Bunderpolizei virus

Résolu
noelle240367 -  
 Utilisateur anonyme -
Bonjour,

je suis sous xp et hier soir, une page bunderpolizei est apparue, rien de possible, à part cette page, j'aiessayé de démarrer en mode sans échec mais pareil , que faire ?
je n'y connais rien en informatique
je suis sous xp
merci

13 réponses

Résumé de la discussion

Problème rencontré : l’ordinateur sous XP affiche une page bloquante ressemblant à une fausse police et empêche toute utilisation, même en mode sans échec, rendant l’accès au bureau difficile.
Plusieurs conseils préconisent RogueKiller, lancé en mode administrateur, pour supprimer les composants malveillants et générer un rapport RKreport.txt, puis suivre les étapes proposées (2 puis 4) et réessayer si nécessaire.
D'autres recommandations suggèrent ADWCleaner pour compléter le nettoyage et invitent à vérifier les clés système liées à Winlogon et shell afin de restaurer l’accès au système.
En parallèle, il est utile de surveiller les mises à jour logicielles et d’analyser les rapports pour repérer d’éventuels adwares ou composants non détectés, et planifier une vérification régulière du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjour,

    télécharge et transfère sur le pc infecté avec une clé usb ceci :

    * Télécharge en enregistre sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
    tu n'as qu'à cliquer dessus ou les lancer!
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide

    * puis l'option 4

    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. *
    ==>S'il ne passe pas, change son nom en Winlogon.exe.<==
    1
  2. noelle240367
     
    comment je transfère sur le pc infecté car si je mets la clé usb, rien ne se passe,
    merci
    0
  3. Utilisateur anonyme
     
    télécharge sur un pc sain roguekiller,

    branche une clé usb sur ce même pc,

    ouvre la clé,

    fais un copier coller du fichier executable de ton bueau sur la clé,

    débranche la clé du pc sain,

    branche la sur le pc infecté ,

    ouvre le contenu de la clé en faisant un clique droit dessus, puis explorer.

    trouve le fichier executable de roguekiller que tu viens de copier sur la clé.

    fais un copier coller de ce fichier sur le bureau du pc infecté !

    si tu vois que ça ne passe pas car l'infection ne te laisse pas la main, lance le diretctement depuis la clé usb, mais attention, il; se peut que l'infection (vu qu'on ne sait pas ce que c'est !) infecte la clé !

    donc, prudance !

    0
    1. Utilisateur anonyme
       
      donc, OTLPE, puis MBAM !
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      OTLPE c'est pas obligatoire, on peux remettre la clef Shell depuis l'invite de commandes en mode sans échec vu que le shell est pas chargé, le malware ne le sera pas.
      0
    3. noelle240367
       
      en fait je ne peux pas ouvrir le cotenu de la clé usb sur le pc infecté car je n'ai accès à rien à l'ouverture de l'ordi infecté aucune comande et je suis nulle en info, donc je ne sais pas ouvrir la clé usb avec rien, je ne peux que ettre la clé usb dans le port et celle ci clignote
      merci
      0
  4. Utilisateur anonyme
     
    mak, j'ai remarqué que tous ceux qui visionnent des trucs via Streming choppent ça !

    l'infection devient virulent !

    Merci mak :D

    @noelle240367 :

    suis ceci,

    rdémarre ton pc en tappotant sur la touche F8,

    aller en invite de commande en mode sans échec.
    une page d'invite de commande s'affiche,
    tappe regedit.exe, puis entrée.

    cherche cette clé, change sa valeur pour mettre explorer.exe :

    HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon

    Sinon Il faut utiliser un CD Live type OTLPE pour changer la clef Shell.

    Tout ceci est expliqué là :

    https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      mak, j'ai remarqué que tous ceux qui visionnent des trucs via Streming choppent ça !

      Oui, seulement j'arrive pas à le chopper :/
      0
    2. Utilisateur anonyme
       
      et moi, je n'ai plus de pc de teste, celui ci, je le garde :P

      si j'arrive à avoir le droper, je te le uplode sur WT :D

      en attendant, l'après midi va être longue :P
      0
    3. noelle240367
       
      http://www.malekal.com/wp-content/uploads/Trojan_Winlock_mahmud2.png

      Voila merci mais regardez la photo ci-dessus je ne peut pas écrire a cette endroit que faire ? J'ai juste une image noir avec les quatre coint écrit..
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      CTRL+ALT+Suppr
      ça ouvre une fenêtre ?

      Si oui, Menu Fichier / Nouvelle tâche
      et tape regedit et OK.
      0
    5. noelle240367
       
      Faut faire ça a quelle moment ? ;)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    essaie de tapper directement regedit.exe,

    si ça ne fonctionne pas :

    tappe plusieur fois cd.. jusqu'à ce que tu arrives à la raçine c:\,

    puis retappe regedit.exe !

    O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

    O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
    0
  7. Utilisateur anonyme
     
    clique sur ficher, puis nouvelle tache:

    tappe regedit.exe !

