Virus police nationale et amende de 100 sinon blocage PC

[Résolu/Fermé]
Signaler
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013
-
 help -
Bonjour,

J'imagine que le sujet a déjà été traité maintes et maintes fois ici, mais je viens de tomber sur ce fameux virus qui s'est affiché au-dessus de toutes mes fenêtres et affichant "police nationale, payez une amende de 100 euros sinon on bloque votre ordinateur dans les 48 heures."

Quelqu'un saurait-il me guider à travers les étapes de désinfection, si cela est possible ? De plus, mon ordi sera-t-il bloqué dans les 48 heures ? Étant en période d'examens, j'ai pas mal de travaux important sur le disque et sérieusement ça me couperait les jambes...

Je vous remercie d'avance !



16 réponses


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci


salut le pc demarre-t-il en mode sans echec ?
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Salut,

Il démarre même en mode normal, j'ai immédiatement fait tourner malwarebytes qui l'a trouvé et supprimé (un fichier nommé dsgdsgdsg quelque chose). De plus, j'ai remis à niveau tous mes plugin et programmes. Est-ce suffisant ? Est-ce que l'ordinateur se bloque vraiment au bout de 48 heures ? Merci !

re

non ce n'est pas suffisant on va virer les restes deja :

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider


Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Voilà, alors après de longues minutes j'ai terminé le scan que tu m'as conseille, je te poste le lien avec le rapport du Pre Scan : https://www.cjoint.com/c/CAklX0eYXJf

il en restait :

Moved to quarantine successfully : C:\ProgramData\dsgsdgdsgdsgw.js

mbam ne detecte pas tout :)

==

tes navigateurs sont pas clean

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Voici :

# AdwCleaner v2.105 - Rapport créé le 10/01/2013 à 12:01:51
# Mis à jour le 08/01/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Benoît - BENOÎT-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Benoît\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Users\Benoît\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Benoît\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\Benoît\AppData\Local\TempDir
Dossier Supprimé : C:\Users\Benoît\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Benoît\AppData\Roaming\Mozilla\Firefox\Profiles\64lxevbn.default\CT2504091
Dossier Supprimé : C:\Users\Benoît\AppData\Roaming\Mozilla\Firefox\Profiles\64lxevbn.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
Dossier Supprimé : C:\Users\Benoît\AppData\Roaming\Mozilla\Firefox\Profiles\64lxevbn.default\Smartbar
Dossier Supprimé : C:\Users\BENOT~1\AppData\Local\Temp\CT2504091
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Benoît\AppData\Roaming\Mozilla\Firefox\Profiles\64lxevbn.default\searchplugins\Conduit.xml
Fichier Supprimé : C:\Users\BENOT~1\AppData\Local\Temp\Searchqu.ini

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Ask.com.tmp
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\ilivid
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Fichier : C:\Users\Benoît\AppData\Roaming\Mozilla\Firefox\Profiles\64lxevbn.default\prefs.js

