Virus police federal belge

Résolu/Fermé
Signaler
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013
-
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013
-
Bonjour,
j'ai eu ce virus que j'ai reçu il y'a une semaine qui bloque le pc et affichant la police fédéral belge. maintenant, le mode sans échec ne fonctionne pas, la restauration à une date ultérieure non plus. le kaspersky rescue disk ne fonctionne pas non plus avec ce virus et il refuse de réinstaller le cd Windows xp . avez-vous une solution pour cela. c'est urgent.



35 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

HKCU\...\Winlogon: [Shell] explorer.exe,C:\Documents and Settings\Administrateur\Application Data\AltShell.dat <==== ATTENTION
2013-05-27 17:36 - 2013-06-19 18:04 - 00000004 ____A C:\Documents and Settings\Administrateur\Application Data\AltShell.ini
C:\Documents and Settings\Administrateur\Application Data\AltShell.dat


Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

salut ok je l'ai fait mais j'utilise une clef usb pour transferer les fichiers et le cd malekal live se plante maintenant pour l'internet( du mal a installer les drivers) . est-ce que je peux utiliser la clef sur le portable car je ne sais pas si la clef est infecté par le virus en question ? sinon je dois aller plus tard dans un cyber café.
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

voila le rapport:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 19-06-2013
Ran by Administrateur at 2013-06-26 11:13:39 Run:1
Running from C:\Documents and Settings\Administrateur\Bureau
Boot Mode: Safe Mode (minimal)

==============================================

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon => Key deleted successfully.
C:\Documents and Settings\Administrateur\Application Data\AltShell.ini => Moved successfully.
C:\Documents and Settings\Administrateur\Application Data\AltShell.dat => Moved successfully.

==== End of Fixlog ====
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
tu as essayé de démarrer sur Windows ?
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

oui, j'ai pu le démarrer et sans soucis. je n'ai plus l'écran de la police fédéral belge. merci;
il y'a autre choses a faire ensuite?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

voici le rapport mais dans l'onglet registre il n'a rien trouvé mais plutot dans hosts et drivers je crois alors j'ai quand meme appuyer sur supprimer



RogueKiller V8.6.1 [Jun 25 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 06/27/2013 12:09:54
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Mal.Hosts ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 download-winmx-free.com --> Potentially malicious!
127.0.0.1 www.download-winmx-free.com --> Potentially malicious!
127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious!
127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious!
127.0.0.1 free-winmx-downloads.com --> Potentially malicious!
127.0.0.1 www.google.dospop.com --> Potentially malicious!
127.0.0.1 mp3winmx.com --> Potentially malicious!
127.0.0.1 www.mp3winmx.com --> Potentially malicious!
127.0.0.1 winmx.click-new-download.com --> Potentially malicious!
127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious!
127.0.0.1 winmx-d0wnload.com --> Potentially malicious!
127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious!
127.0.0.1 winmxfrance.com --> Potentially malicious!
127.0.0.1 www.winmxfrance.com --> Potentially malicious!
127.0.0.1 winmx-freebie.com --> Potentially malicious!
127.0.0.1 www.winmx-freebie.com --> Potentially malicious!
127.0.0.1 winmx-music-download.com --> Potentially malicious!
127.0.0.1 www.winmx-music-download.com --> Potentially malicious!
127.0.0.1 www.winmx-usa.com --> Potentially malicious!
127.0.0.1 winmx-usa.com --> Potentially malicious!

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++
--- User ---
[MBR] f88c8db135fb9133614837fb90c10916
[BSP] 33e4c1721bccd6f632009c62d9c186b4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 78152 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_06272013_120954.txt >>
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
c'est bon :)



Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

merci
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

salut de vous embêter encore maisj'ai fais la mise jour de adobe reader, adobe flash player. j'ai désactivé java de chaque navigateur. après un moment je fais meme une mise a jour de windows xp . je redémarre mon pc. je decouvre que quand je deplace la souris, le mouvement est saccadé c'est à dire, il s'arrete et continue son deplacemment. je regarde une video sur youtube, le streaming est saccadé aussi. elle s'arrete puis continue. meme chose pour les videos sur le disque dure. quand je tape un mot par moment il prend un petit de temps de retard mais c'est rapide. vous avez une solution pour cela? merci. (j'ai posté ce message plus tot dans la partie windows xp mais personne ne repond donc je pose ma question ici)
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
Vérifie que l'ultra DMA est activé https://forum.malekal.com/viewtopic.php?t=798&start=
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

j'ai verifié il etait activé
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

salut malekal, une petite question: après avoir effacé de mon pc ce virus, est il possible que mon pc soit encore sous surveillance car par deux fois j'ai vu la fenêtre "état de connexion réseaux sans fil " affiché sans que je fasse quelque chose. et j'ai une connexion avec un disque dure multimédia. et apres la désinfection que j'ai fait et avoir consulter mes mails, sa fenêtre était ouverte. merci de répondre.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
Je vois pas trop le rapport avec des virus :)
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

y'aurait il pas quelques programmes malveillants qui sont encore en action?
et c'est bizarre que les Streaming vidéos n'est plus saccadé, même chose pour la souris.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
Je ne pense pas, à mon avis, tu psychotes.
Tu peux toujours faire un scan OTL, si tu veux.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 382
rien d'anormal.

Menu Démarrer / msconfig et OK.
Onglet Démarrage.
décoche CleanTemp
OK partout.
Messages postés
25
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
22 octobre 2013

ok