    0
    1. noelle240367
       
      Voila c'est fait ça ,mais je n'est seulement 20 secondes donc peut de temps pour taper que doije taper arpès regeditexe ?
      0
  8. Matteo48 Messages postés 60 Statut Membre 6
     
    J'ai attrapé cet atroce virus (d'autant plus que je n'ai pas attention mais mon antivirus était périmé). Comme j'ai l'habitude de regarder des séries en streaming, j'y ai eu droit.

    J'ai donc résolu le soucis en passant en safe mode et restauration du système puis malwarebythes, CCLeaner, Spybot et analyse de mon antivirus. Tout allait bien. Sauf que ce matin, en essayant de télécharger un fichier, ça me le refait.

    Je mets donc mon rapport ici afin d'éviter de créer un nouveau topic pour le même problème.
    Merci beaucoup d'avance

    RogueKiller V6.1.12 [02/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Matteo [Droits d'admin]
    Mode: Suppression -- Date : 11/12/2011 13:03:30

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Utilisateur anonyme
       
      super,

      le nom du site steming m'nteresse :D
      0
    2. Matteo48 Messages postés 60 Statut Membre 6
       
      Bah j'étais sur dbstreaming. Ca m'a ouvert une page de pub et là bam ! La police allemande débarque chez moi..
      0
    3. Utilisateur anonyme
       
      tu as un lien vers ce site ?
      0
  9. Utilisateur anonyme
     
    suis ceci pour vérifier, voir remplacer la valeur de deux clés Winlogon et shell :

    https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/

    0
    1. Matteo48 Messages postés 60 Statut Membre 6
       
      Le nom de mon Shell est "Explorer.exe". Même quand je n'arrivais pas à allumer mon pc sans avoir cette ignoble page de menace, le nom était quand même "Explorer.exe". Ce qui a résolu mon problème c'est la restauration système puis malwarebythes je pense.
      0
    2. Utilisateur anonyme
       
      MBAM a du virer un fichier dans application data, nomé mahmud.exe !

      n'est ce pas ?
      0
    3. Matteo48 Messages postés 60 Statut Membre 6
       
      Voici le rapport de fin que me mets MBAM :
      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 43267
      Temps écoulé: 1 minute(s), 51 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 5
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    4. Utilisateur anonyme
       
      passe un coup de ADWC sur ton pc,

      tu as encore des adwares sur ton pc !
      0
    5. Matteo48 Messages postés 60 Statut Membre 6
       
      C'est quoi ADWC ?
      0
  10. noelle240367
     
    Après avoir suivie tous ce chemain je ne trouve pas de valeurs SHELL ?
    0
  11. Utilisateur anonyme
     
    as tu modifié la valeur de winlogon?

    0
    1. noelle240367
       
      Comment faire ?
      0
  12. Utilisateur anonyme
     
    Désinfection

    Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
    Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.

    https://www.malekal.com/wp-content/uploads/Trojan_Winlock_mahmud3.png

    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    0
    1. Utilisateur anonyme
       
      il y a 3 versions en cous :

      - la version bête et pas bien méchante :

      celle qui est virée avec MBAM, sans plantage de pc !

      - la version qui bloque juste le bureau, tu peux le virer en mode sans echec et une réstauration de système,

      - la version un peu plus méchante, qui remplace explorer dans la clé winlogon et shell, c'est celle ci que tu as vu, ta page la montre bine !


      va t il avoir une nouvelle variante ?

      à suivre : /
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui
      - une par run
      - une qui remplace shell
      - une qui doit remplacer explorer.exe
      0
    3. Utilisateur anonyme
       
      personne est en mesure de filer le lien du site, mais il y en a un qui m'a parlé de dpstreming.com !

      tu peux essayer s'il te plait ?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je suis dessus depuis 1h mais les pubs sont correctes :/
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      confirmé pour le explorer.exe : http://www.virustotal.com/file-scan/report.html?id=d9c4b2f9b6fc87afb2ecfd6bf3227b1f5a488728ca7a24b9fab38eba78a09505-1323611473
      0
  14. Utilisateur anonyme
     
    non,
    moi je suis le boulanger du coin et mak, heuuu, tu lui posera la question :D

    non, je déconne :D

    on est tous des bénévoles et on passe notre temps libre, quand il y en a, à aider nos prochains :D

    attends avoir de sauter au plafond :D

    fais les passer un par un sur le site de virus total pour voir si les fichiers n'ont pas été patché :

    Rends toi sur l'un des sites ci-dessous :

    https://www.virustotal.com/gui/
    ou
    https://virusscan.jotti.org/en
    ou
    https://www.virscan.org/

    clique sur parcourir et cherche ce fichier :

    explorer.exe

    winlogon.exe


    clique sur send file
    un rapport va s'élaborer ligne à ligne
    attends un peu, il doit comprendre la taille du fichier envoyé
    une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

    O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

    O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
    0
    1. Utilisateur anonyme
       
      Up !


      mak,

      en bas de ta page, il faut metter de suivre une vérification du pc !

      là, le pc fonctionne de nouveau, mais je parie qu'on trouve les habitués (adwares et Cie, java et adobe non à jour ... ) sur le rapport
      0