Bunderpolizei virus
Résolu
noelle240367
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
je suis sous xp et hier soir, une page bunderpolizei est apparue, rien de possible, à part cette page, j'aiessayé de démarrer en mode sans échec mais pareil , que faire ?
je n'y connais rien en informatique
je suis sous xp
merci
je suis sous xp et hier soir, une page bunderpolizei est apparue, rien de possible, à part cette page, j'aiessayé de démarrer en mode sans échec mais pareil , que faire ?
je n'y connais rien en informatique
je suis sous xp
merci
A voir également:
- Bunderpolizei virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
13 réponses
bonjour,
télécharge et transfère sur le pc infecté avec une clé usb ceci :
* Télécharge en enregistre sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
tu n'as qu'à cliquer dessus ou les lancer!
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. *
==>S'il ne passe pas, change son nom en Winlogon.exe.<==
télécharge et transfère sur le pc infecté avec une clé usb ceci :
* Télécharge en enregistre sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
tu n'as qu'à cliquer dessus ou les lancer!
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. *
==>S'il ne passe pas, change son nom en Winlogon.exe.<==
télécharge sur un pc sain roguekiller,
branche une clé usb sur ce même pc,
ouvre la clé,
fais un copier coller du fichier executable de ton bueau sur la clé,
débranche la clé du pc sain,
branche la sur le pc infecté ,
ouvre le contenu de la clé en faisant un clique droit dessus, puis explorer.
trouve le fichier executable de roguekiller que tu viens de copier sur la clé.
fais un copier coller de ce fichier sur le bureau du pc infecté !
si tu vois que ça ne passe pas car l'infection ne te laisse pas la main, lance le diretctement depuis la clé usb, mais attention, il; se peut que l'infection (vu qu'on ne sait pas ce que c'est !) infecte la clé !
donc, prudance !
branche une clé usb sur ce même pc,
ouvre la clé,
fais un copier coller du fichier executable de ton bueau sur la clé,
débranche la clé du pc sain,
branche la sur le pc infecté ,
ouvre le contenu de la clé en faisant un clique droit dessus, puis explorer.
trouve le fichier executable de roguekiller que tu viens de copier sur la clé.
fais un copier coller de ce fichier sur le bureau du pc infecté !
si tu vois que ça ne passe pas car l'infection ne te laisse pas la main, lance le diretctement depuis la clé usb, mais attention, il; se peut que l'infection (vu qu'on ne sait pas ce que c'est !) infecte la clé !
donc, prudance !
C'est impossible d'executer quoique ce soit, le shell est modifié par le malware, on a accès à rien.
=> https://forums.commentcamarche.net/forum/affich-23866841-bunderpolizei#2
=> https://forums.commentcamarche.net/forum/affich-23866841-bunderpolizei#2
mak, j'ai remarqué que tous ceux qui visionnent des trucs via Streming choppent ça !
l'infection devient virulent !
Merci mak :D
@noelle240367 :
suis ceci,
rdémarre ton pc en tappotant sur la touche F8,
aller en invite de commande en mode sans échec.
une page d'invite de commande s'affiche,
tappe regedit.exe, puis entrée.
cherche cette clé, change sa valeur pour mettre explorer.exe :
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
Sinon Il faut utiliser un CD Live type OTLPE pour changer la clef Shell.
Tout ceci est expliqué là :
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
l'infection devient virulent !
Merci mak :D
@noelle240367 :
suis ceci,
rdémarre ton pc en tappotant sur la touche F8,
aller en invite de commande en mode sans échec.
une page d'invite de commande s'affiche,
tappe regedit.exe, puis entrée.
cherche cette clé, change sa valeur pour mettre explorer.exe :
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon
Sinon Il faut utiliser un CD Live type OTLPE pour changer la clef Shell.
Tout ceci est expliqué là :
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
essaie de tapper directement regedit.exe,
si ça ne fonctionne pas :
tappe plusieur fois cd.. jusqu'à ce que tu arrives à la raçine c:\,
puis retappe regedit.exe !
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
si ça ne fonctionne pas :
tappe plusieur fois cd.. jusqu'à ce que tu arrives à la raçine c:\,
puis retappe regedit.exe !
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
J'ai attrapé cet atroce virus (d'autant plus que je n'ai pas attention mais mon antivirus était périmé). Comme j'ai l'habitude de regarder des séries en streaming, j'y ai eu droit.
