virus police national / Sacem f / Fermé

Question

Bonjour, 
j ai attrape un virus qui me bloque totalement mon ordinateur. Des que je le rallume il y a automatiquement la page du virus qui s affiche

que dois faire merci 

Configuration: iPad / Safari 6533.18.5

sv4r · Accepted Answer

Tu trouveras la manip' à faire sur ce site : https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/
Tout est bien expliqué, testé et approuvé :) bonne chance.
(Une fois résolu, pense à mettre à jour adobe, le module java, et ton anti-virus, et gaffe aux sites pour streaming, c'est généralement la dessus que les personnes l'attrapent)
A+

lazar sofia · Answer

ok je te jure que je vais le tue tout les polises

Info_37 · Answer

Salut à tous,

J'ai aussi été infecté par ce virus hier. Dès que j'ouvrais ma session, au bout de 10 secondes à peine, le fameux écran de la SACEM apparaissait et alors impossible de faire quoi que ce soit.

J'ai trouvé une solution plutôt facile.

Dès l'ouverture de ma session, en faisant CTRL + ALT + SUPPR et en allant dans l'onglet Processus, je me suis aperçu qu'il y avait un processus bizarre qui se mettait en route. Ce processus s'appelait 0_0u_l.exe.

Dès l'ouverture de votre session, il faut vite faire CTRL ALT SUPPR (presser les 3 boutons en même temps), aller dans l'onglet processus, cliquer sur 0_0u_l.exe et faire "Arrêter le processus". Il faut aller assez vite.

A ce moment-là normalement, l'écran SACEM n'apparaît plus. Cependant, au prochain démarrage, le processus se remettra en route car le fichier (qui est un fichier d'installation) est toujours sur votre PC : même si vous l'avez arrêté, il se remettra en route à chaque démarrage.

Il faut donc le supprimer de votre ordinateur. Pour cela, faite une recherche du fichier 0_0u_l.exe et dès que vous en connaissez l'emplacement (normalement il est dans les fichiers Temp), vous le supprimer (penser à vider votre corbeille ensuite).

Pour moi ça a fonctionné.

g3n-h@ckm@n · Answer

marche pu ca.....les variantes changent !!  

le processus se remettra en route car le fichier (qui est un fichier d'installation)  

mdr !!! un fichier d'installation.... 

derniere variante en ligne 

restauration systeme supprimée 
clé shell crée pour user 
clé userinit crée pour user 
clé shell modifiée pour machine 
clé userinit modifiée pour machine 
mode sans echec supprimé 
clé Alternate Shell détournée 
une IFEO qui renvoie sur le fichier ou sur svchost.exe

et parfois même un activeX qui renvoie sur le fichier 


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

bonjour, 
la seule solution pour s'en défaire est un cd live, le truc est une arnaque, un virus, ransom Ukash !!! 

donc, ça n'a rien à voir avec la police, ni autres organisme comme Sacem !!! 


évitez de fréquanter les sites et streming et tout se passera bien  :D 



O.o°*??? Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Hugo · Answer

Bonsoir, j'ai également eu le soucis de ce même virus.
Mon écran verrouillé, j'ai éteint mon PC et lors du démarrage j'ai fais F2 pour le "Setup".
Ici j'avais sois l'onglet "démarrer windows normalement" ou "windows à détecter un problème lors du démarrage, cliquez pour analyser".
J'ai cliquer sur analyser.
En 10 minute le virus Sacem a été effacé de mon PC et je n'ai rien perdu comme fichier :-).
J'espère que cet technique fonctionnera pour vous.
Merci, Au revoir.

g3n-h@ckm@n · Answer

mais bien sur...et la marmotte elle plie le chocolat dans le papier alu ....

