Prob Virus federal computer crime unit

Résolu/Fermé
Tinou - 30 avril 2012 à 22:40
jemis Messages postés 3 Date d'inscription dimanche 5 mai 2013 Statut Membre Dernière intervention 5 mai 2013 - 5 mai 2013 à 02:27
Bonjour,


Snifff, mon ordi portable a chopé un gros caca.
federal computer crime unit
Je n'ai plus accès à mon bureau. Ni à quoi que ce soit.
Qqu peut il me consacrer un peu de temps.
Je ne suis pas tres douée ...

MERCI d'avance

A voir également:

19 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 avril 2012 à 22:43
Salut,


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
26
bonsoir merci, je vais essayer tout ca
0
2 questions je suis dans le mode sans échec.

-) puis je enregistrer mes photos et les sortir un DD portable ? ou risquent elles d'infecter ce qui s'y trouve ?
-) Je télécharge depuis le pc infecté ou l'autre le Rogue Killer ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 avril 2012 à 23:07
oui tu peux sauvegarder ça devrait aller.
0
Merci. La reparation a ete nickel.
0
Bonjour,

SI je mets Mode Sans echec avec prise en charge réseaux je saurait me connecter sans problème pour télécharger Roguekiller? Car de mon coté, mon pc est infecté par le virus, mais il ne bloque le pc que qd le Wifi est détecté. Si j'eteins la bbox je sais tout faire sur le PC.

J'ai également essayé avec le Widows defender (démarrer le pc par la clef USB qui lance le scan auto) que le site de polfed propose mais après 4 scan complet (on n'est jamais trop prudent) il ne détecte pas le virus et au redemarrage je suis tjrs infecté.

Merci pour l'aide
0
RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur: Tinou [Droits d'admin]
Mode: Suppression -- Date: 30/04/2012 23:11:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : autoupdater (C:\Users\Tinou\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe -runonce) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM320II ATA Device +++++
--- User ---
[MBR] f9d96878b372e6cc169dd48eb9c58a13
[BSP] d68c8b56f6ba55dcc66131df7efd0be9 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 291136 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596656128 | Size: 13908 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Sony Storage Media USB Device +++++
--- User ---
[MBR] c60ce88b0658a93ab5843c60506b5db5
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7695 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
2
Un énorme merci, j'ai vraiment eu peur quand j'ai eu ce virus, par chance je me suis souvenu que mon frère avait eu ce virus mais lui avait payer 50 euros à un informaticien.. Heureusement, je me suis connecté avec mon gsm pour trouver une solution moi même et j'ai touvé ma réponse ici.. Et c'est un vrai soulagement, c'est tellement rapide et soulageant pour le moral ! Encore un énorme merci, c'est génial :) !
1
Solution alternative que je viens de tester, alors que comme dans un cas cité, même en mode sans échec, l'écran se figeait avec l'écran "federal computer crime unit..." où j'étais complètement bloqué, dans l'impossibilté de télécharger ou de faire fonctionner quoi que ce soit. Il restait peut-être la solution de booter avec une clé usb chargée de "windows defender offline" que je n'ai pas su tester car sous xp, il faut être sous sp3 (alors que j'étais sous sp 2...). Solution expliquée dans la fiche informative en pdf de la vraie Federal Computer Crime Unit - http://www.rtbf.be/info/medias/detail_comment-reagir-si-votre-ordinateurs-est-bloque-par-un-ransomeware?id=7874531

Ce que j'ai fait, c'est démonter physiquement mon disque dur, et je l'ai branché sur un autre pc dans un boîtier de disque dur externe. L'exécutable du ransomware se trouvait simplement sur le bureau du "user x" et s'appelait "wgsdgsdgdsgsd.exe", et je l'ai supprimé avec "FileAssassin" inclus dans les "Autres Outils" de Malwrebytes version gratuite.

J'ai ensuite rebranché mon disque dur dans sa tour d'origine, et Windows s'est chargé normalement, avec seulement un message d'erreur qui disait "wgsdgsdgdsgsd.exe" introuvable. J'ai scanné avec Malwarebytes qui m'a détecté le cheval de troie, et qui l'a éradiqué. Après redémarrage, tout va bien...

Une demi-heure en tout et pour tout pour cette solution... Bonne chance.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
30 avril 2012 à 23:15
OK redémarre en mode normal, ça doit rouler.

Fais un scan OTL :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.


0
voilà ca scan
merci ;-)
0
http://pjjoint.malekal.com/files.php?id=20120430_e8v12y10m9z12 => OTL.txt
http://pjjoint.malekal.com/files.php?id=20120430_z5v10z5s11j13 => EXTRA.txt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
1 mai 2012 à 00:04
Bcp de programmes pourris.

Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/



Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
A désinstaller :
Babylon Toolbar
Complitly
Conduit Engine
DVDVideoSoftTB Toolbar
Fun4IM
Imesh Toolbar / DataMngr
Is Cool
Searchqu Toolbar
searchweb
Softonic_France Toolbar
Wincore Mediabar
Zynga Toolbar

A virer de Firefox aussi : Menu Outils / Modules Complémentaires et Extension



Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


~~

Pour le virus gendarmerie :

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !
0
wawwwwwwwwwwww merci je fais tout ca si j'arrive encore ce soir.