Supprimée : user_pref("CT2504091.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT2504091.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Supprimée : user_pref("CT2504091.FirstTime", "true");
Supprimée : user_pref("CT2504091.FirstTimeFF3", "true");
Supprimée : user_pref("CT2504091.UserID", "UN31922418181136863");
Supprimée : user_pref("CT2504091.addressBarTakeOverEnabledInHidden", "true");
Supprimée : user_pref("CT2504091.autoDisableScopes", -1);
Supprimée : user_pref("CT2504091.cbcountry_001", "BE");
Supprimée : user_pref("CT2504091.cbfirsttime", "Fri Oct 19 2012 15:14:11 GMT+0200");
Supprimée : user_pref("CT2504091.defaultSearch", "false");
Supprimée : user_pref("CT2504091.embeddedsData", "[{\"appId\":\"129079840422026594\",\"apiPermissions\":{\"cross[...]
Supprimée : user_pref("CT2504091.enableAlerts", "always");
Supprimée : user_pref("CT2504091.enableSearchFromAddressBar", "true");
Supprimée : user_pref("CT2504091.firstTimeDialogOpened", "true");
Supprimée : user_pref("CT2504091.fixPageNotFoundError", "true");
Supprimée : user_pref("CT2504091.fixPageNotFoundErrorInHidden", "true");
Supprimée : user_pref("CT2504091.fixUrls", true);
Supprimée : user_pref("CT2504091.installId", "ConduitInstallerStub.exe");
Supprimée : user_pref("CT2504091.installType", "ConduitNSISIntegration");
Supprimée : user_pref("CT2504091.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT2504091.isNewTabEnabled", false);
Supprimée : user_pref("CT2504091.isPerformedSmartBarTransition", "true");
Supprimée : user_pref("CT2504091.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT2504091.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"\",\"EB_MAIN_FRAME_URL\":\"\",\"[...]
Supprimée : user_pref("CT2504091.openThankYouPage", "false");
Supprimée : user_pref("CT2504091.openUninstallPage", "false");
Supprimée : user_pref("CT2504091.search.searchAppId", "129079840422026594");
Supprimée : user_pref("CT2504091.search.searchCount", "0");
Supprimée : user_pref("CT2504091.searchInNewTabEnabled", "false");
Supprimée : user_pref("CT2504091.searchInNewTabEnabledInHidden", "true");
Supprimée : user_pref("CT2504091.searchProtector.notifyChanges", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT2504091.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT2504091.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Supprimée : user_pref("CT2504091.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
Supprimée : user_pref("CT2504091.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1350652449667");
Supprimée : user_pref("CT2504091.serviceLayer_services_appsMetadata_lastUpdate", "1350652575777");
Supprimée : user_pref("CT2504091.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1350652450422");
Supprimée : user_pref("CT2504091.serviceLayer_services_login_10.10.27.6_lastUpdate", "1350652450558");
Supprimée : user_pref("CT2504091.serviceLayer_services_optimizer_lastUpdate", "1350652576072");
Supprimée : user_pref("CT2504091.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1350652450489");
Supprimée : user_pref("CT2504091.serviceLayer_services_searchAPI_lastUpdate", "1350652449065");
Supprimée : user_pref("CT2504091.serviceLayer_services_serviceMap_lastUpdate", "1350652448901");
Supprimée : user_pref("CT2504091.serviceLayer_services_toolbarContextMenu_lastUpdate", "1350652449766");
Supprimée : user_pref("CT2504091.serviceLayer_services_toolbarSettings_lastUpdate", "1350652575738");
Supprimée : user_pref("CT2504091.serviceLayer_services_translation_lastUpdate", "1350652449585");
Supprimée : user_pref("CT2504091.settingsINI", true);
Supprimée : user_pref("CT2504091.shouldFirstTimeDialog", "false");
Supprimée : user_pref("CT2504091.smartbar.CTID", "CT2504091");
Supprimée : user_pref("CT2504091.smartbar.Uninstall", "0");
Supprimée : user_pref("CT2504091.smartbar.toolbarName", "Vuze Remote ");
Supprimée : user_pref("CT2504091.startPage", "false");
Supprimée : user_pref("CT2504091.toolbarBornServerTime", "19-10-2012");
Supprimée : user_pref("CT2504091.toolbarCurrentServerTime", "19-10-2012");
Supprimée : user_pref("CT2504091.toolbarDisabled", "true");
Supprimée : user_pref("browser.search.defaultthis.engineName", "Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea[...]

*************************

AdwCleaner[R1].txt - [7710 octets] - [10/01/2013 12:01:06]
AdwCleaner[S1].txt - [7729 octets] - [10/01/2013 12:01:51]

########## EOF - C:\AdwCleaner[S1].txt - [7789 octets] ##########

nickel

relance pre_scan(winlogon) , choisis diag et heberge le rapport pre_diag et donne le lien
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

J'ai fais le DIAG mais il ne m'a pas affiché de rapport en fin de scan, je recommence ?
Utilisateur anonyme
nan il est dans c:\ le rapport pre_diag ^^
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013


ok j'étudie ca et te reviens

c'est quoi ce truc-là ?

