virus sacem police nationale xp bloqué Fermé

Question

Bonjour, 
Je suis bloqué depuis ce matin avec ce virus, débutant des débutants je ne comprends pas les manip à faire; je suis juste parvenu à afficher à afficher le menu des options avancées de XP, que faire après?
Je me connecte par un autre PC.
Merci de votre aide


Configuration: Windows 7 / Internet Explorer 9.0

Malekal_morte- · Accepted Answer

Salut, 

Tu peux tenter mode sans échec avec prise en charge du réseau mais ça ne devrait pas fonctionner.

Si c'est le cas, Pas d'autres solutions que ça : 

Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090 
Ensuite tu démarres sur OTLPE. 
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre. 

La procédure est la suivante : 
- Télécharger le CD OTLPE (fichier image ISO) 
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain. 
- Mettre le CD / Clef USB sur le PC infecté 
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB. 
- OTLPE se charge 
- Une fois dessus, lance OTL (icone jaune) 
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan. 
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici. 
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC. 

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent. 
Tout cela est donné dans le lien, ci-dessus. 

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

colosse · Answer

bonjour

normalement avec virus police sacem amande à 50 euros donc dernière version de ce virus 

tu dois pouvoir démarrer ton ordinateur en mode sans echec avec invite de commande


tu devrais ainsi avoir un écran noir ensuite tu tape misconfig et une petite fenète va apparaitre tu vas dans outils et tu fais une restauration système (celle qui est proposé)


ensuite tu éteinds le pc et tu rallume en mode normal et ton virus aura disparu


fais nous savoir siu ça marche 

amicalement 

jean-pierre

DjéLartist · Answer

Bonjour

lit cette page:

https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque

mobydick 57 · Answer

Clavier branché par prise ronde.

mobydick 57 · Answer

ci joint rapport OPTLE:  http://pjjoint.malekal.com/files.php?id=20120502_k14m13v7q10t8

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
SRV - [2011/04/13 12:01:02 | 000,022,528 | RHS- | M] (Microsoft) [Auto] -- C:\Program Files\Microsoft\sysNM.exe -- (WinSysINM) 
IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\HP_Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com
O4 - HKLM..\Run: [QJa8hs7QNbxt4uL] C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe ()
O4 - HKU\.DEFAULT..\Run: [4Y3Y0C3AXF7W1HWEOQUO] C:\Recycle.Bin\B6232F3AAA5.exe () 
O4 - HKU\.DEFAULT..\Run: [QJa8hs7QNbxt4uL] File not found 
O4 - HKU\HP_Administrateur_ON_C..\Run: [QJa8hs7QNbxt4uL] C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme () 
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\Administrateur_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\HP_Administrateur_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95 00 00 00 [binary data] 
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngr.dll (MusicLab, LLC) 
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC) 
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe ()
O20 - HKU\.DEFAULT Winlogon: Shell - (am_reserver64.exe) - File not found
O20 - HKU\.DEFAULT Winlogon: UserInit - (am_reserver64.exe) - File not found
O20 - HKU\HP_Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe ()
O20 - HKU\HP_Administrateur_ON_C Winlogon: UserInit - (C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Dataam_reserver64.exe ()
ActiveX: {tlMe4VA9-8LXI-r4nq-LmM7-2PRL0gJFErMy} -
2012/04/12 07:32:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\2C197 
[2012/04/10 22:40:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\529C53483DAF1257630C9114D151FC4E 
[2012/04/10 05:10:28 | 000,000,000 | ---D | C] -- C:\Program Files\YesMessenger(2) 
[2012/04/10 05:08:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\yesmessenger
:files
C:\WINDOWS\Tasks\At*.job
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"Shell"="explorer.exe" 

* redemarre le pc sous windows et poste le rapport ici 

~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


~~

Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.


puis :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

puis :

Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.

mobydick 57 · Answer

voici le nouveau rapport d' OTL http://pjjoint.malekal.com/files.php?id=20120502_c6s8z6t13e6

mobydick 57 · Answer

est ce que tu pense que roguekiller, tdsskiller et malwarebytes feraient l'affaire?

