Virus de la police nationale aussi Résolu/Fermé

Question

Bonjour, 
J'ai moi aussi été contaminée par le virus "police nationale" ce week end lorsque j'étais sur un site de streaming. Une grand écran blanc avec le message, et impossible de retourner sur le bureau. J'ai été obligé d'éteindre mon ordi en maintenant le bouton marche/arret quelques secondes.

Au redémarrage, à priori, aucun dégât visible, sauf que... Mon antivirus a rendu l'âme, impossible de le lancer, rien n'y fait, je clique, et il ne se passe plus rien. Pareil pour spybot qui refuse de se lancer.
Mozilla qui se bloque très, trop souvent par rapport à d'habitude, et mon ordi qui redémarre quelque fois, avec après le message " window a récupéré d'une erreur sérieuse"

J'ai donc désinstallé Antivir, et mis Avast à la place qui m'a trouvé des tonnes de fichiers infectés (dll et exe) par le virus "win32 quelque chose"..

Donc bon, j'ai fait le pré scan, comme j'ai vu sur les autres post en rapport avec ce virus, je le poste ici, si quelqu'un peut prendre quelques minutes pour le regarder, parce que j'y comprend pas grand chose :(

Merci d'avance!

http://www.cijoint.fr/cjlink.php?file=cj201110/cijKvQ3VWH.txt


Configuration: Windows XP / Firefox 7.0.1

spikia · Answer

Je relance parce qu'apparement je viens de voir que le truc que j'ai sur mon pc c'est Win 32 Rammit... et que c'est vraiment très très mauvais.

Comment faire?

Merci à vous!

Utilisateur anonyme · Answer

Bonjour Attaquons de suite avec : Télécharge Dr Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique drweb-cureit.exe et ensuite clique sur Analyse; - Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui. Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok. - De retour à la fenêtre principale : clique pour activer Analyse complète - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique Oui< /gras> pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter. - Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable. - Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse. @+ ---------Contributeur Sécurité--------- On a tous été un jour débutant dans quelque chose. Mais le savoir est la récompense de l'assiduité.

spikia · Answer

Alors j'ai téléchargé Dr Web, et je l'ai lancé, il s'est mis en mode renforcé. Puis j'ai lancé l'analyse rapide, mais là problème, ça bloque au niveau d'un fichier ( dans system32\libmng.dll) au bout de 45 min de bloquage, j'ai redemarré l'ordi.

Après le redémarrage, j'ai relancé dr web, pareil il s'est mis en mode renforcé. Cette fois-ci je surveille quand il arrive au fichier cité ci dessus, il le passe sans problème, je m'en occupe plus trop, je le laisse faire son travail..Mais au bout d'une heure et demi, je reviens croyant que ça serait terminé, mais là, il est bloqué sur un autre fichier (system32\dllcache\ddraw.dll), et là ça doit bien faire 35 min qu'il est sur le fichier.

Est ce que je le laisse encore quelques heures voir s'il se passe quelque chose? Qu'est ce que je pourrais faire d'autre? Parce que là je n'ai aucun rapport à envoyer, l'analyse n'est pas complète.

Utilisateur anonyme · Answer

Re

Laisse le faire;et un peu de patience est demandé;merci.

@+

spikia · Answer

oui désolée pour ce manque de patience. Alors j'ai laissé tourner dr web tout l'apres midi, et là ça fait bientôt 7h que je l'ai lancé, et il n'a pas bougé depuis le fichier ddraw.dll.

je pense que je vais bientôt l'arrêter, je ne pense pas qu'il se relance maintenant, et je retenterai demain dans la journée

spikia · Answer

Alors, ces derniers jours, j'ai essayé de faire marcher l'analyse rapide. Après des plantages à répétitions et l'ordi qui redémarre tout seul pendant l'analyse, j'ai finalement réussi hier à faire l'analyse rapide de l'ordi. Il m'a trouvé plein de fichiers infectés par Win 32 quelque chose 8, et des trojans.  

