Trojan et virus "police nationale"

Résolu
Joze -  
 g3n-h@ckm@n -
Bonjour,
depuis hier soir j'ai un problème avec le virus "police nationale". Cela bloque complètement ma session, je ne peux plus accéder à rien (même ctrl+alt+suppr ne répond pas) et je suis donc obligée d'éteindre manuellement le PC.
J'ai pu accéder à ma session "invité" et j'ai lancé un scan avec Avira. Il a trouvé ça :
- TR/Crypt.EPACK.Gen2
- TR/ClickMe.sdf
- ADWARE/Adware.Gen

Avira les a placé en quarantaine mais ça ne change en rien...Quand je retourne sur ma session elle se retrouve encore bloquée par le message "Police Nationale"...
Si ça peut servir voici le rapport du scan http://www.cijoint.fr/cjlink.php?file=cj201110/cij9rYaTxP.doc

Que faire?? Merci à celui ou celle qui pourra m'aider!


20 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Inscris toi avant tout ,sinon je ne pourrais lire ce rapport demandé.

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php

    http://pjjoint.malekal.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  2. Joze-C Messages postés 9 Statut Membre
     
    Merci de ta réponse! le problème c'est que la seule session à laquelle je peux accéder est la session "invité" et donc quand je veux installer le programme je suis bloquée par un message me disant que je ne peux pas car je ne dispose pas des droits d'administrateur...Et ma session administrateur est bloquée complet par le message fake de la police nationale...
    T'aurais une alternative?

    merci en tout cas
    A+
    0
  3. Joze-C Messages postés 9 Statut Membre
     
    re
    j'ai fait tout ce que tu m'as dit et ça donne ça : http://www.cijoint.fr/cjlink.php?file=cj201110/cij7KniSBS.txt

    merci
    a+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Re

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -------------------------------------------------------------------------------------------------


    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (...) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll (.not file.)
    O4 - HKLM\..\Run: [updtr.exe] c:\windows\system32\updtr.exe (.not file.)
    [HKLM\Software\MozillaPlugins\@viewpoint.com/VMP]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1]
    [HKLM\Software\Classes\axmetastream.metastreamctl]
    [HKLM\Software\Classes\axmetastream.metastreamctl.1]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]
    O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
    [HKLM\Software\Conduit]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
    [HKLM\Software\Classes\Conduit.Engine]
    [HKLM\Software\Classes\toolband.eb_explorerbar]
    [HKLM\Software\Classes\toolband.eb_explorerbar.1]
    [HKLM\Software\Classes\toolband.ipm_printlistitem]
    [HKLM\Software\Classes\toolband.ipm_printlistitem.1]
    [HKLM\Software\Classes\toolband.pm_launcher]
    [HKLM\Software\Classes\toolband.pm_launcher.1]
    [HKLM\Software\Classes\toolband.pm_printmanager]
    [HKLM\Software\Classes\toolband.pm_printmanager.1]
    [HKLM\Software\Classes\toolband.pr_bindstatuscallback]
    [HKLM\Software\Classes\toolband.pr_bindstatuscallback.1]
    [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler]
    [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1]
    [HKLM\Software\Classes\toolband.tbtoolband]
    [HKLM\Software\Classes\toolband.tbtoolband.1]
    [HKLM\Software\Classes\toolband.useroptions]
    [HKLM\Software\Classes\toolband.useroptions.1]
    [HKLM\Software\Conduit]
    FirewallRAZ
    Emptytemp

    --------------------------------------------------------------------------------------------
    Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »
    .

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    *Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    *Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    A+

    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  6. Joze-C Messages postés 9 Statut Membre
     
    hey,
    après avoir cliqué sur GO, le programme a bien commencé le nettoyage et m'a demandé de redémarrer car le mode sans échec permettait pas d'aller au bout. J'ai redémarré, ça a restauré ma session mais je n'ai pas de rapport ZHPFix dans le dossier ZHPDiag...
    la bonne nouvelle c'est que le message "police nationale" n'est pas réapparu..
    0
  7. Utilisateur anonyme
     
    Re

    Poste moi un rapport ZHPDiag dans ce mode normal;merci.

