vais sous C:\Windows, mais il n'y a pas de twexx32.dll
Y a-t-il d'autres noms de fichiers connus pour ce ransomware ? Merci.
Ok pour faire suite au post qui précède, j'ai directement exécuté RogueKiller, qui m'a trouvé une clé run suspecte. Je ne comprends pas tout mais la suppression a fonctionné. En l’occurrence la clé renvoyait à une application nichée sous C:\Documents and settings\...\Application Data\Adobeflash\Adobeflash.exe -b
RépondreSupprimerpar ailleurs il y avait un "HJ" (c'est quoi ?) dans le dossier de registre Software\Microsoft\CurrentVersion\Explorer\Hidedesktopicon\Newstartpanel.
Je comprends pas tout, mais bon ça semble reparti correctement.
Merci Beaucoup en live cd ça a fonctionné du premier coup !
RépondreSupprimerj'ai chopé cette pourriture ce week-end , j'ai trouvé cette page,appliqué la démarche expliquée plus haut est c'est réglé,merci.
RépondreSupprimerCochonnerie de cochonnerie !!!!
RépondreSupprimerBonjour, j'ai tout lu mais n'étant qu'une simple fille qui n'y connais rien en informatique, je n'ai pas compris grand chose.
J'ai un notebook avec ce virus (page blanche de la gendarmerie mais qui n'apparait qu'une fraction de seconde). Mon bureau ne contient plus d'icone.
Je n'arrive qu'aller sur "invite de commande en mode sans échec" avec une fenêtre "cmd.exe" dans laquelle un curseur clignote à la fin de "C:\Documents and settings\audrey>"
Que puis-je faire? Un truc à taper par derrière ( c'est comme ça que j'ai réussi à lancer une restauration mais RAS) ou il faut que je trouve un CD pour booter ? On peut mettre sur USB? Ça marche sur un notebook, sachant qu'il me faut trouver un lecteur externe?
Pitiééééééé .....
Bonjour
RépondreSupprimerj'ai aussi chopé cette vérole ,mais j'arrive à accéder à internet, je vais essayer de suivre les indications qui me paraissent trés compliquées hélas...
y-a-t-il un "patch" téléchargeable contre ce trojan Agent AUJP ?
J'étais infecté par la variante utilisant la clé user. J'avais un 2ème utilisateur sur le PC, sur lequel je pouvais démarrer normalement. J'ai suivi les instructions à la lettre, et ça a marché nickel.
RépondreSupprimerC'est vraiment sympa Tigzy de consacrer une partie de votre temps à aider les autres, ça m'a été précieux.
Un grand merci.
L.D
Bonjour, Je suis sur Xp édition familiale et j'ai été infecté par ce virus "gendarmerie" mais malheureusement je n'arrive plus a démarrer Mon Pc en mode sans échec (même invite de commande en mode sans échec ne marche pas)!
RépondreSupprimerJe n'ai donc plus la main sur mon Pc !! qui aurait la solution ??? je vous remercie par avance bonne soirer
Bonjour, je cherche un peu d'aide s'il vous plait, j'ai également été infectée par ce satané virus de soit disant de la gendarmerie, et je n'ai accès à rien. Ma session s'ouvre immédiatement sur la page du virus et puis a ce moment là je suis bloquée. CTRL ALT SUPP marche, mais lorsque je clique sur gestionnaire de tache, je reviens immédiatement sur le virus. J'ai essayé les possibilités que j'ai vu sur les forums mais je n'arrive a rien, alors peut être que c'est moi... J'ai tout de même réussi à aller sur " tous les panneaux de configuration " pour restaurer mon ordi et il ne veut pas. Je désespère là. Si quelqu'un peut m'aider, j'en serais ravie ! Merci d'avance.
RépondreSupprimerBonjour
RépondreSupprimerUn de plus jai tous suivi jai du passer par le cd live car ni mode sans echec et ni en mode sans echec avec reseau j'ai reussi own alors jai essayé l'invite de commande :fichier non spécifié.
Donc sur OTLPE j'ai lancé roguekiller il ma trouvé un fichier que j'ai delet.