Je suis donc passée à l'analyse complète, et là aussi plein de fichiers infectés. Mais après 4 heures d'analyse (devait être à 60% je dirais selon la barre de progression), l'ordi a redémarré.  

Je vais donc réessayer aujourd'hui de faire l'analyse sans bug (croisons les doigts), et j'espère pouvoir poster le rapport ce soir.

spikia · Answer

Voilà le rapport de Drweb:

Uninstaller.exe	C:\Documents and Settings\All Users\Application Data\DivX\ControlPanel	Trojan.Siggen3.14811	Irréparable.Quarantaine.
A0351489.exe	C:\System Volume Information\_restore{7AFC631D-71A6-4CBE-9F8F-EFDBDC0F94C6}\RP1259	Trojan.Siggen3.14811	Irréparable.Quarantaine.
A0352478.exe	C:\System Volume Information\_restore{7AFC631D-71A6-4CBE-9F8F-EFDBDC0F94C6}\RP1259	Trojan.Siggen3.14811	Irréparable.Quarantaine.
A0354237.exe	C:\System Volume Information\_restore{7AFC631D-71A6-4CBE-9F8F-EFDBDC0F94C6}\RP1260	Trojan.Siggen3.14811	Irréparable.Quarantaine.
A0366201.exe	C:\System Volume Information\_restore{7AFC631D-71A6-4CBE-9F8F-EFDBDC0F94C6}\RP1269	Trojan.Siggen3.14811	Irréparable.Quarantaine.

A savoir, que j'avais déjà fait 4 analyses rapides, dont une seule qui a réussit à aller jusqu'au bout et me détectait des fichiers infectés qui ont été désinfectés ou supprimés. ET pour la première analyse complète qui n'a pas été jusqu'au bout, plus de 900 fichiers infectés par Win 32 R quelque chose 8 ont été désinfectés, et deux trojans trouvés supprimés.

Utilisateur anonyme · Answer

Bonjour

Vérifions cela avec une analyse avec Avast à jour.

Poste moi ce rapport ;merci.

@+

spikia · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijHcl9Yi9.txt

Voilà le rapport d'avast

Utilisateur anonyme · Answer

Bonjour

Vide cette quarantaine d'Avast.

Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

@+

PS:Tiens moi au courant ;ce n'est pas fini.

spikia · Answer

Voilà la quarantaine d'Avast est vide, et j'ai effacé tous les points de restauration.

J'ai fait un scan rapide d'Avast ce matin qui ne m'a rien détecté.

Quelles sont les prochaines choses à faire?

Utilisateur anonyme · Answer

Bonjour

Procède à la mise à jour de Windows >>SP3 via Windows Update.

Ensuite:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php

http://pjjoint.malekal.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

spikia · Answer

Pour la mise à jour Windows, j'avais déjà essayé, mais pour je ne sais quelle raison, au milieu de l'installation, la mise à jour s'arrête.

Du coup, j'ai réessayé là, mais pareil, au milieu de la mise à jour, il y a un message d'erreur, et la mise à jour s'arrête, en disant que celle ci n'a pas été installée complétement et que pourrait mal fonctionner.


Voilà le rapport ZHPdiag: http://www.cijoint.fr/cjlink.php?file=cj201110/cijYN7T7k5.txt

Utilisateur anonyme · Answer

Bonjour 

Peux tu me donner le numéro de la mise à jour qui ne s'exécute pas. 


