Problème ordi bloqué par police nationale Résolu/Fermé

Question

Bonjour, 
depuis tout à l'heure j'ai un gros problème sur mon pc.

En effet, j'étais sur internet quand d'un coup une fenetre de la police nationale apparait et me bloque tout !

En me disant que je doit payer mon débloquer mon ordi car je suis suspecter de téléchargement illégal...

Je me doute bien qu'il s'agit d'un virus, mais aucune idée de comment m'en débarasser... pouvez vous m'aider svp ? Merci

J'ai essayer de passer en mode sans échec avec et sans prises en charges réseaux mais après l'entré de mon mot de passe et la validation l'ordi s'éteint...

Robin des boitiers · Accepted Answer

Bonjour

J'ai déjà eu, mais il faut pas redémarrer, il faut plutôt faire alt. gr +ctrl +suppr (simultanément) dés la 1ere alerte.

On annule et normalement le bureau réapparait, de la on peut lancer son antivirus et ccleaner pour faire un nettoyage des cookies.

Aves un peu de chance l'av va boulotter la bébête et le redémarrage ne causera pas de soucis, a-squared, adwcleaner (à ne pas mettre entre toutes les mains), malwarebytes, antivir avira, voila quelques noms  de logiciels qui peuvent s'avérer être utiles dans cette situation.

Cdt.

Malekal_morte- · Answer

Salut,


Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur". 
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847 

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE ** 

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente. 
 

sinon :


Suis la procédure indiqué sur la page :  
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.  
- Mettre le CD / Clef USB sur le PC infecté  
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.  

Une fois sur le CD Live :
Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Utilisateur anonyme · Answer

ATTENTION C'EST UN PIRATE. SURTOUT NE PAYEZ PAS.

J'ai déjà vu ça et surtout ne pas s'affoler, ce n'est pas la police ce n'est pas leur procédure (cf Hadopi).

C'est un virus. Vois pour sauvergarder ton disque dur et re formate ton système.

darknico05 · Answer

Je suis pommé là, on reprend à zéro. 
Donc le problème a été identifié: Flimrans.

Je commencer par faire quoi exactement ?

juju666 · Answer

Salut fait ça : https://www.malekal.com/windows-vistaseven-roguekiller-en-invite-de-commandes-en-mode-sans-echec/

darknico05 · Answer

Malekale_morte j'ai suivi ton tuto avec cd live, j'ai réussi à booter dessus, en lançant un scan avec roguekiller présent, il me détecte pleins de trucs, est ce que si je les supprimes m'ont problème sera règlé ?

gastrovomique · Answer

STOP attend je ne sais pas si tu peux y aller mais essaie d'aller dans les processus avec soit un clique droit sur la barre des tache Windows puis dans gestionnaire des taches et ensuite aller dans processus et chercher un truc suspect ou avec ctrl + alt + delete et aller dans gestionnaire des taches...
j'espère t'avoir t'aider ou sinon bonne chance pour la suite!!!

Malekal_morte- · Answer

toujours depuis le CD Live :

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. 
Copie/colle dedans ce qui suit : 

HKU
icolas\...\Command Processor: C:\Users
icolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
S2 WajamUpdater; C:\Program Files\Wajam\Updater\WajamUpdater.exe
2013-06-24 17:00 - 2013-06-24 17:00 - 00132606 ____A C:\Users
icolas\AppData\Roaming\2433f433 
2013-06-24 17:00 - 2013-06-24 17:00 - 00132602 ____A C:\Users
icolas\AppData\Local\2433f433
C:\Users
icolas\AppData\Roaming\skype.ini 
C:\Users
icolas\Application Data\skype.ini 
C:\ProgramData\odot23mis.dat 
C:\ProgramData\sim32todo.dat
HKU
icolas\...\Winlogon: [Shell] cmd.exe


Menu Fichier / Enregistrer-sous 
Place toi sur le bureau. 
Dans le champs en bas, nom du fichier mets : fixlist.txt 
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. 

Relance FRST et clic sur le bouton fixlist.txt 
Selon comment un redémarrage est nécessaire (pas obligatoire). 
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.



Redémarre sur Windows et tente d'ouvrir ta session.

darknico05 · Answer

euh le problème vient de revenir... J'ai vite coupé l'ordi mais cette fois j'ai pu démarer en mode sans echec avec prise en charge réseaux, j'y suis actuellement, que dois je faire ? j'ai lancé un scan malwarebytes et il m'a detecté 3 trucs que j'ai supprimé.