Sur le bureau je me retrouveavec un dossier RK_Quarantine: PhysicalDrive0_User.dat et PhysicalDrive1_User.dat ainsi qu'un notepad avec le raport avec des erreur :mctadmin.exe.vir
jai voulu installer Malwarebit et lors de l'installation in me dit:
X(lecteur CD):\386\system32\drivers\mbam.sys
Access is denied
anulé réessayer et ignorer alors j'ignore linstallation ce fait et quand il fait la mise a jour de la base encore une erreur (apres 2 mise a jour d'affiller ^^):
Run time error'400' form already displayed;cant show modlly
Voila ,ai je fait une gourde ya t'il une solution pour que j'installe malware .?
merci
Sous XP j'ai essayé cette méthode:
RépondreSupprimerDémarrer en mode sans échec invite de commande
copy /Y /B C:\windows\twexx32.dll /B C:\windows\explorer.exe
Je redémarre en mode normal : l'écran du virus réapparait.
J'ai redémarré en mode sans échec invite de commande pour vérifier dans le répertoire Windows si twexx32.dll avait bien été renommé: c'est le cas, il n'existe plus.
Que puis-je faire. (je sais utiliser regedit mais à condition de me dire ce que je dois modifier ou supprimer)
Merci d'avance.
Nadine
J'ai eu ce malware et je savais pas quoi faire, j'ai redémarré l'ordi mais il ne démarre plus maintenant, il y a écran noir, ça vient de ça ?
RépondreSupprimerJe viens d'avoir ce malware et grâce à ce guide, en utilisant simplement la méthode avec l'invite de commande, j'ai pu m'en débarrasser... Merci infiniment tigzy-RK !
RépondreSupprimerBonjour, mon PC est toujours bloqué par ce virus, j'ai pourtant suivi la méthode que tu proposes à la lettre : le démarrage en mode sans echec ne marche pas, j'ai donc utilisé le cd live Ubuntu.
RépondreSupprimermon pc démarre impec sur le cd et je peux lancer l'essai d'Ubuntu. mais je ne trouve pas le fichier indiqué : twexx32.dll !
Y a t il une autre solution ?
merci d'avance pour ton aide
Moi j'ai chopé le virus hier et comme je ne pouvais faire de cd live, j'ai tenté le lancement en mode sans échec, mode sans échec réseau et invite de commandes, rien ne fonctionnait.
RépondreSupprimerMa seule solution à été la réinstallation de windows et donc le formatage complet de mon DD. Solution radicale mais tu pleures quand t'as tout paumé sur ton pc, surtout les fichiers musicaux :(
Bref en tout cas mon problème je l'ai résolu quand même, mais bon j'ai tout atomisé pour le coup lol
Merci, j'ai réussi à virer cette merde et j'en suis bien content. La procédure proposée est efficace et simple, merci pour ce super boulot.
RépondreSupprimerBonsoir tout le monde!
RépondreSupprimerAprès m'etre fait gentillement vérolé l'ordi avec le virus de gendarmerie police qui me réclame 100euros pour débloquer l'ordi, en essayant de rédemarrer en mode sans échec avec prise en charge du réseau je tombe sur un écran bleu qui dit :
STOP: c0000218 {D
défaillance d'un fichier du registre}
\SystemRoot\System32\Config\SYSTEM ou son journal ou sa copie
il est endommagé, absent ou protégé contre l'écriture
Début du vidage de la mémoire physique
vidage de la mémoire physique terminée
Contactez votre administrateur systeme ou votre groupe de support technique pour.....plus
il me manque le début des phrases comme vous pouvez le constater...
Merci pour votre aide car là je commence gentillement à péter un cable.
Sachez aussi que plus aucun redémarrage ne fonctionne que ce soit le mode sans échec le mode normal le mode débogage etc...
te reste plus qu'à réparer via le cd xp
SupprimerBonjour tout le monde,
RépondreSupprimerJe me suis moi aussi fait infecter par ce virus et après avoir essayé plusieurs manière de faire (la "copy/B..." par l'invité de commande, un autre tuto pour l'invité de commande aussi...) Je suis directement aller voir dans les fichers système afin de trouver ce fameux "twexx32.dll" ... il est introuvable.
