Problème ordi bloqué par police nationale
Résolu
darknico05
Messages postés
272
Date d'inscription
Statut
Membre
Dernière intervention
-
sustainreno -
sustainreno -
Bonjour,
depuis tout à l'heure j'ai un gros problème sur mon pc.
En effet, j'étais sur internet quand d'un coup une fenetre de la police nationale apparait et me bloque tout !
En me disant que je doit payer mon débloquer mon ordi car je suis suspecter de téléchargement illégal...
Je me doute bien qu'il s'agit d'un virus, mais aucune idée de comment m'en débarasser... pouvez vous m'aider svp ? Merci
J'ai essayer de passer en mode sans échec avec et sans prises en charges réseaux mais après l'entré de mon mot de passe et la validation l'ordi s'éteint...
depuis tout à l'heure j'ai un gros problème sur mon pc.
En effet, j'étais sur internet quand d'un coup une fenetre de la police nationale apparait et me bloque tout !
En me disant que je doit payer mon débloquer mon ordi car je suis suspecter de téléchargement illégal...
Je me doute bien qu'il s'agit d'un virus, mais aucune idée de comment m'en débarasser... pouvez vous m'aider svp ? Merci
J'ai essayer de passer en mode sans échec avec et sans prises en charges réseaux mais après l'entré de mon mot de passe et la validation l'ordi s'éteint...
A voir également:
- Problème ordi bloqué par police nationale
- Ordi qui rame - Guide
- Code puk bloqué - Guide
- Comment reinitialiser un ordi - Guide
- Téléphone bloqué code verrouillage - Guide
- Pavé tactile bloqué - Guide
22 réponses
Bonjour
J'ai déjà eu, mais il faut pas redémarrer, il faut plutôt faire alt. gr +ctrl +suppr (simultanément) dés la 1ere alerte.
On annule et normalement le bureau réapparait, de la on peut lancer son antivirus et ccleaner pour faire un nettoyage des cookies.
Aves un peu de chance l'av va boulotter la bébête et le redémarrage ne causera pas de soucis, a-squared, adwcleaner (à ne pas mettre entre toutes les mains), malwarebytes, antivir avira, voila quelques noms de logiciels qui peuvent s'avérer être utiles dans cette situation.
Cdt.
J'ai déjà eu, mais il faut pas redémarrer, il faut plutôt faire alt. gr +ctrl +suppr (simultanément) dés la 1ere alerte.
On annule et normalement le bureau réapparait, de la on peut lancer son antivirus et ccleaner pour faire un nettoyage des cookies.
Aves un peu de chance l'av va boulotter la bébête et le redémarrage ne causera pas de soucis, a-squared, adwcleaner (à ne pas mettre entre toutes les mains), malwarebytes, antivir avira, voila quelques noms de logiciels qui peuvent s'avérer être utiles dans cette situation.
Cdt.
ATTENTION C'EST UN PIRATE. SURTOUT NE PAYEZ PAS.
J'ai déjà vu ça et surtout ne pas s'affoler, ce n'est pas la police ce n'est pas leur procédure (cf Hadopi).
C'est un virus. Vois pour sauvergarder ton disque dur et re formate ton système.
J'ai déjà vu ça et surtout ne pas s'affoler, ce n'est pas la police ce n'est pas leur procédure (cf Hadopi).
C'est un virus. Vois pour sauvergarder ton disque dur et re formate ton système.
Salut,
Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **
NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.
sinon :
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
Une fois sur le CD Live :
Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847
** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **
NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.
sinon :
Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
Une fois sur le CD Live :
Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Je suis pommé là, on reprend à zéro.
Donc le problème a été identifié: Flimrans.
Je commencer par faire quoi exactement ?
Donc le problème a été identifié: Flimrans.
Je commencer par faire quoi exactement ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekale_morte j'ai suivi ton tuto avec cd live, j'ai réussi à booter dessus, en lançant un scan avec roguekiller présent, il me détecte pleins de trucs, est ce que si je les supprimes m'ont problème sera règlé ?
c'est fais, alors je t'envoi le lien FRST
https://pjjoint.malekal.com/files.php?id=FRST_20130625_h5r6s13i13y6
https://pjjoint.malekal.com/files.php?id=FRST_20130625_h5r6s13i13y6
toujours depuis le CD Live :
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\nicolas\...\Command Processor: C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
S2 WajamUpdater; C:\Program Files\Wajam\Updater\WajamUpdater.exe
2013-06-24 17:00 - 2013-06-24 17:00 - 00132606 ____A C:\Users\nicolas\AppData\Roaming\2433f433
2013-06-24 17:00 - 2013-06-24 17:00 - 00132602 ____A C:\Users\nicolas\AppData\Local\2433f433
C:\Users\nicolas\AppData\Roaming\skype.ini
C:\Users\nicolas\Application Data\skype.ini
C:\ProgramData\odot23mis.dat
C:\ProgramData\sim32todo.dat
HKU\nicolas\...\Winlogon: [Shell] cmd.exe
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre sur Windows et tente d'ouvrir ta session.