C:\Users\Benoît\Desktop\Folder.jpg
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Apparemment l'image de la pochette d'un album, je ne sais pas pourquoi elle s'est retrouvée là. Je vire.

il contient quoi ce fichier ?

C:\ProgramData\Temp.log

Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Il est vide.

il semblerait qu'il continne quand meme quelque chose...

[30/12/2011 16:32:40] - |A| - [32] - C:\ProgramData\Temp.log

Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

J'ai coché l'option "afficher les fichiers cachés" et toujours rien...
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

J'ai fait une erreur, il y a bien des dossier dedans, tous comportant une application nommée Postbuild.

des dossiers dans un fichier ????????????
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Je n'emmêle les pinceaux, je rectifie donc : il y a un document texte nommé Temp dans ProgramData. Dedans il est écrit :

[ResponseResult]
ResultCode=0

Désolé encore ^^

poubelle =>
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

C'est fait !

Histoire de me rassurer, le virus est bien supprimé et je n'ai plus à m'en faire ?
Bonjours j'ai le meme problème j'ai regarder tous ceux que vous avez dit mais je ne sais pas comment désactiver mon antivirus ni le pare feux j'ai besoin d'aide je commence à paniqué

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Salut !

Voilà le rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.11.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Benoît :: BENOÎT-PC [administrateur]

Protection: Désactivé

11/01/2013 20:36:20
mbam-log-2013-01-11 (20-36-20).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386387
Temps écoulé: 49 minute(s), 24 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Pre_Scan\Quarantine\C'_Users_Benoît_AppData_LocalLow_Sun_Java_Deployment_cache_6.0.P_S\3\1735d8c3-778a5566 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Benoît\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
on peut faire le menage

https://gen-hackman.kanak.fr/

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Voici déjà pour Delfix:

# DelFix v10.0 - Rapport créé le 11/01/2013 à 21:41:21
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Benoît - BENOÎT-PC

~ Suppression des outils de désinfection ...

Supprimé : C:\pre_scan
Supprimé : C:\Users\Benoît\Desktop\RK_Quarantine
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Pre_Diag_10_01_2013_12_11_34.txt
Supprimé : C:\Pre_Diag_10_01_2013_12_23_51.txt
Supprimé : C:\Pre_Diag_10_01_2013_12_31_23.txt
Supprimé : C:\Pre_Scan_10_01_2013_10_54_18.txt
Supprimé : C:\Users\Benoît\Desktop\RKreport[1]_S_10012013_011340.txt
Supprimé : C:\Users\Benoît\Desktop\RKreport[2]_D_10012013_011625.txt
Supprimé : C:\Users\Benoît\Downloads\AdwCleaner.exe
Supprimé : C:\Users\Benoît\Downloads\winlogon(1).exe
Supprimé : C:\log.txt
Supprimée : HKCU\Software\g3n-h@ckm@n
Supprimée : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

PureRa:

Total space cleaned: 43.50 MB

:)
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Je viens de finir la vérification, ça prend un temps fou ! Je me doute que la défrag prend du temps aussi donc je ferai ça quand j'aurais quelques heures devant moi. Après ces étapes, ce sera terminé ? :)
Utilisateur anonyme
re

oui oui ! ^^
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Super ! Merci beaucoup pour ton aide. Une dernière chose, Facebook et Outlook ne s'affichent plus correctement sous Firefox comme tu peux le constater ici :

http://img542.imageshack.us/img542/2760/probfbff.jpg

Vu tous les changements faits ces deux derniers jours j'imagine que ça doit être lié, non ?

redemarre en mode sans echec , fais ccleaner "nettouyeur + registre" puis redemarre en mode normal
Messages postés
23
Date d'inscription
jeudi 10 janvier 2013
Statut
Membre
Dernière intervention
20 novembre 2013

Yes, ça fonctionne ! Merci.

:p