J'ai donc résolu le soucis en passant en safe mode et restauration du système puis malwarebythes, CCLeaner, Spybot et analyse de mon antivirus. Tout allait bien. Sauf que ce matin, en essayant de télécharger un fichier, ça me le refait.
Je mets donc mon rapport ici afin d'éviter de créer un nouveau topic pour le même problème.
Merci beaucoup d'avance
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Matteo [Droits d'admin]
Mode: Suppression -- Date : 11/12/2011 13:03:30
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai donc résolu le soucis en passant en safe mode et restauration du système puis malwarebythes, CCLeaner, Spybot et analyse de mon antivirus. Tout allait bien. Sauf que ce matin, en essayant de télécharger un fichier, ça me le refait.
Je mets donc mon rapport ici afin d'éviter de créer un nouveau topic pour le même problème.
Merci beaucoup d'avance
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Matteo [Droits d'admin]
Mode: Suppression -- Date : 11/12/2011 13:03:30
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
suis ceci pour vérifier, voir remplacer la valeur de deux clés Winlogon et shell :
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
Voici le rapport de fin que me mets MBAM :
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 43267
Temps écoulé: 1 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 43267
Temps écoulé: 1 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{70C6E9DE-F30E-4A40-8A6F-9572C2328320} (PUP.FCTPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Désinfection
Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.
https://www.malekal.com/wp-content/uploads/Trojan_Winlock_mahmud3.png
Le malware modifie donc la clef Shell pour remplacer le shell (bureau Windows) explorer.exe par lui même pour le moment mahmud.exe
Pour récupérer le bureau et empécher le démarrage du malware, il faut remettre la clef Shell.
https://www.malekal.com/wp-content/uploads/Trojan_Winlock_mahmud3.png
Je crois qu'il y a une version qui remplace explorer.exe (donc clef Shell OK).
https://forums.commentcamarche.net/forum/affich-23867022-win-xp-virus-gendarmerie-nationale#13
et ici le hash d'explorer est pas bon :
https://forums.commentcamarche.net/forum/affich-23859809-virus-soit-disant-police-nationale#5
https://forums.commentcamarche.net/forum/affich-23867022-win-xp-virus-gendarmerie-nationale#13
et ici le hash d'explorer est pas bon :
https://forums.commentcamarche.net/forum/affich-23859809-virus-soit-disant-police-nationale#5
il y a 3 versions en cous :
- la version bête et pas bien méchante :
celle qui est virée avec MBAM, sans plantage de pc !
- la version qui bloque juste le bureau, tu peux le virer en mode sans echec et une réstauration de système,
- la version un peu plus méchante, qui remplace explorer dans la clé winlogon et shell, c'est celle ci que tu as vu, ta page la montre bine !
va t il avoir une nouvelle variante ?
à suivre : /
- la version bête et pas bien méchante :
celle qui est virée avec MBAM, sans plantage de pc !
- la version qui bloque juste le bureau, tu peux le virer en mode sans echec et une réstauration de système,
- la version un peu plus méchante, qui remplace explorer dans la clé winlogon et shell, c'est celle ci que tu as vu, ta page la montre bine !
va t il avoir une nouvelle variante ?
à suivre : /
non,
moi je suis le boulanger du coin et mak, heuuu, tu lui posera la question :D
non, je déconne :D
on est tous des bénévoles et on passe notre temps libre, quand il y en a, à aider nos prochains :D
attends avoir de sauter au plafond :D
fais les passer un par un sur le site de virus total pour voir si les fichiers n'ont pas été patché :
Rends toi sur l'un des sites ci-dessous :
https://www.virustotal.com/gui/
ou
https://virusscan.jotti.org/en
ou
https://www.virscan.org/
clique sur parcourir et cherche ce fichier :
explorer.exe
winlogon.exe
clique sur send file
un rapport va s'élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
moi je suis le boulanger du coin et mak, heuuu, tu lui posera la question :D
non, je déconne :D
on est tous des bénévoles et on passe notre temps libre, quand il y en a, à aider nos prochains :D
attends avoir de sauter au plafond :D
fais les passer un par un sur le site de virus total pour voir si les fichiers n'ont pas été patché :
Rends toi sur l'un des sites ci-dessous :
https://www.virustotal.com/gui/
ou
https://virusscan.jotti.org/en
ou
https://www.virscan.org/
clique sur parcourir et cherche ce fichier :
explorer.exe
winlogon.exe
clique sur send file
un rapport va s'élaborer ligne à ligne
attends un peu, il doit comprendre la taille du fichier envoyé
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