    @+
    0
  8. Joze-C Messages postés 9 Statut Membre
     
    Voilà : http://www.cijoint.fr/cjlink.php?file=cj201110/cij2PP2MBw.txt

    merci merci!!!

    ps : je dois me déconnecter, je reviendrai plus tard dans la soirée
    0
  9. Utilisateur anonyme
     
    Bonjour

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -------------------------------------------------------------------------------------------------


    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (...) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll (.not file.)
    O4 - HKLM\..\Run: [updtr.exe] c:\windows\system32\updtr.exe (.not file.)
    [HKLM\Software\MozillaPlugins\@viewpoint.com/VMP]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1]
    [HKLM\Software\Classes\axmetastream.metastreamctl]
    [HKLM\Software\Classes\axmetastream.metastreamctl.1]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]
    [HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]
    M3 - MFPP: Plugins - [cha] -- C:\Documents and Settings\cha\Application Data\Mozilla\Firefox\Profiles\dun355h8.default\searchplugins\askcom.xml
    M2 - MFEP: prefs.js [cha - dun355h8.default\engine@conduit.com] [] Conduit Engine v3.2.5.2 (.Conduit Ltd..)
    M2 - MFEP: prefs.js [cha - dun355h8.default\{ef79f67a-6ad7-4715-a0f8-932fca442023}] [] BittorrentBar_FR Community Toolbar v3.2.5.2 (.Conduit Ltd..)
    O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
    [HKCU\Software\AppDataLow\AskSA]
    [HKCU\Software\BittorrentBar_FR]
    O43 - CFD: 20/12/2010 - 13:38:14 - [0] ----D- C:\Documents and Settings\cha\Local Settings\Application Data\BittorrentBar_FR
    O69 - SBI: C:\Documents and Settings\cha\Application Data\Mozilla\Firefox\Profiles\dun355h8.default\searchplugins\askcom.xml
    O69 - SBI: prefs.js [cha - dun355h8.default] user_pref("CT2849852.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2849852
    O69 - SBI: prefs.js [cha - dun355h8.default] user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
    [HKLM\Software\Classes\Conduit.Engine]
    [HKLM\Software\Classes\toolband.eb_explorerbar]
    [HKLM\Software\Classes\toolband.eb_explorerbar.1]
    [HKLM\Software\Classes\toolband.ipm_printlistitem]
    [HKLM\Software\Classes\toolband.ipm_printlistitem.1]
    [HKLM\Software\Classes\toolband.pm_launcher]
    [HKLM\Software\Classes\toolband.pm_launcher.1]
    [HKLM\Software\Classes\toolband.pm_printmanager]
    [HKLM\Software\Classes\toolband.pm_printmanager.1]
    [HKLM\Software\Classes\toolband.pr_bindstatuscallback]
    [HKLM\Software\Classes\toolband.pr_bindstatuscallback.1]
    [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler]
    [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1]
    [HKLM\Software\Classes\toolband.tbtoolband]
    [HKLM\Software\Classes\toolband.tbtoolband.1]
    [HKLM\Software\Classes\toolband.useroptions]
    [HKLM\Software\Classes\toolband.useroptions.1]
    [HKCU\Software\BittorrentBar_FR]
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
    C:\Documents and Settings\cha\Local Settings\Application Data\BittorrentBar_FR
    C:\Documents and Settings\cha\Application Data\Mozilla\Firefox\Profiles\dun355h8.default\Conduit
    C:\Documents and Settings\cha\Application Data\Mozilla\Firefox\Profiles\dun355h8.default\ConduitEngine
    C:\Documents and Settings\cha\Application Data\Mozilla\Firefox\Profiles\dun355h8.default\Extensions\engine@conduit.com
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.)
    OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    O4 - HKCU\..\Run: [BitComet] C:\Program Files\BitComet\BitComet.exe (.not file.)
    O42 - Logiciel: Java 2 Runtime Environment, SE v1.4.2_05 - (.Sun Microsystems, Inc..) [HKLM] -- {7148F0A8-6813-11D6-A77B-00B0D0142050}
    O42 - Logiciel: Java 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216016FF}
    O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
    FirewallRAZ
    Emptytemp

    --------------------------------------------------------------------------------------------
    Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »
    .