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\nicolas\...\Command Processor: C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
S2 WajamUpdater; C:\Program Files\Wajam\Updater\WajamUpdater.exe
2013-06-24 17:00 - 2013-06-24 17:00 - 00132606 ____A C:\Users\nicolas\AppData\Roaming\2433f433
2013-06-24 17:00 - 2013-06-24 17:00 - 00132602 ____A C:\Users\nicolas\AppData\Local\2433f433
C:\Users\nicolas\AppData\Roaming\skype.ini
C:\Users\nicolas\Application Data\skype.ini
C:\ProgramData\odot23mis.dat
C:\ProgramData\sim32todo.dat
HKU\nicolas\...\Winlogon: [Shell] cmd.exe
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre sur Windows et tente d'ouvrir ta session.
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 25-06-2013 01
Ran by Système at 2013-06-25 09:58:07 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\nicolas\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
WajamUpdater => Service deleted successfully.
C:\Users\nicolas\AppData\Roaming\2433f433 => Moved successfully.
C:\Users\nicolas\AppData\Local\2433f433 => Moved successfully.
C:\Users\nicolas\AppData\Roaming\skype.ini => Moved successfully.
C:\Users\nicolas\Application Data\skype.ini => File/Directory not found.
C:\ProgramData\odot23mis.dat => Moved successfully.
C:\ProgramData\sim32todo.dat => Moved successfully.
HKU\nicolas\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
==== End of Fixlog ====
Ran by Système at 2013-06-25 09:58:07 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\nicolas\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
WajamUpdater => Service deleted successfully.
C:\Users\nicolas\AppData\Roaming\2433f433 => Moved successfully.
C:\Users\nicolas\AppData\Local\2433f433 => Moved successfully.
C:\Users\nicolas\AppData\Roaming\skype.ini => Moved successfully.
C:\Users\nicolas\Application Data\skype.ini => File/Directory not found.
C:\ProgramData\odot23mis.dat => Moved successfully.
C:\ProgramData\sim32todo.dat => Moved successfully.
HKU\nicolas\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
==== End of Fixlog ====
euh le problème vient de revenir... J'ai vite coupé l'ordi mais cette fois j'ai pu démarer en mode sans echec avec prise en charge réseaux, j'y suis actuellement, que dois je faire ? j'ai lancé un scan malwarebytes et il m'a detecté 3 trucs que j'ai supprimé.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
voila, il se passe vraiment des trucs étranges, j'étais en train de scan avec OTL en mode sans echec ave prise en charge réseaux et à la fin du scan en voulant enregistré le fichier l'ordi s'est éteint de lui meme.
Ensuite je le redémarre en mode normale et là plus de fenetre de la police, j'ai accès à mon ordi normalement, cependant j'ai des fichiers de certaines de mes musiques ainsi que deux fichiers desktop.ini en transparence sur mon bureau au milieu de mes autres icones...
Ils sont transparents.
Ensuite je le redémarre en mode normale et là plus de fenetre de la police, j'ai accès à mon ordi normalement, cependant j'ai des fichiers de certaines de mes musiques ainsi que deux fichiers desktop.ini en transparence sur mon bureau au milieu de mes autres icones...
Ils sont transparents.
Etonnant qu'il se soit relancé quand même :)
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: Facebook for Chrome = C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\
CHR - Extension: Twitter = C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjbgmephbaokifbddonfopchaplakmoh\1.2_0\
[2013/06/25 10:53:30 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\kwbqfyht.sys
[2012/06/22 21:17:09 | 000,000,052 | ---- | C] () -- C:\ProgramData\odxhpkrgkrumotm
[2012/07/26 10:17:12 | 000,000,000 | RHSD | M] -- C:\Users\nicolas\AppData\Roaming\System32
[2012/06/06 20:37:02 | 000,000,000 | ---D | M] -- C:\Users\nicolas\AppData\Roaming\xkpoe
[2013/06/24 17:00:53 | 000,052,736 | ---- | M] (NVIDIA Corporation) -- C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
:Commands
[emptytemp]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
Désinsalle Ad-Aware il sert à rien.
