Vrai police ou virus et arnaque ? [Résolu/Fermé]

Signaler
Messages postés
16
Date d'inscription
lundi 25 juin 2007
Statut
Membre
Dernière intervention
19 avril 2018
-
 Utilisateur anonyme -
Bonjour,

Je suis en totale panique !
J'étais sur mon PC avec Word ouvert et connectée à internet sur le site des pages jaunes.
Tout d'un coup, l'écran est devenu tout blanc avec une seule inscription en haut à gauche de l'écran : Qcqqhitbpxx.
Aucune touche de l'ordi ne fonctionnant, je l'ai redémarré plusieurs fois..
À chaque fois, je vois les icônes du bureau une fraction de seconde puis encore écran blanc et l'inscription en haut à gauche qui change : Pnqqus yke, etc...
N'y connaissant rien en informatique, j'ai tenté de petits trucs : déconnection et reconnection de la ligne internet, débranchement de la prise de courant, enlever la batterie...
J'ai redémarré en F8 avec prise en charge réseau : résultat identique, vue du bureau 2 seconde puis écran blanc avec nouveau numéro en haut à gauche.

On ne rigole pas mais a ce moment j'étais si désespérée que je me suis misé à pleurer devant mon écran ! Et la, pendant que je fixais l'écran blanc à travers mes larmes pendant quelques minutes, il y a eu du changement !
Tout d'un coup, une page angoissante est apparue. Il s'agit de "l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication".
On me dit que j'ai violé la loi sur le droit d'auteur et les droits contigus et que donc mon ordinateur est bloqué, que je risque amande et prison ! Je ne vous dis pas la panique.

On me demande de payer 100€ sous 72 heures puis il faut que je règle l'infraction.

Le problème c'est que je n'ai rien fait de mal, tout est en règle sur mon ordinateur et je n'ai jamais rien téléchargé d'illégal.

Je dois payer cette somme par Ukash. Et il semble que ce message vienne de Hadopi.

Est ce une arnaque ? Si oui, comment supprimer ce virus et retrouver un Pc normal ?

Cette page reste affichée quelques minutes puis l'écran redevient blanc quelques secondes avec toujours un nouveau numéro en haut à gauche et la même page revient. Je précise que je suis toujours en F8 avec prise en charge réseau.

Merci d'avance de votre aide, je suis en totale panique.

59 réponses


pas de soucis :-)


Messages postés
16
Date d'inscription
lundi 25 juin 2007
Statut
Membre
Dernière intervention
19 avril 2018

La restauration s'est bien passée, si bien qu'on dirait que le virus à disparu puisque je retrouve mon Pc comme il était avant !!! Trop contente !

Du coup, je me demande s'il est utile de passer par RogueKiller.
Mais bon, si tu me le conseilles, je le fais car jusqu'à présent, tes conseils sont plutôt très bons !
RogueKiller téléchargé mais en version X64. J'espère avoir bien fait...

Suite au scan, RogueKiller a ouvert une page m'informant qu'il avait trouvé ça :
[Rootkit] ZeroAccess (Max++)

et me propose une vidéo qui montre comment s'en débarrasser.
Pour l'instant, je ne fais rien, je préfère attendre tes conseils.

Voici donc le rapport complet :

RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : murdoocnat [Droits d'admin]
Mode : Recherche -- Date : 24/02/2013 12:01:30
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\L --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] dc6a0e5f4bb74eb6ab5f65409c9592a2
[BSP] 3ccadfbcbaaff5479696df5fe72e2187 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 466933 Mo
2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 959352832 | Size: 8506 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_24022013_120130.txt >>
RKreport[1]_S_24022013_120130.txt
Messages postés
21
Date d'inscription
samedi 23 février 2013
Statut
Membre
Dernière intervention
25 février 2013

oui ne t'inquiète pas, sa me la déjà fait et j'ai du changer mon iexplorer.exe par un autre en mode sans échec et sa a marcher :)

l'infection t'a filé au passage un Zeroaccess !!!



relance roguekiller,

Clique sur Supprimer,

poste son rapport



C'est fait !
Durant la suppression, la bibliotheque de mon PC s'est ouverte toute seule et RogueKiller m'a à nouveau ouvert une page menant aux infos pour suppression de ZeroAccess.

Voici le nouveau rapport :

RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : murdoocnat [Droits d'admin]
Mode : Suppression -- Date : 24/02/2013 12:26:15
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\n [-] --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\L --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++
--- User ---
[MBR] dc6a0e5f4bb74eb6ab5f65409c9592a2
[BSP] 3ccadfbcbaaff5479696df5fe72e2187 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 466933 Mo
2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 959352832 | Size: 8506 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_24022013_122615.txt >>
RKreport[1]_S_24022013_120130.txt ; RKreport[2]_D_24022013_122615.txt

c'est normal, je te l'avais dit, tout dépend de la version du système d'exploitation et la variante de l'infection !

ce n'est pas parce que l'infection ne s'affiche plus qu'elle est supprimée !

on va voir l'étendu des dégats , mais en général, cette infection arrive jamais seule !!!


* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPdiag (l'icône est sous forme de parchemin), « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers



Whaou....! Moi qui pensais être presque tirée d'affaire, quand je vois tout ce qu'il y a encore à faire, je perds courage. Ca a l'air trés grave tout d'un coup !