Alors avant que je ne transforme mon ordi portable en un joli frisbee lumineux (trololo!) j'aimerais trouver une solution (normal ^^)
Merci d'avance pour ta ou vos réponse(s)
Cordialement, un internaute en train de devenir fou !
(P.S : Fess'ilitation pour tout ce travail =) )
s'il démarre en mode sans échec : base de registre et supprimer les cles dans hkcu et hklm\software\microsoft\windows\currentversion\run, cela ressemble à une suite de chiffre et de lettre (pas le nom d'un exe) bon courage ah oui, faut aussi supprimer les fichiers qui vont avec (le chemin est indiqué dans la base de registre) et pour moi cela a fonctionné
SupprimerBonsoir,
RépondreSupprimerJuste un mot pour vous remercier de l'efficacité de votre méthode ! J'ai suivi les instructions avec RogueKiller et MalwareBytes et le virus a disparu aussi sec !
Bonjour,
RépondreSupprimerMoi aussi j'ai ce virus et que je redemarre en mode sans echec ou mode sans echec avec prise en charge reseau etc rien ne change, que dois je faire svp ??$
Merci d'avance pour vos réponse
RogueKiller V7.4.4 [08/05/2012] par Tigzy
RépondreSupprimermail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: MNDL [Droits d'admin]
Mode: Suppression -- Date: 10/05/2012 23:59:20
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[Rans.Gendarm] wpbt0.dll.lnk @MNDL : C:\Windows\System32\rundll32.exe|C:\Users\MNDL\AppData\Local\Temp\wpbt0.dll -> NOT SELECTED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] f14e58cf64cff4304be8cdec9bcb34f6
[BSP] 9c599c1405d8c9dbab10175609190d41 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 295748 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 605693952 | Size: 9493 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Bonjour,
RépondreSupprimerJ'ai accès à mon lecteur C mais je ne sais pas où ni quoi chercher..
merci j'ai enfin réussi grâce a vous cela mérite un don
RépondreSupprimerBonjour,
RépondreSupprimerje viens d'avoir le virus "sacem". Je suis bloqué au démarrage et impossible de retrouver le bureau. Crt Alt Supp ne fait rien aussi.Le PC ne démarre plus dans aucun mode donc j'ai essayé avec "rescue2" et "isoburner" sur une clé USB mais je ne sais pas comment lancé le programme...Merci de votre aide en avance
Tu peux utiliser OTLPE (voir mon dernier edit)
SupprimerRien de ceci ne fonctionne. J'ai essayé tous les raccourcis (rien ne se passe), j'ai essayé le redémarrage système (mais il n'arrive pas jusqu'au bout), j'ai essayé redémarrer en mode sans échec (mais il n'arrive pas au bout non plus), j'ai enfin essayé d'ouvrir Word juste avant le blocage du bureau, mais toujours rien.....
RépondreSupprimerAidez moi
bonjour,
RépondreSupprimerj'ai envoyé un message déjà, mais je le trouve pas donc petit rappel, ( je vous écrit après m'en être je crois sorti !)
J'ai un pc avec ce virus donc aucune photo ne correspond ( un mix des 2 police et gendarmerie nationale désolée impossible de faire une copie écran maintenant il est plus là et il ne me manque pas, J'ai tout tenté depuis le 17 après avoir imprimé ( du taf )vos supers guides, mais rien ne marchait j'ai fini par cliqué n'importe où, je crois qu'à force j'aurai presque pu payer tellement j'étais au bout ( non je déconne !) j'ai eu le gestionnaire de tachés lancer roguekiller sur une des 2 sessions et 2 HKCU trouver, j'ai mis le rapport dans un autre mail, je le relance sur l'autre session et là il en trouve 9 !!voir rapport ci -dessous
En tout cas, merci, et je suis pas peu fière d'y être arrivée ( avec votre aide bien sûr !!