Pas efficace.
Par contre, j'ai l'impression que tu n'as pas d'antivirus ?
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: Facebook for Chrome = C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\
CHR - Extension: Twitter = C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjbgmephbaokifbddonfopchaplakmoh\1.2_0\
[2013/06/25 10:53:30 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\kwbqfyht.sys
[2012/06/22 21:17:09 | 000,000,052 | ---- | C] () -- C:\ProgramData\odxhpkrgkrumotm
[2012/07/26 10:17:12 | 000,000,000 | RHSD | M] -- C:\Users\nicolas\AppData\Roaming\System32
[2012/06/06 20:37:02 | 000,000,000 | ---D | M] -- C:\Users\nicolas\AppData\Roaming\xkpoe
[2013/06/24 17:00:53 | 000,052,736 | ---- | M] (NVIDIA Corporation) -- C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
:Commands
[emptytemp]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
Désinsalle Ad-Aware il sert à rien.
Pas efficace.
Par contre, j'ai l'impression que tu n'as pas d'antivirus ?
All processes killed
========== OTL ==========
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\views folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\js folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\img folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\css folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0 folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjbgmephbaokifbddonfopchaplakmoh\1.2_0 folder moved successfully.
File C:\Windows\System32\drivers\kwbqfyht.sys not found.
C:\ProgramData\odxhpkrgkrumotm moved successfully.
C:\Users\nicolas\AppData\Roaming\System32 folder moved successfully.
C:\Users\nicolas\AppData\Roaming\xkpoe folder moved successfully.
C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
User: NetworkService
User: nicolas
->Temp folder emptied: 2048198 bytes
->Temporary Internet Files folder emptied: 14335781 bytes
->Java cache emptied: 18443647 bytes
->FireFox cache emptied: 28446602 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 526 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20450 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 60,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 06252013_115825
Files\Folders moved on Reboot...
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O21IAYIK\search[1].htm moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N34Q4CIC\affich-28096783-probleme-ordi-bloque-par-police-nationale[1].txt moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Windows\temp\WyseRemoteAccess\WyseRemoteAccess.log moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
========== OTL ==========
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\views folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\js folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\img folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static\css folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\static folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0 folder moved successfully.
C:\Users\nicolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjbgmephbaokifbddonfopchaplakmoh\1.2_0 folder moved successfully.
File C:\Windows\System32\drivers\kwbqfyht.sys not found.
C:\ProgramData\odxhpkrgkrumotm moved successfully.
C:\Users\nicolas\AppData\Roaming\System32 folder moved successfully.
C:\Users\nicolas\AppData\Roaming\xkpoe folder moved successfully.
C:\Users\nicolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
User: NetworkService
User: nicolas
->Temp folder emptied: 2048198 bytes
->Temporary Internet Files folder emptied: 14335781 bytes
->Java cache emptied: 18443647 bytes
->FireFox cache emptied: 28446602 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 526 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20450 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 60,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 06252013_115825
Files\Folders moved on Reboot...
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O21IAYIK\search[1].htm moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N34Q4CIC\affich-28096783-probleme-ordi-bloque-par-police-nationale[1].txt moved successfully.
C:\Users\nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Windows\temp\WyseRemoteAccess\WyseRemoteAccess.log moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
bha mets avast en gratuit, c'est le moins pire : https://www.malekal.com/tutoriel-antivirus-avast/
Regarde ce que cela donne!
Regarde ce que cela donne!
bon cette fois, je pense que c'est réglé.
Désactive bien java et fais bien les mises à jour.
Fais des scans réguliers de Malwarebyte et garde Avast!.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Désactive bien java et fais bien les mises à jour.
Fais des scans réguliers de Malwarebyte et garde Avast!.
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Salut à tous,
Malekal_morte tu sembles être le seul à savoir désinfecter flimrans...
J'ai lu les nombreux posts que tu as fait sur le sujet et j'ai suvi les instructions frst:
Je joins mon rapport en espérant que tu pourras m'aider...
https://pjjoint.malekal.com/files.php?id=FRST_20130628_k14d125m8h5
Les autres actions roguekiller et malwarebyte ont été inefficaces. Je n'ai pas le réseau en mode sans échecs...