marilys74 · Answer

Bonjour,
j'ai le même problème sur mon windows 7.
A chaque démarrage je fais 'ctrl+alt+suppr' 
gestionnaire de tâche, onglet processus, et le problème semble venir d'un fichier exe qui me parait louche, du style 'hfdjksghjfsk' il commence par oujk, et j'arrête le processus.
Ensuite, il me faut supprimer le fichier exe en question, seulement pas moyen de le trouver! Et le processus démarre donc à chaque fois que j'allume mon ordinateur.
Et le scan de mon anti-virus ne détecte rien d'anormal --' 
Comment faire pour supprimer une bonne fois pour toutes ce fichier, sachant que c'est un ordinateur professionnel, qu'il y'a donc des fichiers très important que je ne peut pas me permettre de perdre... 
Merci d'avance

Rems 69 · Answer

bonjour,

est ce que tu as accès au bureau de windows  ?

Info_37 · Answer

Déjà si votre ordinateur ne se bloque plus une fois le processus arrêté, c'est vous avez trouvé le virus ;)
Et en notant bien le nom du processus en question et en faisant une recherche ? (bouton windows, puis "recherche") Ca vous donnera l'emplacement du fichier.

marilys74 · Answer

Rems69, oui j'ai accès au bureau après avoir arrêter le processus d'un fichier qui me paraissait louche.
Info_37, justement, c'est là que j'ai un problème, j'ai beau rechercher le nom dans la barre de recherche du menu démarrer, je ne trouve pas le fichier! :/

Rems 69 · Answer

super, suis ceci :

 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Rems 69 · Answer

relance Roguekiller, clique sur supprimer, poste son rapport,

Rems 69 · Answer

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

https://toolslib.net


Lance le, 

clique sur rechercher et poste son rapport.

Rems 69 · Answer

# Exécuté depuis : C:\Users\véronique\AppData\Local\Microsoft\Windows\Temporary Internet 


ne l'execute pas depuis les fichiers temporaires, enregixtre le sur ton bureau, puis lance le  :D

Rems 69 · Answer

relance ADWC, clique sur suppriumer, 

poste son rapport, 




* télécharge ce programme Ransomfix (merci à Xplode)    
* lance le sur ta machine 
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )    
* copie, colle le dans ta prochaine réponse.    
  


O.o* ??? Membre, Contributeur Sécurité CCM, Réspire à fond, Rédige ton message en bon français et de manière claire. Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Rems 69 · Answer

bonjour,

on poursuit le nettoyage  :D

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Rems 69 · Answer

bonjour,

fais les mises à jour de seven,


installe la dernière version de java et Adobe redaer depuyis leurs sites dédiés !


désinstalle les anciennes versions de java de ton pc !





*	Rends-toi sur cette page :
https://www.virustotal.com/gui/
*	Clique sur "Choose File"
*	Vas sur ton disque chercher ce fichier à cet emplacement :


C:\OujKpucDqFhS\OujKpucDqFhS.exe

un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

Symeon94 · Answer

J'ai été infecte et ce que j'ai fait est simple, j'ai lancé mon pc et au démarrage (je sais c'est pas très bon) ai maintenu le bouton d'ouverture pour le faire planter. Une fois fait je l'ai relancé et ai lancé l'outil de réparation Windows qui m'a ramené mon pc a un stade antérieur pas trop loin et le tour était joué, plus de virus.

marilys74 · Answer

okey, j'ai supprimé Java et j'ai mis la nouvelle version, idem pour adobe reader, et j'ai mis à jour windows 7,
eh voilà ce que sa a donné :
https://www.virustotal.com/gui/file/e28ea1989c54c30124c56729c97d39ff3757a95effec82759595b832bbd76171

Rems 69 · Answer

super,

on va virer ce truc :

