Virus office central de lutte sur xp

Fermé
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013 - 10 avril 2013 à 11:31
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 avril 2013 à 22:35
Bonjour à tous,
Je viens d'être infecté par un virus qui bloque complètement mon pc.
Dès que je redémarre l'ordinateur, une page "office central de lutte contre la criminalité" s'affiche me demandant de payer 100 euros avec un code pour paiement paypal.
Je suis sur windows XP et j'ai essayé les manip suivantes : ctrl alt sup, alt f4, windows m, ça n'y fait rien, la page m'empêche d'accéder à mon bureau.
J'ai essayé un redémarrage en mode sans échec, ça ne change rien, lorsque le bureau apparait, la page s'affiche quasi instantanément et mon ordinateur est complètement bloqué.
Pour info, j'ai comme antivirus la dernière version gratuite d'avast, ne n'ai pas de serveur proxy ou autre trucs compliqués (mon utilisation d'internet est plutôt basique).
Je ne sais pas quoi faire... Help me pleeeeease :'((((
Merci d'avance,
A voir également:

19 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 avril 2013 à 18:42
Cela sert à rien les commandes sur une autre session que la session infectée.
Tu peux depuis la session administrateur, sauvegarder tes documents.
Supprimer la session infectée et la recréer.


ou sinon tenter ça :

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.


2
Known001 Messages postés 2385 Date d'inscription mardi 28 août 2012 Statut Membre Dernière intervention 16 novembre 2018 322
Modifié par Known001 le 10/04/2013 à 21:42
J'avais régler le probleme similaire en utilisant une autre session mais comme tu dis, cela dois aussi fonctionner
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 avril 2013 à 11:31
Salut,

Voici une FAQ de commentcamarche qui propose des procédures de désinfection du virus Hadopi : http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
Lis bien l'introduction pour déterminer quelle variante tu as et faire en fonction.
Dis nous si tu as pu t'en débarrasser.
1
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 13:22
Re-bonjour,
J'ai suivi la procédure pour la version Urausy, j'ai fait un démarrage en mode sans échec avec invit de commandes, en tapant : "dir", je n'ai pas trouvé skype.dat, mais skype et skype.PE.
Skype était daté d'aujourd'hui, j'ai donc supprimé ce fichier en faisant : del skype
J'ai retapé dir, skype était toujours là, j'en ai déduit que je n'avais rien effacé.
J'ai éteins et rallumé, plus rien ne marche. En mode normal, le démarrage ne passe pas le logo windows, en démarrage sans échec avec invit de commande, on me demande de choisir la session, puis lorsque je la choisis, elle se bloque pendant le chargement.
Panique à bord! J'ai l'impression d'avoir fait une grosse bêtise...
Sur un autre ordinateur safe, j'ai téléchargé OTLP, transformé en iso, mis sur clé usb. Sur l'ordinateur malade, au niveau du boot, j'ai fait passer la clé usb avant le lecteur cd, mais rien ne se passe. L'écran reste noir.
C'est de pire en pire, je désespère... Que faire ? :'''''((((((
Merciiiiiiiiiiiiiiiiiiiii
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 avril 2013 à 13:23
et la restauration du système ?
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 13:25
je ne sais pas comment faire une restauration du système en invit de commande... et de toute façon, je n'arrive plus à accéder à l'invit de commande, le mode sans échec avec invit de commande bloque lorsque je choisis la session... j'ai l'impression que c'est foutu :(((
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 10/04/2013 à 13:28
C'est expliqué dans le lien que je t'ai donné.
y a même une vidéo
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:04
la vidéo explique comment faire une restauration avec invite de commandes, je n'ai pas accès au invite de commandes en mode sans échec...
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:08
Rerere bonjour,
J'ai téléchargé OTLPE version cd, j'ai lancé le module jaune pour effectuer un scan mais, après avoir sélectionné la session infectée, ça plante en m'affichant le message suivant : runscanner error - registry access error, ret=1016
Je plonge de plus en plus loin dans les ténèbres :(((((
si quelqu'un peut m'aider, je l'en remercie
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Known001 Messages postés 2385 Date d'inscription mardi 28 août 2012 Statut Membre Dernière intervention 16 novembre 2018 322
10 avril 2013 à 18:10
Avez vous une autre session ? (administrateur)
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:14
oui j'ai une session administrateur mais ce n'était pas la session infectée, j'essaye maintenant, mon ordinateur est un peu lent, ça va prendre quelques minutes...
0
Known001 Messages postés 2385 Date d'inscription mardi 28 août 2012 Statut Membre Dernière intervention 16 novembre 2018 322
Modifié par Known001 le 10/04/2013 à 18:16
Alors chargez cette session et restaurer l'ordinateur à la date ou tout fonctionnait impec avec la restauration du systeme

Démarrer > tous les programmes > accessoire > outils systeme > restauration du systeme
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:19
je ne peux pas charger de session, l'ordinateur beug dès le départ, je ne peux même pas lancer un mode sans échec avec invit de commande... Y-a-t-il un moyen d'exécuter roguekiller depuis otlpe ou un autre système d'exploitation sur cd? Merci d'avance
0
Known001 Messages postés 2385 Date d'inscription mardi 28 août 2012 Statut Membre Dernière intervention 16 novembre 2018 322
10 avril 2013 à 18:20
A quel moment le PC beugue ? (ou êtes vous bloqué ?)
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:36
1/ avec un démarrage normal, ça beug à l'affichage du logo windows sur fond noir

