Polizei Cybercriminalite ....

Résolu/Fermé
Huntsman2942 Messages postés 5 Date d'inscription jeudi 30 mai 2013 Statut Membre Dernière intervention 5 juin 2013 - 30 mai 2013 à 00:22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 4 juin 2013 à 12:30
Bonjour,

Ce soir en surfant une fenêtre "Polizei Cybercriminalité est apparue" et depuis ma session principale est totalement bloquée impossible de quitter et d'aller sur d'autre pages.

Des lors je me suis dit qu un bon vieux nettoyage en mode sans echec serait nécessaire toutefois, impossible de lancer celui ci, je le lance et il redémarre après s'etre booté.

Est-ce que quelqu'un peut m'aider svp ?

Merci d'avance.
A voir également:

45 réponses

billmaxime Messages postés 48885 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 24 mars 2023 5 964
31 mai 2013 à 07:34
salut a tout le monde

tout d'abord, 1 bon anniversaire a juju

ensuite, si g3n suit le topic, c'est avec grand plaisir que je vais me contenter de

suivre la procédure qu'il va utiliser pour supprimer le virus

bonne journée

@+
0
me revoilà dsl j'étais très occupé ce week end ^^

https://forums-fec.be/upload/www/?a=d&i=0814554243

https://forums-fec.be/upload/www/?a=d&i=4220633518
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
31 mai 2013 à 11:13
bien attendons le rapport OTL :)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 17:47
hello

t'as pas choisi le bon dossier windows
0
dsl mais j'ai 4 disc, et je vois pas dans lequel le prendre, un c'est Disque local, l'autre système, l'autre disque local, et j'ai nul part d'autre Windows
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 18:17
colle ca en bas de OTL dans la case "custom scan / fixes"

:OTL
O4 - HKU\Propriétaire_ON_E..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] d:\Documents\4b36280b.exe File not found

:reg
[HKU\Propriétaire_ON_E\Software\Microsoft\Command Processor]
"autorun"=-

puis clique sur correction

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
correction ? je suit totalement largué la,
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 18:36
"Run Fix" pardon
0
c'est fait
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 18:38
ok tu dois pouvoir redemarrer la machine normalement
0
non il me vient une fenêtre avec cmd.exe
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 18:48
alors il faut un rapport OTL en selectionnant le bon windows pas celui du disque X:\
0
et je fais quoi avec la fenêtre cmd.exe, parceque genre elle me vient a la place du boot Windows
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 18:53
tape shutdown

redemarre sur le cd

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
ca charge
0
rien a changer je n'ai que le Windows d'avant et je mets quoi comme commande pour le scan ?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 19:20
ca :

HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork

0
https://forums-fec.be/upload/www/?a=d&i=6706887473

https://forums-fec.be/upload/www/?a=d&i=2176983880
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 19:37
t'as encore pas selectionné le bon disque,
0
c'est le seul endroit ou j'ai un dossier windows. sur le dossier systeme y a que boot et des autres truc mais pas windows.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 19:42
dans le disque D:\ tu n'as pas un dossier windows ?
0
non j'ai que system volume, boot et recycle
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 19:56
et dans E: ?
0
la oui mais apparemment c'est pas le bon, veux bien te le remettre pour etre sur
0
https://forums-fec.be/upload/www/?a=d&i=7409375412

https://forums-fec.be/upload/www/?a=d&i=0637069066
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 20:23
Ah je l'avais pas vue !!!!

colle ca en bas d'OTL et clique sur RUN FIX


:OTL
O4 - HKU\Propriétaire_ON_E..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] d:\Documents\4b36280b.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleStartMenu = 1
O20 - HKU\Propriétaire_ON_E Winlogon: Shell - (cmd.exe) - cmd.exe (Microsoft Corporation)
MsConfig:64bit - StartUpReg: [b]Sweetpacks Communicator[/b] - hkey= - key= - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found