*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 



*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O4 - HKCU\..\Run: [OujKpucDqFhS] . (...) -- C:\OujKpucDqFhS\OujKpucDqFhS.exe
O4 - HKUS\S-1-5-21-4027785259-276222454-167872592-1001\..\Run: [OujKpucDqFhS] . (...) -- C:\OujKpucDqFhS\OujKpucDqFhS.exe
[MD5.3BADED90A9AAF7043B6DB2303588AE76] [SPRF][18/07/2012] (...) -- C:\Users\véronique\AppData\Local\Temp	oip0_tmp.exe   [118808]
[MD5.00000000000000000000000000000000] [APT] [{28AACA06-5793-43F7-B1D2-75AAEACB4AC1}] (...) -- C:\Program Files (x86)\Internet Explorer\iexplore.exechrome:notoffered;notincluded (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{9368EDD8-39DC-48D8-A0D3-A753CD78F8EF}] (...) -- E:\ghsetup.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{CD45C654-861C-46F8-B710-523EF974CF7D}] (...) -- E:\ghsetup.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{DF96FEA8-D2BC-4534-8397-D186F8953F8E}] (...) -- E:\ghsetup.exe (.not file.)   
[MD5.0D3B680986310AE5540578C0E481C6A0] [SPRF][21/06/2010] (...) -- C:\ProgramData\FullRemove.exe 
Emptytemp
EmptyCLSID

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html








*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido)

	http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

	ou ici :

	https://toolslib.net



/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

Rems 69 · Answer

enregistre et décompresse le sur ton bureau :

https://www.cjoint.com/?BGtpWqwJRJt

puis suis ceci :




/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton : 
« Recherche » 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
 - puis clique sur OK 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

Rems 69 · Answer

est ce que tu peux me compresser ce fichier et me le faire parevenir via un site d'hébérgement comme Cjoint ou dl.free s'il te plait ?

D:\OujKpucDqFhS.exe

Rems 69 · Answer

fais un clique droit sur ton bureau, clique sur Nouveau, puis Dossier compressé,

un dossier compresser sous le nom de nouveau dossier se crée sur ton bureau, change son nom en Virus



depuis ton bureau, clique sur Ordinateur, puis D :

ouvre ce disque local,

il doit se trouver à la raçine :


D:\OujKpucDqFhS.exe 



ne l'execute pas, fais un copier coller pour le faire glisser dans le répertoire Virus que tu as créé sur ton bureau,


aide toi de ceci pour l'hébérger :

https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

selon la taille de fichier, tu peux mettre illimité ou en 4 jours.


du moment ou le l'ai, on supprime ton poste après  :D

Rems 69 · Answer

tant pi,

relance Usbfix, 

désactive tes protections

lance la suppression, 

redémarre ton pc,

poste son rapport après le redémarrage  :D

Rems 69 · Answer

ton pc a déjà été vacciné  :D

mauvais nouvelle, tu as une infection ransom générant un zbot sur ton pc !

tout ça est du chinois pour toi, mais bref,

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 



	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Rems 69 · Answer

@ GH :

t'as été trop rapide....

:P

@ marilys74 :

c'est plus que sûr  :(

mais ça se soigne bien en général, à voir  :D

Rems 69 · Answer

J'aurais juste une question, est-ce que sa affecte des coordonnées bancaires, mots de passes etc...?

je pense qu'il vaut mieu prévenir ta banque, on ne sait jamais !

mets le scan de Combofix en attente, G3n H@ckman va te proposer de passer un outils pour tout remetre en état, 

:D

g3n-h@ckm@n · Answer

ok avant Combofix essaie ceci qui est moins puissant mais plus centralisé sur la bête en question

==

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

peux-tu redemarrer en mode sans echec et me fournir le rapport demandé s'il te plait je vais te le faire sauter

Théo0734 · Answer

C'est plutot simple ( pour windows 7); au démarrage, appuyer sur F5 et F8 en meme temps, puis choisissez parmi les différents modes, un truc comme  "réparer" il me semble. ca sera en anglais mais débrouillez vous pour passer les étapes puis restaurez le systeme et le tour est joué...

TTSP2 · Answer

Bonjour,
Moi aussi j'ai un virus de la police maisje n'arrive pas à arriver sur mon bureau j'ai WINDOWS 8 comment dois-je faire pour débloquer mon ordi?

Virus police national / Sacem f /

32 réponses

Discussions similaires