2/ avec un démarrage en mode sans échec,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur ça beug à l'affichage du bureau

3/ avec un démarrage en mode sans échec avec invit de commande,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur, ça marche. J'ai essayé les lignes de commandes permettant de localiser le virus %APPDATA... et de l'éliminer, mais je ne retrouve pas...
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
10 avril 2013 à 18:53
j'ai réussi à lancer rogue killer depuis hiren's boot cd avec la session minixp
je suis en plein scan... suspens!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 avril 2013 à 19:00
donne le rapport, si tu peux.
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 07:20
roguekiller beug aussi depuis hiren's boot, je démarre le .exe, il fait un préscan, me demande d'accepter les contrats de la licence, je lance le scan, il repère en quelques secondes des trucs puis bloquent en scannant le disque c (j'ai laissé tourner toute la nuit en vain).
Les trucs trouvés (impossible à delete parce que l'onglet n'est pas cliquable):
dans processes : killed termproc susp path 1752 automountdrives.exe B:\temp\hbcd\automountdrives.exe
dans registry : 4 susp path -->
HJ DLL HKLM c:\controlset001\services\winmgmt\parameters
HJ DLL HKLM c:\controlset002\services\winmgmt\parameters
Startup administrateur
Startup all users
J'aurais préféré faire un copier coller de tout ça, mais c'est impossible...
Help me please :(((
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 07:32
bon je laisse tomber hiren's boot, j'essaye maintenant cd live malekal, en espérant avoir plus de chance...
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 07:57
il se passe exactement la même chose que ce que j'ai décrit juste avant, rogue killer beug lorsqu'il scanne le disque c, il me détecte des susp path hj dll (recopié dans mon post d'avant)... c'est à désespérer... je suis à deux doigts de jeter cette ordinateur à la poubelle et de tout quitter pour aller vivre dans les bois et manger des feuilles...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 11/04/2013 à 09:12
Dans le menu Démarrer tu as RogueKiller sans driver, ça donne quoi ?

et OTLPE ?
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 09:37
otlpe beug aussi depuis le cd live maleka, ça m'indique : runscanner error,
J'avais déjà eu ça avec la cd bootable otlpe...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 avril 2013 à 09:42
ok, sur le CD Live, y a Malwarebyte,
Tu peux faire marcher internet comme expliqué sur la page du tuto.
Mettre à jour les définitions virales de Malwarebytes et scanner le disque C où tu as ton Windows ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 11/04/2013 à 09:47
Après autre solution, avec le CD Live tu vas dans

C:\Users\sessioninfectee\AppData\Roaming\ <= là il doit y avoir une DLL avec des chiffres je pense genre 42325543.dll - supprime là

C:\Users\sessioninfectee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup <= ici il doit y avoir un fichier lnk style msconfig
tu le supprimes.

Redémarre sur la session infectée.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 13:43
Bonjour,
Je ne trouve pas C:\Users\...
Par contre je trouve C:\documentsandsettings\sessioninfectee\AppData\
mais je ne trouve pas \Roaming
Je trouve le chemin C:\documentsandsettings\sessioninfectee\AppData\microsoft\windows et après c'est quasiment vide, il y a juste themes et à l'intérieur de themes : custom.theme
J'ai aussi essayé de recherché 42325543 avec l'onglet recherche dans c\
je ne trouve rien... que faire?
Merci pour votre patiente...
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 15:29
(patience)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 11/04/2013 à 13:48
ha t'es sur Windows XP. Les exemples de chemin c'est pour Vista et Seven.
Le 42325543.dll c'est juste un exemple :)

C:\Documents and Settings\sessioninfectee\Application Data\ <= là il doit y avoir une DLL avec des chiffres aléatoires comme nom, genre 42325543.dll ou lettres+chiffres style dl23l2K.dll - supprime là

Pendant qu'on y est regarde là aussi - si y a pas des fichiers avec des noms aléatoires :

C:\Documents and Settings\sessioninfectee\Local Settings/Temp

C:\Documents and Settings\sessioninfectee\Menu Démarrer\Programmes\Démarrage <= ici il doit y avoir un fichier lnk style msconfig.lnk

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 avril 2013 à 21:43
Tu n'aurais pas cette variante ?
"Office Central de lutte contre la criminalité liée aux technologies de l'information et de la comunication"

Y a le logo hadopi ou pas?
0
chantilly75 Messages postés 16 Date d'inscription mercredi 10 avril 2013 Statut Membre Dernière intervention 11 avril 2013
11 avril 2013 à 22:26
oui j'ai cette variante, le logo hadopi s'affiche...
demain, si je ne trouve rien, j'efface tout, je mets le cd d'installation d'xp et je repars à zéro. Heureusement, j'ai pu sauvegarder mes données sur disque dur externe...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 11/04/2013 à 22:35
ok si y a le logo hadopi c'est pas celle-ci dessous.

Tu n'as pas besoin de tout réinstaller.
si tu n'as qu'une session de touchée, tu vas sur celle qui fonctionne, tu sauvegardes les documents de la session touchée : C:\Documents and Settings\sessioninfectee\
Tu peux faire une recherche dessus (clic droit / rechercher) pour avoir les documents et les recopier ailleurs.

Tu supprimes la session et tu la recréés : Panneau de configuration / utilisateurs
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2013 à 22:30
salut pour avancer

Informations et indications pour supprimer sur cette page : https://www.malekal.com/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/
0