Polizei Cybercriminalite .... Résolu

Question

Bonjour,

Ce soir en surfant une fenêtre "Polizei Cybercriminalité est apparue" et depuis ma session principale est totalement bloquée impossible de quitter et d'aller sur d'autre pages.

Des lors je me suis dit qu un bon vieux nettoyage en mode sans echec serait nécessaire toutefois, impossible de lancer celui ci, je le lance et il redémarre après s'etre booté.

Est-ce que quelqu'un peut m'aider svp ?

Merci d'avance.

billmaxime · Answer

salut

regarde si tu as accès a l'invite de commande en mode sans échec

le mode sans échec

si oui, fais ceci (regarde la procédure correspondante a ton os)

http://www.octetmalin.net/windows/tutoriels/invite-de-commandes-en-mode-sans-echec-restauration-systeme.php 

dis moi si ça fonctionne

@+

billmaxime · Answer

re

télécharge le live cd de malékal (afin d'avoir accès a ton système)

https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/

ensuite on désinfecte

@+

billmaxime · Answer

re

pas la peine d'aller chez 1 informaticien pour ce genre de soucis (tu vas dépenser des sous pour rien)

bonne journée

@+

billmaxime · Answer

re

si tu le mets sur clé usb, tu devras changer l'ordre de boot dans le bios

il faut aussi que ta clé soit "bootable"

@+

billmaxime · Answer

re

tu veux dire que ça ne démarre pas sur la clé?

@+

billmaxime · Answer

re

bizarre, tu es sur que ta clé usb est en "first boot"?

regarde ceci https://www.commentcamarche.net/informatique/windows/187-creer-une-cle-usb-bootable-de-windows-10/

@+

billmaxime · Answer

re

ok mais tu as passé roguekiller et supprimé ce qu'il a trouvé?

@+

billmaxime · Answer

re

ok redémarre le pc en mode sans échec avec prise en charge de réseau

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp

@+

billmaxime · Answer

re

tu peux démarrer sur 1 autre session que la session infectée?

@+

billmaxime · Answer

re

remet le cd que tu as gravé et repasse roguekiller et supprime ce qu'il trouve

regarde aussi dans C:\(RKReport[#].txt) si tu ne vois pas de rapport

@+

billmaxime · Answer

re

tu écris d'1 autre pc je suppose? si oui transfère le rapport sur ta clé usb

et poste le de l'autre pc

@+

Huntsman · Answer

¤¤¤ Ruches Externes: ¤¤¤ -> E:\windows\system32\config\SOFTWARE -> E:\windows\system32\config\SYSTEM -> E:\Users\Default\NTUSER.DAT -> E:\Users\Propriétaire\NTUSER.DAT -> E:\Users\UpdatusUser\NTUSER.DAT ¤¤¤ Fichier HOSTS: ¤¤¤ --> X:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] d834516294ef72d5d44166b81a64f84f [BSP] 16bbd5830ebdead05ddb25155190286c : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: +++++ --- User --- [MBR] b85696a9c10a9d8b91b57d6a9db97ce4 [BSP] b8c55907d2ad1658d348cac4f29cf092 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 114371 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_30052013_185434.txt >> RKreport[1]_S_30052013_185414.txt ; RKreport[2]_D_30052013_185434.txt

billmaxime · Answer

re

le rapport n'est pas complet

@+

billmaxime · Answer

re

si tu es toujours sur le cd, fait 1 scan rapide avec MBAM et poste le rapport

merci

@+

billmaxime · Answer

re

et quand la page est là tu n'as accès a aucun programme?

redémarre sur le cd, puis fais 1 scan avec olt et poste les rapports via ce lien http://pjjoint.malekal.com/

@+

billmaxime · Answer

re

regarde au démarrage si tu as accès a l'invite commande en mode sans échec

(roguekiller a remplacé quelques trucs)

si oui, fais ceci

http://www.octetmalin.net/windows/tutoriels/invite-de-commandes-en-mode-sans-echec-restauration-systeme.php

@+

juju666 · Answer

Salut, je prends la suite des opérations :)

* Double clique sur le raccourci OTLPE.
choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok   

à la question Do you wish to load remote user profile(s) for scanning ? => oui  

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK  

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre  

dans la case en dessous "Custom Scans/Fixes" colle ce texte :  

/md5start  
explorer.exe  
winlogon.exe  
wininit.exe  
/md5stop   
netsvcs  
safebootminimal  
safebootnetwork   
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\system32\*.ini  
%systemroot%\Tasks\*.*  
%systemroot%\system32\Tasks\*.*  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
%systemroot%\system32\config\*.exe /s  
%systemroot%\system32\*.sys   
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon   

Clic sur Analyse.
* A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt  

héberge-les un par un sur FEC Upload puis donne les deux liens obtenus  

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)   : tu utilises l'icone d'internet explorer pour aller sur internet ...

Note : si tu n'as pas de connection Internet, sauvegarde le rapport sur un périphérique USB afin de le récuper sur un autre PC par exemple ... 
 