Malekal_morte- · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Malekal_morte- · Answer

Etonnant qu'il se soit relancé quand même :)

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 CHR - Extension: Facebook for Chrome = C:\Users
icolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp\6.2.8_0\
CHR - Extension: Twitter = C:\Users
icolas\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjbgmephbaokifbddonfopchaplakmoh\1.2_0\
[2013/06/25 10:53:30 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\kwbqfyht.sys
[2012/06/22 21:17:09 | 000,000,052 | ---- | C] () -- C:\ProgramData\odxhpkrgkrumotm
[2012/07/26 10:17:12 | 000,000,000 | RHSD | M] -- C:\Users
icolas\AppData\Roaming\System32 
[2012/06/06 20:37:02 | 000,000,000 | ---D | M] -- C:\Users
icolas\AppData\Roaming\xkpoe
[2013/06/24 17:00:53 | 000,052,736 | ---- | M] (NVIDIA Corporation) -- C:\Users
icolas\AppData\Local\Temp\xsjotrougyvtsxvqd.exe
:Commands
[emptytemp] 
[reboot] 

* redemarre le pc sous windows et poste le rapport ici 


Désinsalle Ad-Aware il sert à rien.
Pas efficace.
Par contre, j'ai l'impression que tu n'as pas d'antivirus ?

Malekal_morte- · Answer

bon cette fois, je pense que c'est réglé.

Désactive bien java et fais bien les mises à jour.
Fais des scans réguliers de Malwarebyte et garde Avast!.


Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Malekal_morte- · Answer

Salut,


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. 
Copie/colle dedans ce qui suit : 

HKU\renaud\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe <===== ATTENTION!
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433 
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433 
2013-06-27 15:47 - 2013-06-27 15:47 - 01054305 ____A C:\Users\renaud\AppData\Roaming\2433f433

Menu Fichier / Enregistrer-sous 
Place toi sur le bureau. 
Dans le champs en bas, nom du fichier mets : fixlist.txt 
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. 

Relance FRST et clic sur le bouton fixlist.txt 
Selon comment un redémarrage est nécessaire (pas obligatoire). 
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

sustainreno · Answer

Voici le contenu du fichier généré (virus toujours présent après reboot):

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 13:31:31 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery

==============================================

HKUenaud\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell => Value deleted successfully.
HKU\ renaud\Software\Microsoft\Command Processor\AutoRun => Value not found.
C:\Usersenaud\AppData\Roaming\2433f433 => Moved successfully.

==== End of Fixlog ====

sustainreno · Answer

Toujours pareil...

Malekal_morte- · Answer

Refais un scan FRST et donne le rapport.

sustainreno · Answer

https://pjjoint.malekal.com/files.php?id=FRST_20130628_u12j15b12m8h11

Malekal_morte- · Answer

La clef temp est encore là.
Si ça marche pas avec FRST, on la supprimera manuellement.


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. 
Copie/colle dedans ce qui suit : 

HKU\renaud\...\Command Processor: C:\Users\renaud\AppData\Local\Temp\meqmofeupotxhttiw.exe
2013-06-27 15:47 - 2013-06-27 15:47 - 01054328 ____A C:\Users\renaud\AppData\Local\2433f433 
2013-06-27 15:47 - 2013-06-27 15:47 - 01054322 ____A C:\ProgramData\2433f433

Menu Fichier / Enregistrer-sous 
Place toi sur le bureau. 
Dans le champs en bas, nom du fichier mets : fixlist.txt 
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. 

Relance FRST et clic sur le bouton fixlist.txt 
Selon comment un redémarrage est nécessaire (pas obligatoire). 
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

sustainreno · Answer

Après reboot le virus et toujours présent...
Purée il est coriace celui là !

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-06-2013
Ran by Système at 2013-06-28 14:35:01 Run:2
Running from X:\Users\Default\Desktop
Boot Mode: Recovery

==============================================

HKUenaud\Software\Microsoft\Command Processor\AutoRun => Value deleted successfully.

==== End of Fixlog ====

Malekal_morte- · Answer

il faudrait faire ce qui indiqué là avec remote regedit : https://www.malekal.com/flimrans-ransomware-office-central-de-la-lutte-contre-la-criminalite-lie-aux-technologies/

notamment virer Shell de HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Command Processor 
 
Pareil supprimer la clef Shell de  HKEY_USERS\SESSIONINFECTEE_ON_C\SOFTWARE\Microsoft\Windows NT\Winlogon

~~
Ensuite dans les dossiers (y a une icone Ordinateur.

Faudrait virer le contenu de :C:\Users\renaud\AppData\Local\Temp
C:\Users\renaud\AppData <= si .dll ou .exe à virer
C:\Users\renaud\mes documents <= si .dll ou .exe à virer

sustainreno · Answer

La clé shell n'était présente dans aucun des registre mentionnés dans le tuto

Il n'y avait ni dll ni exe dans les rep appdata et mes documents
J'ai viré tout Temp

Et j'ai rebooté

J'ai vu la fenêtre dos se charger et essayer de lancer le malware mais apparemment l'exe n'était plus accessible !  Héhé !

Ensuite, j'ai passé roguekiller et malwarebyte mis à jour pour purger ce qui restait...

J'ai rebooté et je n'ai même plus la fenêtre dos qui se charge.

Donc tout est nickel !!!

Merci. Vraiment tu as assuré !

sustainreno · Answer

J'utilise depuis une heure maintenant, j'ai fait deux trois reboot pour vérifier que tout est ok.

Si le problème revient je ne manquerai pas d'en faire part sur le forum.

Problème ordi bloqué par police nationale

22 réponses

Discussions similaires