Virus police nationnale

Damien29000 Messages postés 14 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

comme beaucoup j'ai été infecté par le virus police nationnale qui me bloque tout accès au bureau en m'affichant un message me demandant de payer pour débloquer mon ordi.

J'ai donc voulu lancer mon centre de sauvegarde et de restauration mais quand je double clique aucune fenêtre s'ouvre. J'ai tenté de l'ouvrir avec l'invit de commande et toujours rien.

Comment faire?

16 réponses

  1. choubaka Messages postés 5535 Date d'inscription   Statut Modérateur Dernière intervention   2 113
     
    bonjour

    Essayez ce qui suit

    https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol
    1
  2. Damien29000 Messages postés 14 Statut Membre
     
    Oki je vais voir ça merci !!
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Quelle est la version de Windows du PC infecté ?
    0
  4. Damien29000 Messages postés 14 Statut Membre
     
    Vista donc j'ai bien fait attention d'aller dans cette rubrique sur le lien que vous m'avez envoyé.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      J'ai édité le lien, essaye de suivre la procédure qui consiste à remettre explorer.exe dans la clef Shell voir ce que ça donne.
      0
    2. Damien29000 Messages postés 14 Statut Membre
       
      Oki merci je vais voir se que ça donne en espérant que ça marche. Normalement ça devrait être bon ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Damien29000 Messages postés 14 Statut Membre
     
    Bon je viens d'essayer la manip du site à savoir:
    allez dans l'invit de commande et chercher le Shell afin de supprimer "explorer.exe" et ensuite retaper "explorer.exe"
    puis j'ai redémarré l'ordi en tapant shutdown/r

    Mais ça n'a pas fonctionné. Le message du virus c'est de retour affiché sauf que cette fois ci ça a mis un peu plus de temps à s'afficher (bon signe?)

    je vais continuer de suivre les consignes du site sauf si je dois faire autre chose
    0
  7. Damien29000 Messages postés 14 Statut Membre
     
    Je suis désolé mais je suis vraiment perdu. Je ne sais pas du tout quoi faire..
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p195540
    Ensuite tu démarres sur OTLPE.
    Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

    Une fois dessus, tu fais le scan personnalisé (en copie/collant le script donné dans le lien ci-dessus).
    Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
    Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

    Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
    Tout cela est donné dans le lien, ci-dessus.

    0
  9. Damien29000 Messages postés 14 Statut Membre
     
    Oki je vais essayer de faire ça
    Seulement je viens de lire que lors du redémarrage de l'ordi il faut que l'ordi lise le cd ou la clé USB seulement ça je sais pas faire (j'ai des connaissances limitées en info
    )
    0
  10. choubaka Messages postés 5535 Date d'inscription   Statut Modérateur Dernière intervention   2 113
     
    Alors suivre ce qui suit

    Modifier l'ordre de démarrage dans le BIOS
    0
  11. Damien29000 Messages postés 14 Statut Membre
     
    Bon j'essaye depuis 15min d'amorcer mon ordi sur clé USB.
    J'ai taper Echap au démarrage de l'ordi et ai inscrit par d'ordre d'amorcage la lecture du port USB en premier et malgrés cela l'ordi se lance en lecture disque dure de l'ordi..
    0
  12. Damien29000 Messages postés 14 Statut Membre
     
    non
    0
  13. Damien29000 Messages postés 14 Statut Membre
     
    En fait j'ai mis le logiciel OTLP qu'on m'a conseillé (voir plus haut) et j'ai essayé de lancer l'ordi en lecture USB
    Quand j'ai regardé le contenu de la clé il y avait le logiciel mais un fichier textenommé BOOTEX s'est installé dans la clé qui dit ceci:

    Vérification du système de fichiers sur F:
    Le type du système de fichiers est FAT32.

    L'intégrité de l'un de vos disques doit être vérifiée.
    Vous pouvez annuler cette vérification, mais son exécution est
    fortement recommandée.
    Windows va maintenant vérifier le disque.
    Le numéro de série du volume est A2F0-5BDA
    Windows a vérifié le système de fichiers sans trouver de problème.

    3992993792 octets d'espace disque au total.
    98091008 octets dans 1 fichiers.
    3894886400 octets disponibles sur le disque.

    16384 octets dans chaque unité d'allocation.
    243713 unités d'allocation au total sur le disque.
    237725 unités d'allocation disponibles sur le disque.

    est ce normal?
    0
  14. Damien29000 Messages postés 14 Statut Membre
     
    Bon j'ai essayé autre chose
    j'ai télécharger le logiciel Malwarebytes
    J'ai fait un exam complet en prenant soin de retirer tous périphériques ou toutes les applications en cours afin de ne laisser que le logiciel qui traite l'exam
    A la fin j'ai eu 3 éléments à supprimer et pour ça on m'a demandéé de redémarrer l'ordi avant. Je l'ai fait puis j'ai ensuite supprimé les 3 éléments.
    Voici le rapport:

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.02.03

    Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    Tantax :: PC-DE-TANTAX [administrateur]

    02/03/2012 16:53:28
    mbam-log-2012-03-02 (16-53-28).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 472179
    Temps écoulé: 1 heure(s), 11 minute(s), 27 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Users\Tantax\Desktop\Jeux\Hitman Full Scene Pack-French\Hitman - codename 47\crack\Hitman.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Tantax\Documents\FrostWire\Saved\track001\player_setup.exe (Trojan.Tracur.S) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Tantax\AppData\Local\Temp\0.08593608520371943g8j8.exe (Exploit.Drop.4) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Le soucis c'est que parmis ces 3 éléments il semble pas que le virus police nationnal y figure..

    Un Avis?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ha le mode sans échec fonctionne ?


      Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

      * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
      (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

      * Lance OTL
      * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
      netsvcs
      msconfig
      safebootminimal
      safebootnetwork
      activex
      drivers32
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %temp%\.exe /s
      %SYSTEMDRIVE%\*.exe
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\System32\config\*.sav
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      /md5stop
      HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
      CREATERESTOREPOINT
      nslookup www.google.fr /c
      SAVEMBR:0
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs

      * Clique sur le bouton Analyse.
      * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
      0
    2. Damien29000 Messages postés 14 Statut Membre
       
      oki je vais voir ça merci pour votre réponse
      et oui le mode sans échec fonctionne
      seulement est ce que se que j'ai fait est utile? que révèle le diagnostique?
      0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKCU..\Run: [rm0bzgl3.exe] C:\Users\Tantax\AppData\Roaming\rm0bzgl3.exe ()


    * redemarre le pc sous windows et poste le rapport ici

    Tu devrais récupérer la main.

    A désinstaller:
    * Pour Windows Vista/Seven : Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités

    AstkBar
    Offerbox
    Radio Toolbar / Conduit <= sauf si tu t'en sers
    Yahoo Toolbar

    ~~

    Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
    L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
    Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
    Des pubs trompeuses peuvent aussi être utilisés pour faire installer ces logiciels.

    Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels councourent à ralentir condésirablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
    Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

    Tu as la même chose avec les barres d'outils :
    Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
    Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
    Au final, il est pas conseillé d'en utiliser.

    Lire :
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

    ~~

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    0