J'ai pas encore redémarré mon pc !!
je rebois une bière, je hurle ma joie et je mets à jour mon pc
MERCI MERCI MERCI
Nora
RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: pc [Droits d'admin]
Mode: Recherche -- Date: 21/07/2012 19:02:54
¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] RogueKiller.exe -- C:\Documents and Settings\my crew\Bureau\RogueKiller.exe -> KILLED [TermProc]
[SUSP PATH] ch20UPD.dll -- C:\Documents and Settings\my crew\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\ch20UPD.dll -> KILLED [TermProc]
¤¤¤ Entrees de registre: 9 ¤¤¤
[Rans.Gendarm] HKCU\[...]\Run : Update (C:\WINDOWS\system32\fest0r_ot.exe) -> FOUND
[Rans.Gendarm] HKUS\S-1-5-21-507921405-448539723-725345543-1004[...]\Run : Update (C:\WINDOWS\system32\fest0r_ot.exe) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721616PLA380 +++++
--- User ---
[MBR] 28f7c68675f0fd6b5407cacc1f4ee2bf
[BSP] 9f4e69c832b6599e3c82262df477e9e2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 157057 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Juste, Merci !
RépondreSupprimerUn grand merci à Tigzy, vraiment. Parce qu'il met vraiment au bout ce fichu ransomware. Il est vraiment fat. Efficacité super de RogueKiller. Vraiment chapeau!!! En plus de tout ça, grâce à ces conseils on apprend plein de chose!
RépondreSupprimerMerci beaucoup! C'était très efficace, j'ai été bluffé par la simplicité du logiciel.
RépondreSupprimerBonjour,
RépondreSupprimerJ'ai cette chose sur mon netbook depuis ce matin.
J'ai le logo de office central de lutte contre la criminalité liée au technologie ect...
Mais tous le reste est pareil.
Je ne peux pas mettre de cd et je ne pourrais pas voir la vidéo pour faire la manoeuvre.
Aidez moi je vous en prie !
Bonjour je viens d avoir moi aussi ce virus ce matin ! La gendarmerie au Tél me dit de venir porter plainte mais arriver la bas Ras car pas de préjudice ! Cependant ne comprenant pas grand chose aux explications et par peur de faire n importe quoi je vais essayer d aller voir un informaticien cet apm ! Cela va coûter je sais et j espère aussi de ne pas tomber sur un informaticien frauduleux ! Cependant je lui parlerai du mode sans échec etc ! Car je ne pense pas trouver quelqu un qui me guidera pas à pas !
RépondreSupprimerHello,
RépondreSupprimerJe viens de me heurter au cas de figure exposé dans la deuxième vidéo.
Avec un démarrage en mode sans échec + prise en charge réseau, j'ai pu télécharger RogueKiller et reprendre la main sur mon bureau.
Malawarebytes est en train de faire la suite.
Merci pour tes explications claires et incroyablement utiles.
Keep up the good stuff.
Cheers.
j'ai fait Rogue Killer et Malwirebytes en mode sans échec avec prise en charge du réseau mais quand je démarre normalement, la fenêtre apparait encore.
SupprimerJe veux donc faire ce qui est dit dans la vidéo mais la qualité de la vidéo sur mon ordi est mauvaise et je n'arrive donc pas à lire ou à voir la vidéo. Est-ce que quelqu'un pourrait expliquer par des phrases (si possible compréhensible pour un pauvre débutant comme moi) comment faire.
un gros merci d'avance.
Bonjour,
RépondreSupprimerCela fait 3 ou 4 fois que je chope ce virus ... J'ai en général du reformater :-(
Cette fois, avec un démarrage en mode sans échec + prise en charge réseau, j'ai pu télécharger RogueKiller et reprendre la main sur mon bureau.
Pourtant, une précédente fois, le mode sans échec m'était interdit ...
Je conserve donc (au cas où) la ligne d'invite de commande, et vais tenter en // de graver le cd bootable otlpen ...
On n'est jamais trop prudent !
Merci infiniment !
Laurent
OK merci.. et chapeau bas pour la science.
