virus police nationale avec demande d'argent Fermé

Question

Bonjour, 

Je me permets d'intervenir sur votre site pour vous demander conseil. Il est en train d'arriver à mon frère un sale histoire, hier il visionnait une video en streaming, son ordi a affiché un message sur l'écran qui disait que la police nationale l'accusait de visionnage de site pédophile, avec mise en quarantaine de l'ordinateur, et une demande de 100 euros pour que l'ordi remarche. Il n'a même plus acces au menu. Il se connectait à une borne free wifi d'un camping. Après avoir contacté la police (il a qd  mm peur) ceux ci lui ont dit que jamais ils n'agissaient de la sorte, qu'il s'agit d'un virus. Avez vous entendu parler de ce genre de virus? Comment l'éliminer?

Merci beaucoup de vos réponse.


Configuration: Windows XP / Firefox 3.0.15

blitz31 · Accepted Answer

C'est chaud ton histoire,faudrais que tu demande la charte au camping et voir si tu peu te retourner contre eux,mais si tu voi qui peu y avoir une faille dans leur charte.

silgab · Answer

Apparemment c'est arrivé à d'autre lors de visionnage de video en streaming, le pire c'est que mon frère ne peut rien faire avec son ordi, même son bureau est bloqué...

blitz31 · Answer

et un formatage?

hexa · Answer

J' ai eu exactement la même chose hier soir en regardant un streaming.
Mon ami a réussi à me restaurer mon ordi mais j'ai perdu toutes les données que j'avais dessus. Aussi, ma ligne internet a carrément été coupée je dois contacter le service de ma box pour voir ca.

H3RV3 · Answer

Salut,

Il s'agit apparemment d'un ransomware (logiciel qui empêche l'accès aux données si on ne paie pas une somme d'argent).

Jusqu'à où démarre le PC ?
Démarre t-il en mode sans échec ?

dany311 · Answer

bonjour
vous n'êtes pas la seule personne à qui ce tracas est arrivé
regardez ici
http://www.commentcamarche.net/forum/affich-22076585-ordinateur-et-ip-bloque-par-police-nationale
il s'agit d'un virus 
faire une désinfection appropriée
une restauration ou un formatage ne résoudront pas le problème car le virus réapparaîtra au bout de quelques heures

BB · Answer

Perso, je viens de l'avoir, mais j'ai forcé l'extinction de mon portable, puis j'ai redemarré en coupant le Wifi, dés la connexion du bureau j'ai lancer mon antivirus réglé le plus agressif possible.

Pour l'instant ce n'est pas revenu, il faut dire que j'ai un compte administrateur qui empêche toutes les installations intempestives, du coup je me demande si cela ne vient pas de là...

Orla51 · Answer

Bonjour, comme vous ce satanné virus a pris possession de mon pc hier soir. J'étais aussi sur un site de streaming. Le problème c'est que je n'ai pas d'antivirus à jour. Avast a expiré il y a qq jours seulement (pas de bol!). Je ne peux pas faire CTRL ALT SUPPR qui ne fonctionne pas. En mode sans échec, je n'arrive à rien fair. J'ai essayer de restaurer mais "la police nationale" est toujours présente. 

A l'aide!!!!!!!!!
Merci pour votre aide.

g3n-h@ckm@n · Answer

salut

ahlala !! cette police nationale !! ^^

c'est un ransomware/rogue oui :)

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

g3n-h@ckm@n · Answer

sur usb oui

g3n-h@ckm@n · Answer

pas de soucis je risque de m'absenter cet apres midi pour depanner physiquement un pc :)

neo122 · Answer

salut g u le probleme dimanche ,moi g redemarer en mode sans echec et f une restauration du systeme qui c derouler avec sucxer ensuite g utiliser spy bot et la g plus rien internet ok voila

g3n-h@ckm@n · Answer

normal spybot ne detecte rien ^^

Orla51 · Answer

Salut! Juste pour te dire que j'ai supprimé le virus avec Roguekiller. Là, je suis sur mon PC avec un antivirus à jour. Tout semble se rétablir.
Merci pour ton aide g3n-h@ckm@n

g3n-h@ckm@n · Answer

tu es encore infectée dans ce cas

g3n-h@ckm@n · Answer

passe pre_scan

g3n-h@ckm@n · Answer

salut

oui :)

g3n-h@ckm@n · Answer

pas tout de suite 

rien qu'au premier regard :

Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.15222412736143798.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.15859261800367386.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.26203059246026483.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.35983386870229694.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.5710551338658125.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.5853713689858266.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.6702454567763567.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.6762455666668974.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.6866438785684014.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.7056084531593035.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.8463195700643102.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.8912533065520937.exe    => Infection Rogue (Trojan.Dropper)
Mise en quarantaine :  C:\Users\PATRIC~1\AppData\Local\Temp\0.9228966282182138.exe    => Infection Rogue (Trojan.Dropper)

je regarde le reste

g3n-h@ckm@n · Answer

suite 

desinstalle adobe reader 9 

=================================== 

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre 

Lance Pre_script , une page vierge va s'ouvrir. 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill::