D'avance je te dis un grand merciiiiiiiiiiii
;-x
0
Un tout grand merci !!!
0
Simple et efficace... Merci Beaucoup !
0
Merci beaucoup pour votre aide c'est efficace
0
markaju Messages postés 1 Date d'inscription dimanche 2 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 22:17
Bonjour,

Je n'arrive pas à redémarrer sans échec. Seul le mode "redémarrer normalement" fonctionne.
Avec le mode sans échec, il revient toujours à l'écran de démarrage que j'ai eu en appuyant sur F8 mais ne va pas plus loin.

Comment puis-je faire?

Un tout tout grand merci.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
3 sept. 2012 à 18:13
markaju bonjour, ouvre toi un sujet pour avoir de l'aide !!
0
quand t'es dans l'écran après F8, choisit alors RESTAURATION .... à la place et accepte le système OS proposé. Tu rentres alors en mode sans échec forcé. Bonne merde.
0
merci pour la réponse sur roguekiller
cela fonctionne parfaitement
0
Hiskoa7 Messages postés 4 Date d'inscription lundi 20 février 2012 Statut Membre Dernière intervention 14 février 2013
5 sept. 2012 à 14:22
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : vincent [Droits d'admin]
Mode : Suppression -- Date : 05/09/2012 14:15:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM320JI ATA Device +++++
--- User ---
[MBR] 765d210a38f6902d82259832409491b4
[BSP] f45042a809ca64a17bf4598438dc635f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
bisounourslou
6 sept. 2012 à 15:37
Personnellement je viens d'avoir le problème et j'ai redémarré en mode sans échec pour faire une restauration du système. A priori cela fonctionne...
0
1000 mercis!

RogueKiller V8.2.1 [29/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : nous [Droits d'admin]
Mode : Recherche -- Date : 31/10/2012 01:21:24

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 8 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @nous : C:\ProgramData\lsass.exe -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[MBR] 905da99ead7fb7747d97c78a90b4bc2f
[BSP] 096583157c3a7940e3cbb822bd586966 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
31 oct. 2012 à 17:46
Antoine79 bonjour tu devrais ouvrir un sujet , cela en bout de ligne dans ton rapport TROUVÉ prouve qu'il y a des choses mais pour supprimer il faut relancer roguekiller et faire suppression
0
Merci pour votre aide !... Problème résolu en un rien de temps...
0
jemis Messages postés 3 Date d'inscription dimanche 5 mai 2013 Statut Membre Dernière intervention 5 mai 2013
Modifié par jemis le 5/05/2013 à 00:50
Bonjour,

Je vais essayer ta méthode avec Malwarebytes, mais j'aimerais savoir comment se nomme le fichier qui infecte le PC, car tant Roguekiller que OTL, n'ont rien changé, dès que je rédemarre la session admin, avast détecte le virus et écran "virus", je ne sais pas démarrer en mode sans échec.

Une restauration n'est pas possible non plus vu que session invité de la où je vous parle.
Je ne vois qu'un moyen, essayer de repérer le fichier via malwarebytes et tenter de retourner sur la session admin vite faire une restauration système pour l'effacer par la suite.
Le programme ne me permet pas de l'installer vu que session invité!!!

Pouvez vous m'aider? En attendant, j'utilise ma session invité. Chose bizarre également, le bios est inutilisable, j'ai voulu formater et donc booter sur le cd mais la impossible, même avec raccourci.

Avez vous connaissances de telles infections?
0
jemis Messages postés 3 Date d'inscription dimanche 5 mai 2013 Statut Membre Dernière intervention 5 mai 2013
5 mai 2013 à 01:05
Scan effectué à l'instant, sur le site en ligne "bitdefender", il me dit que je n'ai aucun fichier infecté. Scanne t il la session ou le disque dur dans son entièreté, j'aimerais savoir? Cela me parait bizarre.

J'ai réessayé de relancer ma session admin, de suite bloqué après 30sec, avast détecte l'infection et le ransomware apparait, je viens de trouver des infos sur ce nouveau virus qui supprime le safeboot, complètement.

https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque

Je vais suivre ce qu'ils disent en espérant résoudre cette m...
0
jemis Messages postés 3 Date d'inscription dimanche 5 mai 2013 Statut Membre Dernière intervention 5 mai 2013
Modifié par jemis le 5/05/2013 à 02:41
Alors, j'ai procédé à la restauration système

Ensuite détecter le Trojan avec malwarebytes, puis je l'ai supprimé et refait un scan, il n'apparait plus.

Après cela, j'ai vidé mon cache etc avec CCleaner.

J'ai voulu suivre le tutos et utiliser:

Roguetiller: supprime les ransomware, je présume, cependant, mon pc était toujours infecté puisque malwarebytes a détecté un Trojan par la suite
OTL: Rien à supprimer? me dit il?
Adwcleaner: nettoyage de certains programmes adware, toolbars etc.

Que font OTL et Roguekiller svp? Pouvez vous me tuyauter la dessus.

Il me reste à remettre le safemode (mode sans échec) avec "Safebootkeyrepair".

J'ai lu plusieurs tutos et fais un mix de tout.

J'ai également refait un scan malwarebytes, trojan disparu.

A présent, je vais dormir.

Me conseillez vous de faire une autre chose.

Merci d'avance.
0