Bon, je m'y mets tout de suite. Merci de ton aide !!!

relaxe, on sait traiter cette infection, mais il faut aller jusqu'au bout pour qu'elle ne revienne pas ;-)


Tes dernières recommandations semblaient trop compliquées à réaliser pour la néophyte que je suis mais heureusement tu as pris la peine de tout bien détailler. Merci infiniment car je pense m'en être bien sortie alors que ce n'était pas gagné.

Voila le lien :

http://cjoint.com/?3BymV1pd3ad

heuuu, il se trouve ou ton antivirus ?

à part Windows defender et un restant de MAcafric, je ne vois d'autre !

si, tu as tenté d'installer ceci :

O43 - CFD: 10/02/2013 - 23:22:32 - [0] ----D C:\Users\murdoocnat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional

installe la dernière evrsion de java depuyis son site dédié !


attention à l'installation des barres d'outils !!!



* /!\ Avertissement /!\
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

* Lance ZHPFix via le raccourci sur ton Bureau (icone sous forme de seringue)

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »



* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[HKLM\Software\Classes\RoboForm.ToolBand.1]
[HKLM\Software\Wow6432Node\Classes\RoboForm.ToolBand.1]
O43 - CFD: 20/06/2010 - 10:51:47 - [0,001] ----D C:\ProgramData\Partner
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] )
C:\ProgramData\Partner
Emptytemp
EmptyClsid


----------------------------------------------------------
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

C'est que tu n'as pas idée combien ça peut être difficile pour moi de faire ce que tu me conseilles :-)
A chaque installation de programme, chaque manip, je ne suis sure de rien, je ne comprends pas la moitié des termes, je fais toujours avec la crainte d'aggraver les choses.
Bref, je suis en stress.
Mais merci, tu expliques bien et tu es très patient !
Je n'ai pas d'antivirus. Normal que tu ne le voies pas !
McAfee était installé d'office à l'achat du PC, en version d'essai.
C'était insupportable, il me bloquait plein de sites, j'avais toujours des alertes, je ne pouvais rien faire. Ca m'a gonflée, je l'ai supprimé, surement très mal puisque tu en as trouvé la trace.

J'ai horreur de ces entraves au surf (car je n'ai jamais su paramétrer un antivirus pour avoir la liberté que je souhaite tout en ayant une protection normale).

Ce que tu as retrouvé : Windows Defender, je ne sais pas ce que c'est.

Disk Antivirus Professionnal, ce n'est pas un antivirus, C'EST UN VIRUS !
Il y a quelques jours, il s'était incrusté d'office dans mon PC et me demandait de l'argent pour débloquer l'ordi. Avec de l'aide, j'ai réussi à l'enlever mais là encore, je pensais avoir tout nettoyé mais on dirait qu'il reste des résidus...

je sais qu'il est parfois difficile de suivre, mais tu es le seul à manipuler ton pc,

si le cas s'aggrave et au pire des cas, on fait une restauration système et on recommence :-)

donc relaxe,

si tu rencontres des difficultés, n'hésite par de m'en parler, je t'indiquer comment avancer ;-)



Mise à jour JAVA effectuée !

Je continue.
Problème : sur le bureau, outre l'icone ZHPDiag utilisée précédemment, j'ai :

1°) une icone ZHPFix avec un rond rouge (même icone que pour ZHPDiag)

2°) une icone ZHPDiag2 avec une seringue

mais pas de ZHPFix avec icone de seringue !

Je lance laquelle, stp ?

les icones ont changé d'apparence suite à une mise à jour d'hier soir :P

désolé !



utiliser zhpfix :D



pour java, passe à la version, 7.15 ;-)

poste moi le rapport de zhpfix suite à cette manip :

https://forums.commentcamarche.net/forum/affich-27211125-vrai-police-ou-virus-et-arnaque?page=2#37

pour l'antivirus, on verra vers la fin :-)


Résumé et précisions, stp :

1°) Mise à jour Java 7.15 effectuée.

2°) Quand j'ouvre ZHPFix, dans la zone où je dois coller les lignes que tu m'as indiquées, il y a déjà ça :

http://cjoint.com/?3BymV1pd3ad

C'est le lien de mon scan.
Je le laisse ou je le supprime avant de copier-coller tes lignes ?

3°) Dans les lignes que tu me demandes de copier-coller, je vois que certaines sont en rapport avec Roboform.
Il s'agit d'un logiciel que j'ai acheté volontairement. J'y tiens et je ne voudrais pas qu'il soit supprimé. Si je colle les lignes dont tu m'as parlé, il risque de sauter, non ?

1/ ok pour la mise à jour de java


2/ ferme zhpfix,

relance le


* Lance ZHPFix via le raccourci sur ton Bureau

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »



* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------


O43 - CFD: 20/06/2010 - 10:51:47 - [0,001] ----D C:\ProgramData\Partner
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] )
C:\ProgramData\Partner
Emptytemp
EmptyClsid



----------------------------------------------------------
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html



3/ Boboform t'a filé la barre d'outil, je l'ai enlevé du script, mais sache qu'elle va ralentir ta navigation !