XP: virus police nationale Fermé

Question

Bonsoir,

Je suis tombée aujourd'hui sur une des fameuses pages de la police nationale qui bloque l'ordinateur et demande de payer 100€.
J'ai compris que c'est un virus, j'ai forcé à eteindre l'ordinateur mais depuis je n'arrive plus à le demarrer, même en mode sans echec et compagnie.
En consultant les forums, j'ai gravé un cd pour OTLPE et depuis j'arrive à naviguer dans l'ordinateur, mais tout ce que j'essaie sans succés.
Quelqu'un peut-il m'aider?????

g3n-h@ckm@n · Answer

ok fais ca avec OTLPE :  

Lance OTLPE.exe qui se trouve sur ton bureau :  

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok  

à la question Do you wish to load remote user profile(s) for scanning ? => oui  

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK  

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre  

dans la case en dessous "Custom Scans/Fixes" colle ce texte :  
 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT  

Clic sur Analyse.  

A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt  

héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus sur le forum ou dans la discussion où tu te fais aider  

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pims · Answer

la case "Automatically Load All Remaining Users ?" : ya pas ça à cocher.

je viens de le mettre à scanner, j'avais fait la même manip dans l'aprem mais avec un texte différent: sans succés.

On verra si ca marche, mais le scan prend combien de temps environ?

Merci de ton aide!

g3n-h@ckm@n · Answer

ca depend des pc ca varie de 1 à 10 mn voire plus

pims · Answer

J'ai l'impression que l'ordi bloque...

g3n-h@ckm@n · Answer

c'est lequel d'otlpe que tu as gravé ?

pims · Answer

Bonjour,
L'ordinateur a bien bloqué... 

J'ai suivi la procédure sur 
http://forum.malekal.com/otlpe-live-t23453.html

en gravant sur un cd.

g3n-h@ckm@n · Answer

teste avec celui-ci ?

https://gen-hackman.kanak.fr/

pims · Answer

Ca y est ça a marché, voila les 2 rapports qui sortent:
http://pjjoint.malekal.com/files.php?read=20120514_z11q11t10n8f6
http://pjjoint.malekal.com/files.php?id=20120514_h10j12i5s6q14

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation"(custom scan/fixes) :

:OTL
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\PIMS\Application Data\Complitly\Complitly.dll (SimplyGen)     
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\PIMS_ON_C..\Run: [] C:\Documents and Settings\PIMS\Local Settings\Temp\~!#6.tmp () 
O4 - HKU\PIMS_ON_C..\Run: [3C7C64A4] C:\Documents and Settings\PIMS\Application Data\Hizhlbr\E51A29EA3C7C64A4D466.exe () 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)     
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)     
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\117D564D3C7C64A4A1A9.exe) - C:\WINDOWS\system32\117D564D3C7C64A4A1A9.exe () 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEOegedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO	askmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/12 12:49:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\PIMS\Application Data\Hizhlbr 
[2012/05/12 12:44:44 | 000,072,192 | -H-- | M] () -- C:\WINDOWS\System32\117D564D3C7C64A4A1A9.exe 
[2012/05/08 11:44:56 | 000,000,020 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\PKP_DL*.DAT 
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324 
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323 
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322 
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321 
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320 
[2011/06/13 18:17:46 | 000,000,268 | RH-- | C] () -- C:\Documents and Settings\PIMS\Application Data\vhosts 
[2011/07/06 20:13:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Babylon     
[2012/01/26 18:39:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Complitly 
[2012/01/28 12:24:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\pdfforge     
[2011/12/05 21:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\searchquband     
[2011/07/10 21:13:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Toolbar4     
[2011/07/06 20:13:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon     


&#9654 Clique sur "Correction(RunFix)" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

pims · Answer

ok, voila le rapport
http://pjjoint.malekal.com/files.php?id=20120514_x14y13i15y8d5

Franchement merci pour ton aide!

g3n-h@ckm@n · Answer

ton pc devrait redemarrer sans le cd maintenant

pims · Answer

je ne sais pas ce que je fais de travers mais il ne demarre pas son le cd....
il propose mode sans echec et autres, rien ne marche....

g3n-h@ckm@n · Answer

precise rien ne marche

pims · Answer

il reste sur les propositions de demarrage... que je mette "demarrage normal" ou mode sans echec" ou les autres il redemarre sans cesse...

g3n-h@ckm@n · Answer

ok redemarre avec le cd , puis refais un scan avec otlpe puis reposte rapports hébergés

pims · Answer

http://pjjoint.malekal.com/files.php?id=20120514_e14k14m10q14u11
 http://pjjoint.malekal.com/files.php?id=20120514_q15s8u9z11q10

pims · Answer

peut être question bête.. pendant les suppressions, il fallait que je sois connectée sur internet?

g3n-h@ckm@n · Answer

à quel moment il redémarre ? après le chargement de windows ou des que tu selectionnes un choix ?

pims · Answer

en fait entre les 2 ... il sallume, demande un choix de demarrage, je selectionne, passe une fentre avec la marque de mon ordi, apres celle de windows et apres retour a la liste de choix de demarrage noire... 
ca tourne en rond quoi

g3n-h@ckm@n · Answer

recolle ca dans OTL et clique sur runfix puis donne le rapport

:Reg
[hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe"
"userinit"="C:\Windows\system32\userinit.exe"
[hkey_current_user\software\microsoft\windows nt\currentversion\winlogon]
"Shell"=-
"userinit"=-

pims · Answer

salut,voila 

http://pjjoint.malekal.com/files.php?id=20120515_w9r12g10x11p7

g3n-h@ckm@n · Answer

ok ton pc redemarre-t-il normalement ?

pims · Answer

Non....

g3n-h@ckm@n · Answer

suis ce tutoriel :

https://forum.malekal.com/viewtopic.php?t=21820&start=

pims · Answer

Salut, 

j'ai suivi ce dernier tutoriel, il a trouvé des infections que j'ai supprimé. Malheureusement, l'ordinateur ne redemarrait toujours pas. 
J'ai pété un cable et j'ai formaté l'ordi!!!

Je voulais te remercier pour ton aide!!!!!

PB Résolu!!!!

g3n-h@ckm@n · Answer

ben non justement....

pims · Answer

Je n'ai rien résolu mais j'ai perdu patience!
Merci  en tout cas

g3n-h@ckm@n · Answer

drweb ne detecte pas tout non plus....    

tu sais de quoi tu parles et tu proposes spybot ?   

mouhahahhahahah !!!!!!!!!!!!!!!!!   

à titre info :  

https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/  

spybot et superantispyware !!! ^^  

je vais te refiler un vieux dropper que j'ai on va voir ce que tu vas faire avec hiren's boot cd si le disque dur n est plus reconnu ni par windows , ni par linux 

je joue environ 10 fois par jour avec cette infection , dès qu'elle sort une variante , j'infecte mes 5 VM avec sur tous les OS 

tu sais de quoi tu parles !!

tu sais comment elle fonctionnne cette infection ? les fichiers infectieux qu elle depose dans le pc ? l'activeX qu'elle ouvre si elle en ouvre une ? comment la reperer ? dans quelle clé ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

XP: virus police nationale

28 réponses

Discussions similaires