Virus office central de lutte sur xp
chantilly75
Messages postés
16
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous,
Je viens d'être infecté par un virus qui bloque complètement mon pc.
Dès que je redémarre l'ordinateur, une page "office central de lutte contre la criminalité" s'affiche me demandant de payer 100 euros avec un code pour paiement paypal.
Je suis sur windows XP et j'ai essayé les manip suivantes : ctrl alt sup, alt f4, windows m, ça n'y fait rien, la page m'empêche d'accéder à mon bureau.
J'ai essayé un redémarrage en mode sans échec, ça ne change rien, lorsque le bureau apparait, la page s'affiche quasi instantanément et mon ordinateur est complètement bloqué.
Pour info, j'ai comme antivirus la dernière version gratuite d'avast, ne n'ai pas de serveur proxy ou autre trucs compliqués (mon utilisation d'internet est plutôt basique).
Je ne sais pas quoi faire... Help me pleeeeease :'((((
Merci d'avance,
Je viens d'être infecté par un virus qui bloque complètement mon pc.
Dès que je redémarre l'ordinateur, une page "office central de lutte contre la criminalité" s'affiche me demandant de payer 100 euros avec un code pour paiement paypal.
Je suis sur windows XP et j'ai essayé les manip suivantes : ctrl alt sup, alt f4, windows m, ça n'y fait rien, la page m'empêche d'accéder à mon bureau.
J'ai essayé un redémarrage en mode sans échec, ça ne change rien, lorsque le bureau apparait, la page s'affiche quasi instantanément et mon ordinateur est complètement bloqué.
Pour info, j'ai comme antivirus la dernière version gratuite d'avast, ne n'ai pas de serveur proxy ou autre trucs compliqués (mon utilisation d'internet est plutôt basique).
Je ne sais pas quoi faire... Help me pleeeeease :'((((
Merci d'avance,
A voir également:
- Virus office central de lutte sur xp
- Microsoft office - Guide
- Cette technique secrète permet d'avoir Windows et Microsoft Office gratuitement et à vie - Accueil - Bureautique
- Open office gratuit - Télécharger - Suite bureautique
- Web office - Guide
- Cle windows xp - Guide
19 réponses
Cela sert à rien les commandes sur une autre session que la session infectée.
Tu peux depuis la session administrateur, sauvegarder tes documents.
Supprimer la session infectée et la recréer.
ou sinon tenter ça :
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
Tu peux depuis la session administrateur, sauvegarder tes documents.
Supprimer la session infectée et la recréer.
ou sinon tenter ça :
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
Known001
Messages postés
2385
Date d'inscription
Statut
Membre
Dernière intervention
322
J'avais régler le probleme similaire en utilisant une autre session mais comme tu dis, cela dois aussi fonctionner
Salut,
Voici une FAQ de commentcamarche qui propose des procédures de désinfection du virus Hadopi : http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
Lis bien l'introduction pour déterminer quelle variante tu as et faire en fonction.
Dis nous si tu as pu t'en débarrasser.
Voici une FAQ de commentcamarche qui propose des procédures de désinfection du virus Hadopi : http://www.commentcamarche.net/faq/36326-virus-hadopi-virus-ukash-virus-police
Lis bien l'introduction pour déterminer quelle variante tu as et faire en fonction.
Dis nous si tu as pu t'en débarrasser.
Re-bonjour,
J'ai suivi la procédure pour la version Urausy, j'ai fait un démarrage en mode sans échec avec invit de commandes, en tapant : "dir", je n'ai pas trouvé skype.dat, mais skype et skype.PE.
Skype était daté d'aujourd'hui, j'ai donc supprimé ce fichier en faisant : del skype
J'ai retapé dir, skype était toujours là, j'en ai déduit que je n'avais rien effacé.
J'ai éteins et rallumé, plus rien ne marche. En mode normal, le démarrage ne passe pas le logo windows, en démarrage sans échec avec invit de commande, on me demande de choisir la session, puis lorsque je la choisis, elle se bloque pendant le chargement.
Panique à bord! J'ai l'impression d'avoir fait une grosse bêtise...
Sur un autre ordinateur safe, j'ai téléchargé OTLP, transformé en iso, mis sur clé usb. Sur l'ordinateur malade, au niveau du boot, j'ai fait passer la clé usb avant le lecteur cd, mais rien ne se passe. L'écran reste noir.
C'est de pire en pire, je désespère... Que faire ? :'''''((((((
Merciiiiiiiiiiiiiiiiiiiii
J'ai suivi la procédure pour la version Urausy, j'ai fait un démarrage en mode sans échec avec invit de commandes, en tapant : "dir", je n'ai pas trouvé skype.dat, mais skype et skype.PE.
Skype était daté d'aujourd'hui, j'ai donc supprimé ce fichier en faisant : del skype
J'ai retapé dir, skype était toujours là, j'en ai déduit que je n'avais rien effacé.
