virus office central de lutte sur xp Fermé

Question

Bonjour à tous, 
Je viens d'être infecté par un virus qui bloque complètement mon pc. 
Dès que je redémarre l'ordinateur, une page "office central de lutte contre la criminalité" s'affiche me demandant de payer 100 euros avec un code pour paiement paypal.
Je suis sur windows XP et j'ai essayé les manip suivantes : ctrl alt sup, alt f4, windows m, ça n'y fait rien, la page m'empêche d'accéder à mon bureau. 
J'ai essayé un redémarrage en mode sans échec, ça ne change rien, lorsque le bureau apparait, la page s'affiche quasi instantanément et mon ordinateur est complètement bloqué.
Pour info, j'ai comme antivirus la dernière version gratuite d'avast, ne n'ai pas de serveur proxy ou autre trucs compliqués (mon utilisation d'internet est plutôt basique).
Je ne sais pas quoi faire... Help me pleeeeease :'((((
Merci d'avance,

Malekal_morte- · Accepted Answer

Cela sert à rien les commandes sur une autre session que la session infectée.
Tu peux depuis la session administrateur, sauvegarder tes documents.
Supprimer la session infectée et la recréer.


ou sinon tenter ça :

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/ 
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur. 

Suis la procédure indiqué sur la page : 
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB. 
- Mettre le CD / Clef USB sur le PC infecté 
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB. 
- Une fois sur le CD Live Malekal - Lance RogueKiller 
- Fais un scan 
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé). 
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet) 
- Redémarre l'ordinateur et vois ce que cela donne.

Malekal_morte- · Answer

Salut,

Voici une FAQ de commentcamarche qui propose des procédures de désinfection du virus Hadopi : http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
Lis bien l'introduction pour déterminer quelle variante tu as et faire en fonction.
Dis nous si tu as pu t'en débarrasser.

chantilly75 · Answer

Re-bonjour, 
J'ai suivi la procédure pour la version Urausy, j'ai fait un démarrage en mode sans échec avec invit de commandes, en tapant : "dir", je n'ai pas trouvé skype.dat, mais skype et skype.PE. 
Skype était daté d'aujourd'hui, j'ai donc supprimé ce fichier en faisant : del skype
J'ai retapé dir, skype était toujours là, j'en ai déduit que je n'avais rien effacé.
J'ai éteins et rallumé, plus rien ne marche. En mode normal, le démarrage ne passe pas le logo windows, en démarrage sans échec avec invit de commande, on me demande de choisir la session, puis lorsque je la choisis, elle se bloque pendant le chargement.
Panique à bord! J'ai l'impression d'avoir fait une grosse bêtise... 
Sur un autre ordinateur safe, j'ai téléchargé OTLP, transformé en iso, mis sur clé usb. Sur l'ordinateur malade, au niveau du boot, j'ai fait passer la clé usb avant le lecteur cd, mais rien ne se passe. L'écran reste noir. 
C'est de pire en pire, je désespère... Que faire ? :'''''((((((
Merciiiiiiiiiiiiiiiiiiiii

chantilly75 · Answer

Rerere bonjour, 
J'ai téléchargé OTLPE version cd, j'ai lancé le module jaune pour effectuer un scan mais, après avoir sélectionné la session infectée, ça plante en m'affichant le message suivant : runscanner error - registry access error, ret=1016
Je plonge de plus en plus loin dans les ténèbres :(((((
si quelqu'un peut m'aider, je l'en remercie

Known001 · Answer

Avez vous une autre session ? (administrateur)

chantilly75 · Answer

oui j'ai une session administrateur mais ce n'était pas la session infectée, j'essaye maintenant, mon ordinateur est un peu lent, ça va prendre quelques minutes...