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"HP Software Update"=- 
""=-       
"Adobe Reader Speed Launcher"=- 
[-HKLM\Software\BrowserChoice]   

folder:: 
C:\044f4547e26ce9f39321fdf21d 
C:\77ea6d38a8c68d67bdf33ec428e1586a 
C:\adf7b1635092996ef97052bc787a          
C:\b0b318b15d227b1e92 
C:\c8c77a11ffd51b7c69 
C:\ProgramData\26180421           
C:\ProgramData\iKg31001cOlLl31001       

attrib::                                     
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

si  cest un portable il doit etre plein de poussiere je presume

Orla51 · Answer

je suppose. Je peux exécuter pre_script via ce lien?
http://dl.dropbox.com/u/21363431/Pre_Script.exe

g3n-h@ckm@n · Answer

enregistre-le d'abord , ensuite execute-le

Orla51 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijDB3nzmg.txt

g3n-h@ckm@n · Answer

fais la poussiere puis :


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

Orla51 · Answer

Bonjour, ok! Hier j'ai finalement fait le scan malwarebyte. Je te transmets le rapport ce soir. Enfin... si j'arrive à avoir la connection car depuis j'ai une croix rouge sur le petit ordinateur indiquant la connection internet avec comme message "statut de la connection inconnue" "échec de l'exécution du serveur". Merci de m'expliquer ce qui se passe et comment régler ce nouveau problème.

g3n-h@ckm@n · Answer

ok tu as quand meme la connection qui fonctionne normalement

=========

sur ce lien le probleme est resolu , sers-t'en :)

https://forums.commentcamarche.net/forum/affich-4203261-erreur-d-execution-du-serveur-sous-vis

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Orla51 · Answer

Je ne peux pas télécharger Dr web. Je n'ai plus internet. La j'écris de mon portable.

g3n-h@ckm@n · Answer

avec un autre pc

guiguidu42150 · Answer

Up du sujet mais je viens aussi d'avoir ce problème, j'ai fait le Pre_Scan mais le site cijoint.fr ne donne rien, comment je peux te faire passer le log de l'analyse ?

Je crois que j'ai trouvé le virus :


"9tvibr8d.exe"=C:\Users\guillaume\AppData\Roaming\9tvibr8d.exe  [18/12/2011|10:54:45]

C'est ce processus qui bloque mon ordi, dans la description il y avait marqué "Bill Cleat Hayku", si je le coupe dans le gestionnaire avant qu'il se lance mon ordi marche normalement, mais je préfèrerais qu'il soit irradié de mon PC !

Cordialement,

Coowy · Answer

Bonsoir a tous, je viens d'avoir ce virus sur mon propre pc aussi, personne ne connait de moyen de l'éradiquer s'il vous plait ? Merci d'avance

francois69 · Answer

Bonsoir j ai eu le meme virus page gendarmerie et 100euros pour débloquer.J ai restaurer mon ordi   toucheF11 .Je l ai restaurer a l état d achat,j ai perdu quelques photos et ca m a pris 2heures pour tout restaurer ,mais maintenant l ordi fonctionne   very bien et plus rapide q avant.Mais pour les photos en mode sans échec ca doit etes possible de copier les fichiers photos,moi je n ai pas essaye.a+ et bon courage mais plus de problème maintenant.

marie · Answer

allez en mode safe puis restaurer votre systeme c'est la seule moyenne...j'ai eu ça hier....

sanglier · Answer

passer en mode sans échec et utiliser ceci: ROGUEKILLER 

1) faire un scan 

2) retirer

enjoy ;-)))))

lecriquet · Answer

bonjour 
le plus simple vous avais accée a votre ordi telecharger sur une clef usb revosetup installer le en mode sans echec et une fois que vous l avais installer allée dans l onglet option demarrage et ici decocher simplement le fichier qui demarre ...ensuite faite un nettoyage de fichier perimé et faite effacer ...
le fichier ne sera plus la !!!!! testé par moi meme sur 10 pc different et ca fonctionne tres bien 
temps de boulot  environ 3 minutes 

comment vient ce virus ? tous simplement parce que vous ne faite pas la mise a jour de adobe et de flash player ( si celui ci et a jour normalement vous ne devrier pas avoir ce virus  ) c est une supposition que je me suit faite en lisant les forums a droite et a gauche 

ps: desoler pour les fautes mais le principal c est le resulta du probleme

tomcateer · Answer

salut a tous!
cette histoire de police qui demande 100€ pour débloquer mon pc m'est arrivé!
j'ai débranché ma box et ,immédiatement éteint mon pc!
j'ai redémarré en mode sans échec et j'ai fait une réstauration systéme,apparement ça à fonctionné je surfe et je n'ai plus le méssage!

Pierre · Answer

Ce virus existe bien, j'en suis une victime.
J'était, moi aussi, sur un site de streaming et la même page s'afficha. Elle m'accusait d'infraction a la"loi des droits d'auteurs..." et me demadait aussi une amende de 100 euros apres m'avoir bloqué mon ordinateur.

Virus police nationale avec demande d'argent

39 réponses

Discussions similaires