Virus "Police Fédérale" - PC bloqué

Fermé
myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   -  
 keve -
Bonjour,

J'ai chopé un virus pendant que je surfais sur le net. Le bureau windows est remplacé par une fenêtre avec logo de la police fédérale, invitant à payer 100 €.

Au démarrage, le pc est bloqué. J'ai réussi à contourner le problème en tapant ctrl-alt-del et en fermant pendant le démarrage un programme malveillant qui est nommé fest0r_ot.exe et qui se trouve dans c:\windows\system32. J'ignore s'il n'y a pas d'autres fichiers avec ceci.

J'ai ensuite fait un msconfig et décoché le programme qui était dans la liste au démarrage. Depuis lors, j'ai repris le contrôle de mon PC.

Le problème est que je n'arrive pas à le nettoyer : je sais qu'il est dangereux et voici que AVG ainsi que Malwarebytes ne détectent meme pas ce fichier "fest..." lors de l'analyse complète. Je ne veux pas le supprimer manuellement, ce serait sûrement superficiel.

J'aurais besoin de votre aide pour tout nettoyer et sécuriser correctement.

D'avance merci !!!!

16 réponses

  1. qwerty- Messages postés 17655 Date d'inscription   Statut Contributeur Dernière intervention   1 451
     
    Salut,

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.
    9
    1. keve
       
      Jai lu ta solution et ca ma beaucoup aider tout est parti je peut utiliser a nouveau mon pc sans problèmes un grand grand merci
      0
  2. krazykat Messages postés 11705 Date d'inscription   Statut Contributeur Dernière intervention   2 146
     
    Bonjour,
    Inutile de signaler le message de g#n-h@ckm@n. Le rapport a révélé que votre Windows n'était pas original. Aucune aide ne vous sera donnée dans ce forum.

    Veuillez contacter la société qui vous a installé votre Windows pour demander un Windows officiel, qui sera moins vulnérable aux virus.
    7
  3. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    Bon, impossible de redémarrer en mode sans échec ! Il reboote et me dit que windows n'a pas pu démarrer normalement. Du coup, je suis obligé de faire un démarrage normal de windows.

    J'ai fait un premier scan malgré tout avec rogue killer, mais il n'a pas réellement pu tout nettoyé. Voici le rapport :

    RogueKiller V7.6.3 [08/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Osiris [Droits d'admin]
    Mode: Suppression -- Date: 15/07/2012 11:26:34

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD10EARS-00Y5B1 +++++
    --- User ---
    [MBR] 68b8bef8c8fee9ee9b0e921447825648
    [BSP] 09d5f76b511782a093f06b359f02d1b2 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 250003 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 512007615 | Size: 703863 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    ****

    Attention, ensuite j'ai redémarré le pc et... le virus est réapparu : pc bloqué et gendarmerie. J'ai donc refait la procédure :ctrl-alt-del au démarrage suivant pour interrompre au plus vite le fameux fichier fest0r_ot.exe et reprendre le controle.

    Pas de démarrage sans échec possible, donc pas de nettoyage de fond possible... aie aie

    Que faire ?
    2
  4. mehdispecialone Messages postés 92 Statut Membre 3
     
    salut,

    telecharge [b]kaspersky rescue disk 10 fr[/b] disponible [url=https://www.google.com]ici[/url], c'est un cd bootable qui permet de supprimer toutes les infections trouvées ,c'est une image iso que tu devras graver sur cd.

    le tuto est disponible sur la meme page.

    sinon tu pourrais me dire comment tu as fait pour fermer au démarrage le programme malveillant qui est nommé fest0r_ot.exe ? via le gestionnaire de tache ?
    1
    1. g3n-h@ckm@n
       
      salut le cd Kaspersky ne corrigera pas la clé userinit ni shell donc apres passage du cd , le redemarrage dans la session sera impossible
      0
    2. mehdispecialone Messages postés 92 Statut Membre 3
       
      pourquoi le redemarrage dans la session sera impossible ?

      et qui te dit qu'il ne corrigera pas la clé userinit ni shell ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    tu t'es reveillé tout nu sur une ile ? looool !!