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    *Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    *Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    A+

    0
  10. Joze-C Messages postés 9 Statut Membre
     
    Bonjour!
    comme demandé voici le rapport ZHPFix http://www.cijoint.fr/cjlink.php?file=cj201110/cijZynZPhl.txt

    A plus trad!
    Et encore merci
    0
  11. Utilisateur anonyme
     
    Re

    1)Installe la dernière version de java.


    2)
    Désinstalle Adobe reader et utilise en lieu et place un simple lecteur ;moins lourd et plus fiable côté sécurité; de fichier PDF>>> Foxit reader

    3)Installe Internet Explorer 8 même si tu ne l'utilises pas;Windows le fait pour ces MaJ.


    4)
    On est à la version 7 de Firefox;fait le nécessaire.

    Tiens moi au courant ,une fois ces mises à jour effectuées;merci.

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  12. Joze-C Messages postés 9 Statut Membre
     
    Bonjour,
    voilà c'est fait!
    à plus tard
    0
  13. Utilisateur anonyme
     
    Bonjour

    1) Télécharge DelFix de Xplode
    Ou si problème sur ce site : http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

    Ou encore : https://www.commentcamarche.net/download/s/delfix

    * Lance le.
    * A l'invite, [Suppression]
    * Un rapport va s'ouvrir à la fin, colle le dans la réponse

    Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


    2)
    Tu disposes de Ccleaner;met le à jour et passe le avec ces réglages.
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .clique maintenant sur registre et puis sur rechercher les erreurs
    .laisse tout coché et clique sur réparer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner.

    3)Purge la restauration comme ceci :
    http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

    Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

    @+
    0
  14. Joze-C Messages postés 9 Statut Membre
     
    Re,
    alors ici le rapport DelFix
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijDvNIe4F.txt

    J'ai un doute par rapport à une étape avec CCleaner, . "coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la".

    Est-ce que ça veut dire que de tout l'onglet windows seule la case "vielles données du perfetch" doit être cochée? ou que les cases précochées le restent et que je coche en plus "vielles données du perfetch" dans "avancé"?

    merci!
    0
  15. Utilisateur anonyme
     
    Bonjour

    Dans la rubrique Avancé seule cette case "vielles données du..." est cochée

    Si tu n'as plus de problèmes ,je te propose de clore ce post.

    @+
    0
  16. Joze-C Messages postés 9 Statut Membre
     
    Bonjour,
    désolée j'ai du m'absenter hier. J'ai refait un scan avec antivir et effectivement tout va bien!!
    merci beaucoup pour tes conseils et ta réactivité sur ces derniers jours, sincèrement merci!
    0
  17. Clem_P
     
    Bonjour, je viens d'avoir le même problème, du coup j'ai télécharger ZHPDiag et j'ai mis le rapport du diagnostique à ce lien :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111214_12i11p9r10n9

    N'ayant jamais utilisé ce genre de logiciel, pouvez-vous m'aider pour la suite afin de récupérer mon outil de travail?
    0
  18. dede 08
     
    il faut redemarer et faire f8 toute de suite de façon a tomber sur mode sans echec telecharger MALWAREBYTES VERSION GRATUITE PUIS puis lançer un scan complet et ensuite suprimer les bebetes ça fiontionne
    0
  19. Clem_P
     
    bonjour,
    je ne peut utiliser le mode sans échec, tout ce que je réussi à faire c'est de démarrer en invite de commande sans echec.
    Du coup j'ai accès a mon gestionnaire de tache qui me permet de lancer des programmes tels que Malwarebytes, avira antivir ou encore Roguekiller mais sans résultats.
    du coup toujours bloqué... HELP ME SVP!!!
    0