J'ai éteins et rallumé, plus rien ne marche. En mode normal, le démarrage ne passe pas le logo windows, en démarrage sans échec avec invit de commande, on me demande de choisir la session, puis lorsque je la choisis, elle se bloque pendant le chargement.
Panique à bord! J'ai l'impression d'avoir fait une grosse bêtise...
Sur un autre ordinateur safe, j'ai téléchargé OTLP, transformé en iso, mis sur clé usb. Sur l'ordinateur malade, au niveau du boot, j'ai fait passer la clé usb avant le lecteur cd, mais rien ne se passe. L'écran reste noir.
C'est de pire en pire, je désespère... Que faire ? :'''''((((((
Merciiiiiiiiiiiiiiiiiiiii
Rerere bonjour,
J'ai téléchargé OTLPE version cd, j'ai lancé le module jaune pour effectuer un scan mais, après avoir sélectionné la session infectée, ça plante en m'affichant le message suivant : runscanner error - registry access error, ret=1016
Je plonge de plus en plus loin dans les ténèbres :(((((
si quelqu'un peut m'aider, je l'en remercie
J'ai téléchargé OTLPE version cd, j'ai lancé le module jaune pour effectuer un scan mais, après avoir sélectionné la session infectée, ça plante en m'affichant le message suivant : runscanner error - registry access error, ret=1016
Je plonge de plus en plus loin dans les ténèbres :(((((
si quelqu'un peut m'aider, je l'en remercie
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
oui j'ai une session administrateur mais ce n'était pas la session infectée, j'essaye maintenant, mon ordinateur est un peu lent, ça va prendre quelques minutes...
Alors chargez cette session et restaurer l'ordinateur à la date ou tout fonctionnait impec avec la restauration du systeme
Démarrer > tous les programmes > accessoire > outils systeme > restauration du systeme
Démarrer > tous les programmes > accessoire > outils systeme > restauration du systeme
je ne peux pas charger de session, l'ordinateur beug dès le départ, je ne peux même pas lancer un mode sans échec avec invit de commande... Y-a-t-il un moyen d'exécuter roguekiller depuis otlpe ou un autre système d'exploitation sur cd? Merci d'avance
1/ avec un démarrage normal, ça beug à l'affichage du logo windows sur fond noir
2/ avec un démarrage en mode sans échec,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur ça beug à l'affichage du bureau
3/ avec un démarrage en mode sans échec avec invit de commande,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur, ça marche. J'ai essayé les lignes de commandes permettant de localiser le virus %APPDATA... et de l'éliminer, mais je ne retrouve pas...
2/ avec un démarrage en mode sans échec,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur ça beug à l'affichage du bureau
3/ avec un démarrage en mode sans échec avec invit de commande,
si je choisis la session infecté, elle ne se lance pas, l'écran reste figé en indiquant le chargement de la session
si je choisis la session administrateur, ça marche. J'ai essayé les lignes de commandes permettant de localiser le virus %APPDATA... et de l'éliminer, mais je ne retrouve pas...
j'ai réussi à lancer rogue killer depuis hiren's boot cd avec la session minixp
je suis en plein scan... suspens!
je suis en plein scan... suspens!
roguekiller beug aussi depuis hiren's boot, je démarre le .exe, il fait un préscan, me demande d'accepter les contrats de la licence, je lance le scan, il repère en quelques secondes des trucs puis bloquent en scannant le disque c (j'ai laissé tourner toute la nuit en vain).
Les trucs trouvés (impossible à delete parce que l'onglet n'est pas cliquable):
dans processes : killed termproc susp path 1752 automountdrives.exe B:\temp\hbcd\automountdrives.exe
dans registry : 4 susp path -->
HJ DLL HKLM c:\controlset001\services\winmgmt\parameters
HJ DLL HKLM c:\controlset002\services\winmgmt\parameters
Startup administrateur
Startup all users
J'aurais préféré faire un copier coller de tout ça, mais c'est impossible...
Help me please :(((
Les trucs trouvés (impossible à delete parce que l'onglet n'est pas cliquable):
dans processes : killed termproc susp path 1752 automountdrives.exe B:\temp\hbcd\automountdrives.exe
dans registry : 4 susp path -->
HJ DLL HKLM c:\controlset001\services\winmgmt\parameters
HJ DLL HKLM c:\controlset002\services\winmgmt\parameters
Startup administrateur
Startup all users
J'aurais préféré faire un copier coller de tout ça, mais c'est impossible...
Help me please :(((
bon je laisse tomber hiren's boot, j'essaye maintenant cd live malekal, en espérant avoir plus de chance...
il se passe exactement la même chose que ce que j'ai décrit juste avant, rogue killer beug lorsqu'il scanne le disque c, il me détecte des susp path hj dll (recopié dans mon post d'avant)... c'est à désespérer... je suis à deux doigts de jeter cette ordinateur à la poubelle et de tout quitter pour aller vivre dans les bois et manger des feuilles...