0
c'est fait
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 20:38
tu dois avoir un rapport à la racine du disque que tu as selectionné ou dans un dossier qui se nomme OTLPE ou _OTL
0
j'ai bien un dossier _OTL mais j'ai que des documents genre :

https://forums-fec.be/upload/www/?a=d&i=4885570448

et rien a la racine des disque
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 20:56
tu dois tu planter quelque part c'est pas possible....
va dans le menu demarrer, dans le dossier "system tools" et ouvre registry
0
oui rgedit
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 21:02
ok l'editeur de registre est ouvert ?
0
bin je sais pas comment je vois si il est ouvert, jai un dossier avec plusieur dossier à lintérieur.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 21:06
tu as une fenetre ouverte avec comme entête "editeur de registre" ?
0
oui
0
winlogon n'existe pas chez moi
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 21:21
tu as du ouvrir windows au lieu de windows NT , regarde bien l'orthographe
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 21:08
parfait

deplie avec les petits "+"

HKEY_USERS

vois-tu ensuite un autre dossier du nom de Propriétaire_On_E ?
0
oui il est la
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 21:16
ok alors on va l'avoir :)

déplie avec les petits "+"

Propriétaire_On_E
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clic gauche sur winlogon

tableau de droite , clic droit sur la valeur "Shell" => supprimer

====

ensuite :

déplie avec les petits "+"

Propriétaire_On_E
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

clic gauche sur "Run" , tableau de droite , clic droit sur qcgce2mrvjq91kk1e7pnbb19m52fx => supprimer
0
c'est fait
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 3/06/2013 à 21:32
tu as bien suppripmé les deux valeurs ?

si oui , redemarre la machine normalement sans le cd

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
il a démarré
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 21:45
ok maintenant on l'achève, il y a certainement une infection zeroaccess avec

==

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
0
http://cjoint.com/?CFdwmkkQ1n6
0
et maintenant ?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 22:16
relance-le, clique sur diag, heberge le rapport pre_diag et donne le lien

0
diag ?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 22:22
oui quand tu vas le relancer il va t'afficher des boutons , tu cliques sur diag, heberge le rapport pre_diag et donne le lien
0
je relance le programme ou le pc ? parceque j'ai redémarrer et rien n'est venu
0
le programme ^^
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 22:25
ben oui le programme mdr !!
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 22:32
llaisse tomber

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
double post :
http://cjoint.com/?CFdwOAivYPe

http://cjoint.com/?CFdwPjlfe8z
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
3 juin 2013 à 22:52
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
safari.exe
opera.exe
rundll32.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0: C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll File not found
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_nocpc_3912_8&babsrc=SP_ss&mntrId=101a252d000000000000902b3436be76
O4 - HKU\S-1-5-21-1868945222-559050942-2506315631-1000\..\Run: [RGSC] D:\GTA\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found
O4 - Startup: C:\Users\Propriétaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
O16 - DPF: {BAD4FE2C-503B-45CC-88CD-4B0574057D11} http://clients.futuremark.com/calico/systeminfodeploy/FMSI_v4110.cab (Reg Error: Key error.)
O33 - MountPoints2\{3845588f-01a0-11e2-94db-902b3436be76}\Shell - "" = AutoRun
O33 - MountPoints2\{c26f82d4-fbf6-11e1-8533-806e6f6e6963}\Shell - "" = AutoRun
MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Continuous Silence.lnk - C:\Windows\Installer\{D632DEC1-5BF8-45B5-94FF-E55ABAFB7B1C}\_82D8F8E0C76F06D234F0C6.exe - ()
[6 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]

:Reg
[-HKEY_CURRENT_USER\Software\InstallCore]
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\SweetIM]

:Files
d:\Documents\4b36280b.exe
C:\ProgramData\2433f433
C:\Users\Propriétaire\AppData\Local\2433f433
C:\Users\Propriétaire\AppData\Roaming\2433f433
C:\Users\Propriétaire\AppData\Roaming\AF67F18C


:commands
[emptytemp]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

0
les options je laisse celle de base ou je mets celle que tu m'as mis dans le modèle ci dessus ?
0