De plus pour vérification;fait ceci:
 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
    
Poste moi son rapport à l'issue; merci


@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

spikia · Answer

Voilà le rapport de TDSSkiller, alors il ne m'a pas demandé de redémarrer l'ordi, et quand j'ai fermé le programme, le rapport ne s'est pas affiché, mais je l'ai retrouvé dans C:/ .Il n'a trouvé qu'un suspicious file.

http://www.cijoint.fr/cjlink.php?file=cj201110/cij1Cnc0Pt.txt

Pour la mise à jour, il s'agit du Window XP service pack 3 (KB936929)

Utilisateur anonyme · Answer

Bonjour

Regarde ici :

https://support.microsoft.com/fr-fr/help/949377

@+

spikia · Answer

Bonjour,

Bon bah finalement même avec les solutions qu'ils proposent, l'installation ne va toujours pas à son terme. C'est vraiment grave si cette MAJ n'est pas installée?

Utilisateur anonyme · Answer

Bonsoir

Oui ,ton PC présente des failles de sécurité importantes.

As tu téléchargé le pack SP3 comme proposé?

@+

spikia · Answer

Bonsoir,

Oui je l'ai téléchargé directement du centre de sécurité comme ils proposent. J'ai redémarré mon ordinateur et lancé l'installation.

Les premières étapes ont bien marché, et au moment de l'installation, je dirais à 75%, il y a un message d'erreur, et l'installation s'arrête avec le message qui dit que la mise à jour n'a pas été installé complètement et que ça pourrait mal marcher. Puis l'ordinateur fait marche arrière en réinstallant, ou en recopiant je sais pas trop tout ce qu'il avait fait avant l'installation.

J'ai donc redémarré l'ordi, puis j'ai désactivé Avast comme proposé dans la deuxième solution, et idem.

Je pense qu'une fois sur deux quand j'éteins mon ordi, des mises à jours se font.

Utilisateur anonyme · Answer

Re

Essaie de procéder en mode sans echec.

@+

spikia · Answer

Re,

bon alors j'ai un nouveau soucis, et alors je suis étonnée, je pensais pas que ça pouvait arriver, mais mon ordinateur refuse de démarrer en mode sans échec (avec ou sans prise en charge du réseau, j'ai essayé les deux).  J'explique

En allumant l'ordi, F8, on me demande de choisir "mode sans échec" "mode sans échec avec pec du réseau" "invite aux commande de mode sans échec" et "démarrer normalement"

Je prend avec pec du réseau, là y'a plein d'écriture qui se charge...puis écran noir avec marqué en bas, appuie sur echap pour annuler le chargement de SPTD.sys....puis l'ordi redémarre et me repose la question de comment je veux démarrer... Je recommence etc etc... Ça tourne en boucle.

J'ai essayé trois fois mode sans échec, et trois fois mode sans échec avec pec du réseau. J'ai redémarré mon ordi normalement, je l'ai éteins, je l'ai rallumé, retenté le mode sans échec quelques fois mais c'est le même cirque.

J'imagine que c'est vraiment pas normal là... Un virus (ou autre) peut faire ça? Ou alors c'est carrément un soucis avec le matériel là?

Utilisateur anonyme · Answer

Re

Il ne te reste qu'a mettre à plat ton système(restauration)

Regarde ici pour savoir comment faire.

https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit


Tiens moi au courant;merci.

@+

Utilisateur anonyme · Answer

Bonjour

Il s'agit bien d'un formatage.Non tu ne tiens compte seulement que des extensions de  fichiers que tu peux sauvegarder avant ce formatage.

@+

spikia · Answer

Voilà, j'ai formaté mon ordinateur. J'ai réinstallé Avast en premier avant de faire quoi que ce soit, et là, je réinstalle tout doucement mes programmes les uns après les autres.

J'ai réussi à installer le service pack 3, ce qui est une bonne nouvelle! Ainsi que toutes les mises à jour que window m'a proposé.

voilà, je pense que j'ai enfin pu me débarrasser de Rammit. Sacré virus!

Merci beaucoup pour ton aide et ton temps!

Utilisateur anonyme · Answer

Bonjour

Je met le post en résolu.

Bon surf ,mais avec vigilance.

@+

Virus de la police nationale aussi

25 réponses

Discussions similaires