Après autre solution, avec le CD Live tu vas dans
C:\Users\sessioninfectee\AppData\Roaming\ <= là il doit y avoir une DLL avec des chiffres je pense genre 42325543.dll - supprime là
C:\Users\sessioninfectee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup <= ici il doit y avoir un fichier lnk style msconfig
tu le supprimes.
Redémarre sur la session infectée.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C:\Users\sessioninfectee\AppData\Roaming\ <= là il doit y avoir une DLL avec des chiffres je pense genre 42325543.dll - supprime là
C:\Users\sessioninfectee\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup <= ici il doit y avoir un fichier lnk style msconfig
tu le supprimes.
Redémarre sur la session infectée.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour,
Je ne trouve pas C:\Users\...
Par contre je trouve C:\documentsandsettings\sessioninfectee\AppData\
mais je ne trouve pas \Roaming
Je trouve le chemin C:\documentsandsettings\sessioninfectee\AppData\microsoft\windows et après c'est quasiment vide, il y a juste themes et à l'intérieur de themes : custom.theme
J'ai aussi essayé de recherché 42325543 avec l'onglet recherche dans c\
je ne trouve rien... que faire?
Merci pour votre patiente...
Je ne trouve pas C:\Users\...
Par contre je trouve C:\documentsandsettings\sessioninfectee\AppData\
mais je ne trouve pas \Roaming
Je trouve le chemin C:\documentsandsettings\sessioninfectee\AppData\microsoft\windows et après c'est quasiment vide, il y a juste themes et à l'intérieur de themes : custom.theme
J'ai aussi essayé de recherché 42325543 avec l'onglet recherche dans c\
je ne trouve rien... que faire?
Merci pour votre patiente...
ha t'es sur Windows XP. Les exemples de chemin c'est pour Vista et Seven.
Le 42325543.dll c'est juste un exemple :)
C:\Documents and Settings\sessioninfectee\Application Data\ <= là il doit y avoir une DLL avec des chiffres aléatoires comme nom, genre 42325543.dll ou lettres+chiffres style dl23l2K.dll - supprime là
Pendant qu'on y est regarde là aussi - si y a pas des fichiers avec des noms aléatoires :
C:\Documents and Settings\sessioninfectee\Local Settings/Temp
C:\Documents and Settings\sessioninfectee\Menu Démarrer\Programmes\Démarrage <= ici il doit y avoir un fichier lnk style msconfig.lnk
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Le 42325543.dll c'est juste un exemple :)
C:\Documents and Settings\sessioninfectee\Application Data\ <= là il doit y avoir une DLL avec des chiffres aléatoires comme nom, genre 42325543.dll ou lettres+chiffres style dl23l2K.dll - supprime là
Pendant qu'on y est regarde là aussi - si y a pas des fichiers avec des noms aléatoires :
C:\Documents and Settings\sessioninfectee\Local Settings/Temp
C:\Documents and Settings\sessioninfectee\Menu Démarrer\Programmes\Démarrage <= ici il doit y avoir un fichier lnk style msconfig.lnk
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu n'aurais pas cette variante ?
"Office Central de lutte contre la criminalité liée aux technologies de l'information et de la comunication"
Y a le logo hadopi ou pas?
"Office Central de lutte contre la criminalité liée aux technologies de l'information et de la comunication"
Y a le logo hadopi ou pas?
oui j'ai cette variante, le logo hadopi s'affiche...
demain, si je ne trouve rien, j'efface tout, je mets le cd d'installation d'xp et je repars à zéro. Heureusement, j'ai pu sauvegarder mes données sur disque dur externe...
demain, si je ne trouve rien, j'efface tout, je mets le cd d'installation d'xp et je repars à zéro. Heureusement, j'ai pu sauvegarder mes données sur disque dur externe...
ok si y a le logo hadopi c'est pas celle-ci dessous.
Tu n'as pas besoin de tout réinstaller.
si tu n'as qu'une session de touchée, tu vas sur celle qui fonctionne, tu sauvegardes les documents de la session touchée : C:\Documents and Settings\sessioninfectee\
Tu peux faire une recherche dessus (clic droit / rechercher) pour avoir les documents et les recopier ailleurs.
Tu supprimes la session et tu la recréés : Panneau de configuration / utilisateurs
Tu n'as pas besoin de tout réinstaller.
si tu n'as qu'une session de touchée, tu vas sur celle qui fonctionne, tu sauvegardes les documents de la session touchée : C:\Documents and Settings\sessioninfectee\
Tu peux faire une recherche dessus (clic droit / rechercher) pour avoir les documents et les recopier ailleurs.
Tu supprimes la session et tu la recréés : Panneau de configuration / utilisateurs
salut pour avancer
Informations et indications pour supprimer sur cette page : https://www.malekal.com/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/
Informations et indications pour supprimer sur cette page : https://www.malekal.com/ransomware-office-centrale-de-la-lutte-contre-la-criminalite-variante-3-nymaim/