mobydick 57 · Answer

voici le rapport de adwcleaner le n'est pas le rapport [S1] mais [R1] car il n'a rien trouvé http://pjjoint.malekal.com/files.php?id=20120502_e9o14l9o13g9 je poursuis donc ta procédure comme il faut avec bitdefender... pour zeroaccess

mobydick 57 · Answer

voici le rapport de tdsskiller http://pjjoint.malekal.com/files.php?id=20120502_d5v10c5p10q6

mobydick 57 · Answer

voici le rapport de adwcleaner en [S1] http://pjjoint.malekal.com/files.php?id=20120502_g108x12r9f5

Malekal_morte- · Answer

ok, bitdefender a détecté des choses ?

mobydick 57 · Answer

Oui bitdefender a bien détecté des choses mais... j'ai pas noté... c grave?

mobydick 57 · Answer

voici le rapport aswMBR http://pjjoint.malekal.com/files.php?id=20120502_b9k5e7v7r13

mobydick 57 · Answer

j'espère que t'es pas vexé :) car j'ai quand même encore besoin de toi ;)

Malekal_morte- · Answer

bha je pense que ZeroAccess a été viré.

Pour les restes :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Supprime bien ce qui est détecté : bouton supprimer sélection.

mobydick 57 · Answer

Ok je te remercie d'avoir une nouvelle fois répondu. J'ai pris les devant et j'ai déjà installé MBAM je m'apprête à faire le scan

mobydick 57 · Answer

voici le rapport de MBAM http://pjjoint.malekal.com/files.php?id=20120502_j8v13k15v10p7

Malekal_morte- · Answer

Change tes mots de passe WEB (facebook, mail etc).
Ils ont été récupérés.

Je pense que c'est OK.
Comment va le PC ?

A la limite demain, refais un scan Malwarebyte, histoire de.

En attendant :


Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis !

mobydick 57 · Answer

Bon bah merci pour ton aide et ta patience je vais donc classé en résolu.

Halodoudou · Answer

Bonjour,

je me permet de poster a la suite du post avec mon lien : http://pjjoint.malekal.com/files.php?id=20120502_p9m8b8v13d5

Merci d'avance =)

Malekal_morte- · Answer

@Halodoudou :

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\Doudou_ON_C..\Run: [d31ybB8YFv9cUxg] C:\Users\Doudou\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Doudou_ON_C Winlogon: Shell - (C:\Users\Doudou\AppData\Roaming\itunes_service01.exe) - C:\Users\Doudou\AppData\Roaming\itunes_service01.exe () 
O20 - HKU\Doudou_ON_C Winlogon: UserInit - (C:\Users\Doudou\AppData\Roaming\itunes_service01.exe) - C:\Users\Doudou\AppData\Roaming\itunes_service01.exe () 

* redemarre le pc sous windows et poste le rapport ici 


~~

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis !

jm · Answer

sous XP , ca marche a condition de respcter calmement les arborescences .
tu mets en route et tapotte sur f8
tu selectionne invite de commandes en mode sans echec 
tu tappe : redigit 
Ensuite tu deoule l arborescence en cliquant sur + (tu ouvre les dossier et tu cherche c est par ordre alphabetique ,pas de panique )
hkey local machine 
software microsoft nt
current version 
winlogon 
en cliquant sur le dossier(winlogon) tu cherche sur la fenetre de droite   :  shell  
tu clique et tu efface ce qu il y par : explorer.exe
ferme ton ordi , redemarre , et la miracle ,,ca marche ,,,,,,,,

j attends vos reponses    

salut a tous , si jai fait une erreur merci de me la signaler 

JM

popi · Answer

Bonjour, même problème de virus je me permet de poster mon lien 

http://pjjoint.malekal.com/files.php?id=OTL_20120509_c7k11j9n10c8

Navid_92 · Answer

Bonsoir,
Créez vous un poste chacun, comme ça ce sera plus facile à gérer.

Virus sacem police nationale xp bloqué

25 réponses

Discussions similaires