Known001 · Answer

Alors chargez cette session et restaurer l'ordinateur à la date ou tout fonctionnait impec avec la restauration du systeme

Démarrer > tous les programmes > accessoire > outils systeme > restauration du systeme

chantilly75 · Answer

je ne peux pas charger de session, l'ordinateur beug dès le départ, je ne peux même pas lancer un mode sans échec avec invit de commande... Y-a-t-il un moyen d'exécuter roguekiller depuis otlpe ou un autre système d'exploitation sur cd? Merci d'avance

Known001 · Answer

A quel moment le PC beugue ? (ou êtes vous bloqué ?)

chantilly75 · Answer

1/ avec un démarrage normal, ça beug à l'affichage du logo windows sur fond noir

2/ avec un démarrage en mode sans échec, 
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur ça beug à l'affichage du bureau

3/ avec un démarrage en mode sans échec avec invit de commande, 
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur, ça marche. J'ai essayé les lignes de commandes permettant de localiser le virus %APPDATA... et de l'éliminer, mais je ne retrouve pas...

chantilly75 · Answer

j'ai réussi à lancer rogue killer depuis hiren's boot cd avec la session minixp
je suis en plein scan... suspens!

chantilly75 · Answer

bon je laisse tomber hiren's boot, j'essaye maintenant cd live malekal, en espérant avoir plus de chance...

chantilly75 · Answer

il se passe exactement la même chose que ce que j'ai décrit juste avant, rogue killer beug lorsqu'il scanne le disque c, il me détecte des susp path hj dll (recopié dans mon post d'avant)... c'est à désespérer... je suis à deux doigts de jeter cette ordinateur à la poubelle et de tout quitter pour aller vivre dans les bois et manger des feuilles...

Malekal_morte- · Answer

Après autre solution, avec le CD Live tu vas dans  

C:\Users\sessioninfectee\AppData\Roaming\ <= là il doit y avoir une DLL avec des chiffres je pense genre 42325543.dll - supprime là  

C:\Users\sessioninfectee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup  <= ici il doit y avoir un fichier lnk style msconfig  
tu le supprimes.  

Redémarre sur la session infectée.  
   
Like the angel you are, you laugh creating a lightness in my chest,  
Your eyes they penetrate me,  
(Your answer's always 'maybe')  
That's when I got up and left

chantilly75 · Answer

Bonjour, 
Je ne trouve pas C:\Users\...
Par contre je trouve C:\documentsandsettings\sessioninfectee\AppData\
mais je ne trouve pas \Roaming
Je trouve le chemin C:\documentsandsettings\sessioninfectee\AppData\microsoft\windows et après c'est quasiment vide, il y a juste themes et à l'intérieur de themes : custom.theme
J'ai aussi essayé de recherché 42325543 avec l'onglet recherche dans c\
je ne trouve rien... que faire? 
Merci pour votre patiente...

Malekal_morte- · Answer

ha t'es sur Windows XP. Les exemples de chemin c'est pour Vista et Seven.  
Le 42325543.dll c'est juste un exemple :)  

C:\Documents and Settings\sessioninfectee\Application Data\ <= là il doit y avoir une DLL avec des chiffres aléatoires comme nom,  genre 42325543.dll  ou lettres+chiffres style dl23l2K.dll - supprime là  

Pendant qu'on y est regarde là aussi - si y a pas des fichiers avec des noms aléatoires :  

C:\Documents and Settings\sessioninfectee\Local Settings/Temp 

C:\Documents and Settings\sessioninfectee\Menu Démarrer\Programmes\Démarrage <= ici il doit y avoir un fichier lnk style msconfig.lnk  
   
Like the angel you are, you laugh creating a lightness in my chest,  
Your eyes they penetrate me,  
(Your answer's always 'maybe')  
That's when I got up and left

Malekal_morte- · Answer

Tu n'aurais pas cette variante ? 
 "Office Central de lutte contre la criminalité liée aux technologies de l'information et de la comunication"

Y a le logo hadopi ou pas?

chantilly75 · Answer

oui j'ai cette variante, le logo hadopi s'affiche...
demain, si je ne trouve rien, j'efface tout, je mets le cd d'installation d'xp et je repars à zéro. Heureusement, j'ai pu sauvegarder mes données sur disque dur externe...

juju666 · Answer

salut pour avancer

Informations et indications pour supprimer sur cette page : https://www.malekal.com/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/

Virus office central de lutte sur xp

19 réponses

Discussions similaires