Merci d'avance.
Malekal_morte tu sembles être le seul à savoir désinfecter flimrans...
J'ai lu les nombreux posts que tu as fait sur le sujet et j'ai suvi les instructions frst:
Je joins mon rapport en espérant que tu pourras m'aider...
https://pjjoint.malekal.com/files.php?id=FRST_20130628_k14d125m8h5
Les autres actions roguekiller et malwarebyte ont été inefficaces. Je n'ai pas le réseau en mode sans échecs...
Merci d'avance.
Salut,
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\renaud\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe <===== ATTENTION!
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054305 ____A C:\Users\renaud\AppData\Roaming\2433f433
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\renaud\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe <===== ATTENTION!
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054305 ____A C:\Users\renaud\AppData\Roaming\2433f433
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Voici le contenu du fichier généré (virus toujours présent après reboot):
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 13:31:31 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\renaud\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\ renaud\Software\Microsoft\Command Processor\\AutoRun => Value not found.
C:\Users\renaud\AppData\Roaming\2433f433 => Moved successfully.
==== End of Fixlog ====
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 13:31:31 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\renaud\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\ renaud\Software\Microsoft\Command Processor\\AutoRun => Value not found.
C:\Users\renaud\AppData\Roaming\2433f433 => Moved successfully.
==== End of Fixlog ====
La clef temp est encore là.
Si ça marche pas avec FRST, on la supprimera manuellement.
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Si ça marche pas avec FRST, on la supprimera manuellement.
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Après reboot le virus et toujours présent...
Purée il est coriace celui là !
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 14:35:01 Run:2
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\renaud\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
==== End of Fixlog ====
Purée il est coriace celui là !
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 14:35:01 Run:2
Running from X:\Users\Default\Desktop
Boot Mode: Recovery
==============================================
HKU\renaud\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
==== End of Fixlog ====
il faudrait faire ce qui indiqué là avec remote regedit : https://www.malekal.com/flimrans-ransomware-office-central-de-la-lutte-contre-la-criminalite-lie-aux-technologies/
notamment virer Shell de HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Command Processor
Pareil supprimer la clef Shell de HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Windows NT\Winlogon
~~
Ensuite dans les dossiers (y a une icone Ordinateur.
Faudrait virer le contenu de :C:\Users\renaud\AppData\Local\Temp
C:\Users\renaud\AppData <= si .dll ou .exe à virer
C:\Users\renaud\mes documents <= si .dll ou .exe à virer
notamment virer Shell de HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Command Processor
Pareil supprimer la clef Shell de HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Windows NT\Winlogon
~~
Ensuite dans les dossiers (y a une icone Ordinateur.
Faudrait virer le contenu de :C:\Users\renaud\AppData\Local\Temp
C:\Users\renaud\AppData <= si .dll ou .exe à virer
C:\Users\renaud\mes documents <= si .dll ou .exe à virer
La clé shell n'était présente dans aucun des registre mentionnés dans le tuto
Il n'y avait ni dll ni exe dans les rep appdata et mes documents
J'ai viré tout Temp
Et j'ai rebooté
J'ai vu la fenêtre dos se charger et essayer de lancer le malware mais apparemment l'exe n'était plus accessible ! Héhé !
Ensuite, j'ai passé roguekiller et malwarebyte mis à jour pour purger ce qui restait...
J'ai rebooté et je n'ai même plus la fenêtre dos qui se charge.
Donc tout est nickel !!!
Merci. Vraiment tu as assuré !
Il n'y avait ni dll ni exe dans les rep appdata et mes documents
J'ai viré tout Temp
Et j'ai rebooté
J'ai vu la fenêtre dos se charger et essayer de lancer le malware mais apparemment l'exe n'était plus accessible ! Héhé !
Ensuite, j'ai passé roguekiller et malwarebyte mis à jour pour purger ce qui restait...
J'ai rebooté et je n'ai même plus la fenêtre dos qui se charge.
Donc tout est nickel !!!
Merci. Vraiment tu as assuré !
La variante Flimrans, on peux pas aller en mode sans échec, ni l'invite de commandes.
Il fait rebooter le PC.
https://www.malekal.com/flimrans-ransomware-office-central-de-la-lutte-contre-la-criminalite-lie-aux-technologies/