RépondreSupprimerEffectivement ça mérite un don, ce que je veux faire MAIS puisque je crois avoir lu que cette vérole piquait les mots de passe, ma question est:
une fois Rogue Killer et Malwarebyte passés sans plus rien trouver, est-on sur que l'on est débarrassé? et donc qu'on peut aller sur son compte Paypal sans risque et te (vous) gratifier.
bonjour,
RépondreSupprimervoilà j'ai choppé se virus il y a 5 jours je cherche a l'enlevé mais je n'y parviens pas
je suis sous windows xp et je n'est pas de mode sans échec
aidez moi s'il vous plait
Tigzy-RK => pour ceux qui sont sur des ordis pourris (pour ma part un mini sans disque sous xp d'il y a déjà 5 ans) existe-t-il une méthode lorsque le mode sans echec (sous ses trois versions) est inaccessible (écran bleu "votre ordinateur... virus 0.06..." puis retour au choix du mode) ?
RépondreSupprimerPersonnellement, j'ai réussi à planter mon ordi assez pour planter leur virus et par miracle au redémarrage suivant j'ai pu télécharger (ô grand informaticien) RogueKiller qui je crois m'a sauvé la mise. =) Grand merci beaucoup beaucoup à toi.
Je reste toutefois circonspecte (je sais ça n'a aucun sens) devant l'utilité fondamentale de ce virus... Il sert vraiment juste QUE à faire chier le monde ?
bonjour j'ai une autre methode quand on ne peut pas ouvrir en mode sans echec bien sur j'avais deja rogue killer installer apres sa marche peut etre aussi pour le telecharger on redemarre on va dans le menu invite de commande normalement il se demarre il se met sur le bureau mais sans rien afficher apart l'invite de commande on ferme sa et on fait alt ctl supp ensuite nouvelle tache et tu ouvre rogue killer et cest good voila j'espere que sa en aidera pace que j'ai un peu galere avant de trouver moi j'etais casi sur que j'allais reformater et puis non =)
RépondreSupprimerPS: desoler pour les fautes d'orthographe
RogueKiller V8.3.0 [Nov 19 2012] par Tigzy
RépondreSupprimermail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Groud [Droits d'admin]
Mode : Suppression -- Date : 20/11/2012 19:32:45
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : WPDShextAutoplay (C:\Users\Groud\AppData\Local\Microsoft\Windows\3616\WPDShextAutoplay.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : PPort11reminder ("C:\Program Files (x86)\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini") -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\Acer(Wide).scr) -> REMPLACÉ (C:\Windows\system32\logon.scr)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Tr.Karagany][FOLDER] ROOT : C:\Users\Groud\AppData\Roaming\Adobe\plugs --> SUPPRIMÉ
[Tr.Karagany][FOLDER] ROOT : C:\Users\Groud\AppData\Roaming\Adobe\shed --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDT721064SLA SCSI Disk Device +++++
--- User ---
[MBR] e56ddf5739801cd466453050ed6dd735
[BSP] f68ddccbf31a528cf00bb0c751cd7309 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 297046 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 641906688 | Size: 297048 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive2: Generic- Compact Flash USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
+++++ PhysicalDrive3: Generic- SM/xD/SD/MMC/MS USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_20112012_193245.txt >>
RKreport[1]_S_20112012_193127.txt ; RKreport[2]_D_20112012_193245.txt
Un énorme merci à Bastien !!!! la méthode est simple et çà a parfaitement fonctionné !!!! pour info, j'étais bloqué en mode normal et sans échec !!!! ouf
RépondreSupprimerMerci pour l'astuce hier quand j'ai choppé le truc jme suis dit whaaaaat?
RépondreSupprimerj'ai tout desuite reconnu le truc (le chopper parce que mon java etait pas a jour -_-)
grace a toi j'ai enlevé ça avant de partir en cour en 10 minutes max merci !
(petit doute, roguekiller et malaware peuvent rester sur lepc ou il vaut mieux les supprimer aussi?)
merci tigzy-RK ! cela a fonctionné pour moi plus une trace de se virus et le portable roule bien! bonne continuation danis from canada ;p
RépondreSupprimerMerci , ayant déjà debloqué le PC de ma mère , j'ai reconnu tout de suite ce virus , étant sous seven , j ai reussi à fermer la page gendramerie ( virus ) avec ( ctrl + alt + sup ) dans le gestionnaire des taches et donc debloquer l'acces au bureau et lancer ton logiciel , redoutable d'efficacité :)
RépondreSupprimerMerci , à toi et je te souhaite une très bonne année 2013 ;)
Nina .