    =============

    il sort d'où ce windows "maison" ? tu peux aller acheter une version officielle...
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  7. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    merci, je vais essayer la solution kaspersky.

    pour fermer au démarrage le programme malveillant avant qu'il ne bloque l'accès au pc, il faut se grouiller.

    Afficher au plus vite la liste des processus en cours (ctrl-alt-del) pendant le démarrage, et dès que le fichier apparait dans la liste (je l'ai reconnu car c'est un nom trop bizarre) je le ferme avant meme qu'il ne fasse son boulot.

    faut etre rapide...
    0
  8. qwerty- Messages postés 17655 Date d'inscription   Statut Contributeur Dernière intervention   1 451
     
    sinon y a ceci

    - Télécharge ZHPDiag (de Nicolas Coolman)

    - Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    - Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
    - Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
    http://sd-4.archive-host.com/membres/images/7739387536519291/ZHPDiag_bouton_UAC.png

    - Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    - Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    - Rends toi sur ce site
    http://pjjoint.malekal.com/
    , clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    0
  9. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai gravé le CD Kaspersky Rescue Disk, et j'ai fait une analyse complète.

    Voici le rapport Kaspersky :

    Analyse des objets: terminée : il y a 4 minutes (événements : 16, objets : 344776, durée : 00:48:05)
    15/07/12 14:37 Lancement de la tâche
    15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
    15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class Reporté
    15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
    15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class Reporté
    15/07/12 14:51 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
    15/07/12 14:51 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
    15/07/12 15:21 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
    15/07/12 15:21 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
    15/07/12 15:22 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
    15/07/12 15:24 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
    15/07/12 15:24 Supprimés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf
    15/07/12 15:24 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
    15/07/12 15:25 Réparés: Trojan-Dropper.Win32.Injector.fjll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run/Update
    15/07/12 15:26 Supprimés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
    15/07/12 15:26 Fin de la tâche

    J'ai supprimé les objets et "archives" infectées. Lors d'une seconde analyse, plus rien.

    @qwerty : ok, je vais essayer ta solution également au cas où... je posterai le rapport prochainement.
    0
  10. mehdispecialone Messages postés 92 Statut Membre 3
     
    et donc ton probleme est résolu ? tu as toujours la fenêtre avec logo de la police fédérale qui apparait au demarrage ?
    0
  11. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    peut-être résolu. La fenêtre a disparu.

    Il semblerait que tout soit "nettoyé", mais comme d'hab faut etre sur à 100%.

    Je vais donc encore faire la procédure proposée par qwerty.

    Le CD Kaspersky est génial apparemment, il a trouvé 2 trojans dont celui de la "police".

    J'utilise une application tq pc home bank (je ne l'ai pas utiliséz pendant la période d'infection), est-ce que tu peux me dire (ou quelqu'un) si les trojans qui ont été détectés peuvent être aussi une menace pour tirer de l'argent ?
    0
  12. mehdispecialone Messages postés 92 Statut Membre 3
     
    je ne peux pas te repondre sur l'application en question puisque je ne la connais pas.

    ce que je peux te dire c'est que le cd de kaspersky n'a apparemment pas tout supprimé puisque je vois qu'il y a certains processus et trojan qui n'ont pu etre réparés.

    donc oui pour le scan avec ZHPDiag proposé par qwerty.
    0
  13. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    dans le rapport kaspersky, les éléments signalés comme non réparés ont été supprimés tout à la fin, avec l'option "supprimer" : le fameux "r__a.class" et le fichier ."exe". Donc je ne sais pas, le scan sera utile pour m'en assurer.
    0
  14. myloo999 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention  
     
    Finalement, n'ayant pas encore eu de réponse depuis, j'ai fait une analyse automatique du rapport de ZHPDiag et je n'ai plus rien trouvé d'anormal.

    Depuis 4 jours je n'ai plus remarqué de problèmes et tout fonctionne normalement, j'ai notamment fait toutes les MAJ nécessaires.
    0
  15. g3n-h@ckm@n
     
    salut verifions

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0