A+

billmaxime · Answer

salut juju

merci pour ton intervention
@+

juju666 · Answer

Oui effectivement j'ai une vie derrière l'écran et une maison à entretenir 

==============

Relance OTL, sous personnalisation colle ça : 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /S
HKLM\Software\Microsoft\Command Processor /s 
%UserProfile%\documents\*

Click Analyse et envoie le nouveau rapport hébergé
 
 .::. Contributeur Sécurité .::.

billmaxime · Answer

salut a tout le monde

tout d'abord, 1 bon anniversaire a juju

ensuite, si g3n suit le topic, c'est avec grand plaisir que je vais me contenter de 

suivre la procédure qu'il va utiliser pour supprimer le virus

bonne journée

@+

g3n-h@ckm@n · Answer

bien attendons le rapport OTL :)

g3n-h@ckm@n · Answer

hello

t'as pas choisi le bon dossier windows

g3n-h@ckm@n · Answer

colle ca en bas de OTL dans la case "custom scan / fixes"

:OTL
O4 - HKU\Propriétaire_ON_E..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] d:\Documents\4b36280b.exe File not found

:reg
[HKU\Propriétaire_ON_E\Software\Microsoft\Command Processor]
"autorun"=-

puis clique sur correction 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

ok tu dois pouvoir redemarrer la machine normalement

g3n-h@ckm@n · Answer

tape shutdown

redemarre sur le cd 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

ca :

HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
msconfig 
activex 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork

g3n-h@ckm@n · Answer

t'as encore pas selectionné le bon disque,

g3n-h@ckm@n · Answer

dans le disque D:\ tu n'as pas un dossier windows ?

g3n-h@ckm@n · Answer

Ah je l'avais pas vue !!!!

colle ca en bas d'OTL et clique sur RUN FIX


:OTL
O4 - HKU\Propriétaire_ON_E..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] d:\Documents\4b36280b.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1     
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1     
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleStartMenu = 1     
O20 - HKU\Propriétaire_ON_E Winlogon: Shell - (cmd.exe) - cmd.exe (Microsoft Corporation) 
MsConfig:64bit - StartUpReg: [b]Sweetpacks Communicator[/b] - hkey= - key= - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found

g3n-h@ckm@n · Answer

tu dois tu planter quelque part c'est pas possible....
va dans le menu demarrer, dans le dossier "system tools" et ouvre registry

g3n-h@ckm@n · Answer

ok l'editeur de registre est ouvert ?

g3n-h@ckm@n · Answer

tu as une fenetre ouverte avec comme entête "editeur de registre" ?

g3n-h@ckm@n · Answer

parfait

deplie avec les petits "+"

HKEY_USERS

vois-tu ensuite un autre dossier du nom de Propriétaire_On_E ?

g3n-h@ckm@n · Answer

ok alors on va l'avoir :)

déplie avec les petits "+"

Propriétaire_On_E
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clic gauche sur winlogon

tableau de droite , clic droit sur la valeur "Shell" => supprimer

====

ensuite :

déplie avec les petits "+"

Propriétaire_On_E
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

clic gauche sur "Run" , tableau de droite , clic droit sur qcgce2mrvjq91kk1e7pnbb19m52fx => supprimer

g3n-h@ckm@n · Answer

tu as bien suppripmé les deux valeurs ?

si oui , redemarre la machine normalement sans le cd
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

ok maintenant on l'achève, il y a certainement une infection zeroaccess avec

==

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

relance-le, clique sur diag, heberge le rapport pre_diag et donne le lien

g3n-h@ckm@n · Answer

llaisse tomber

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
msconfig 
activex 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
safari.exe
opera.exe
rundll32.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0: C:\Program Files (x86)\Battlelog Web Plugins\1.138.0
pesnlaunch.dll File not found
CHR - default_search_provider: Search the web (Babylon) (Enabled) 
CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_nocpc_3912_8&babsrc=SP_ss&mntrId=101a252d000000000000902b3436be76 
O4 - HKU\S-1-5-21-1868945222-559050942-2506315631-1000\..\Run: [RGSC] D:\GTA\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found
O4 - Startup: C:\Users\Propriétaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk 
O16 - DPF: {BAD4FE2C-503B-45CC-88CD-4B0574057D11} http://clients.futuremark.com/calico/systeminfodeploy/FMSI_v4110.cab (Reg Error: Key error.)
O33 - MountPoints2\{3845588f-01a0-11e2-94db-902b3436be76}\Shell - "" = AutoRun 
O33 - MountPoints2\{c26f82d4-fbf6-11e1-8533-806e6f6e6963}\Shell - "" = AutoRun 
MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Continuous Silence.lnk - C:\Windows\Installer\{D632DEC1-5BF8-45B5-94FF-E55ABAFB7B1C}\_82D8F8E0C76F06D234F0C6.exe - () 
[6 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] 
[2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ] 

:Reg
[-HKEY_CURRENT_USER\Software\InstallCore]     
[-HKEY_CURRENT_USER\Software\SweetIM] 
[-HKEY_LOCAL_MACHINE\Software\SweetIM] 

:Files
d:\Documents\4b36280b.exe 
C:\ProgramData\2433f433 
C:\Users\Propriétaire\AppData\Local\2433f433 
C:\Users\Propriétaire\AppData\Roaming\2433f433 
C:\Users\Propriétaire\AppData\Roaming\AF67F18C 


:commands
[emptytemp]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

g3n-h@ckm@n · Answer

non laisse comme ca , je te l'aurais dit sinon

g3n-h@ckm@n · Answer

bien un scan generaliste voir s'il reste pas des trucs qui n'apparaitraient pas au rapport, et ensuite on plie avec un bon menage  , on aura fini

=======================

 fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

ok le ménage :D

 https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

g3n-h@ckm@n · Answer

magnifique :D

Huntsman2942 · Answer

Je finirai ce soir, en tout cas, merci à toi et aux autres qui m'ont aidé efficacement et avec gentillesse. 

Ah au fait, il est guéri de ses maladie mon pc maintenant ?

Huntsman2942 · Answer

Alors voilà je clos la le sujet, merci encore à tous.  A bientôt certainement, au vu de l'augmentation incessante des ces sales bébètes sur le net.

A bientôt. Et tout de bon à vous.

Polizei Cybercriminalite .... - Page 2

Newsletters