Mille merci à tous ceux qui luttent contre les malveillants, RogueKiller est super efficace. Bonne Année, beau boulot!!!
RépondreSupprimerGuillaume.
RogueKiller V8.4.3 _x64_ [Jan 10 2013] par Tigzy
RépondreSupprimermail : tigzyRKgmailcom
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Julien [Droits d'admin]
Mode : Suppression -- Date : 12/01/2013 22:34:48
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 10 ¤¤¤
[SHELL][SUSP PATH] HKCU\[...]\Services\Microsoft\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\msoeyu.cmd) -> SUPPRIMÉ
[STARTUP][Rans.Gendarm] runctf.lnk @Julien : C:\Windows\System32\rundll32.exe|C:\Users\Julien\wgsdgsdgdsgsd.exe,H1N1 -> SUPPRIMÉ
[HJPOL] HKCU\[...]\Services\Microsoft\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\Services\Microsoft\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\Services\Microsoft\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[RUN][HJNAME] [ON_E:Administrateur]HKCU[...]\Servicese\Run : CTFMON.EXE (C:\WINDOWS\system32\ctfmon.exe) -> SUPPRIMÉ
[RUN][HJNAME] [ON_E:Default User]HKCU[...]\Servicese\Run : CTFMON.EXE (C:\WINDOWS\system32\ctfmon.exe) -> SUPPRIMÉ
[RUN][HJNAME] [ON_E:JW]HKCU[...]\Servicese\Run : ctfmon.exe (C:\WINDOWS\system32\ctfmon.exe) -> SUPPRIMÉ
[RUN][HJNAME] [ON_E:LocalService]HKCU[...]\Servicese\Run : CTFMON.EXE (C:\WINDOWS\system32\CTFMON.EXE) -> SUPPRIMÉ
[RUN][HJNAME] [ON_E:NetworkService]HKCU[...]\Servicese\Run : CTFMON.EXE (C:\WINDOWS\system32\CTFMON.EXE) -> SUPPRIMÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> E:\Documents and Settings\Administrateur\NTUSER.DAT
-> E:\Documents and Settings\All Users\NTUSER.DAT
-> E:\Documents and Settings\Default User\NTUSER.DAT
-> E:\Documents and Settings\JW\NTUSER.DAT
-> E:\Documents and Settings\LocalService\NTUSER.DAT
-> E:\Documents and Settings\NetworkService\NTUSER.DAT
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD20EARS-60MVWB0 +++++
--- User ---
[MBR] ec40e58d17deea23d500665f114e6e13
[BSP] 02fabc91509286cae48aae03206191d5 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 1893526 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3878148096 | Size: 14101 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] a93b4002876d851fd97ec81806edb971
[BSP] 89769f59f4ee41ff82b09401962b1f02 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 264071168 | Size: 300 Mo
+++++ PhysicalDrive1: ST3250820AS +++++
--- User ---
[MBR] dcf94d2735a0f2345d53f3339f3a69b7
[BSP] 65d774ac2eda58a5b24a98508d3ea79d : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 233452 Mo
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 478126593 | Size: 5012 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_12012013_223448.txt >>
RKreport[1]_S_12012013_223224.txt ; RKreport[2]_D_12012013_223448.txt
merci à toi l'ami çà marche
Supprimerbravo bastien mille merci que dieu te protege et protege les tiens marc
RépondreSupprimerJ'ai un cpte utilisateur limité qui est infecté, mon cpte administrateur fonctionne parfaitement sous Vista. Est ce que je peux tout simplement supprimer le cpte limité ?
RépondreSupprimerUn Grand Merci parce que pour moi ça m'a sauvé et le PC avec...
RépondreSupprimerHeureusement qu'il y a des personnes qui sont encore là pour aider les autres et pas
le contraire. Patrick
merci vous êtes trop bon.
RépondreSupprimerMerci beaucoup
RépondreSupprimermerci
RépondreSupprimer