Se connecter / S'enregistrer
Votre question

Virus police nationale, désinfection

Tags :
  • Virus
  • police nationale
  • ukash
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Août 2012 16:52:20

bonjour,
mon ordinateur s'est fait infecter récemment par ce qui semble être la variante belge du virus "gendarmerie nationale"
lorsque j'allume l'ordi, quelque seconde après qu'il soit opérationnel, apparaît un message empêchant toute utilisation de l'ordinateur, m'invitant à payer 100 euro pour "oublier" l'utilisation frauduleuse d'internet dont je serais accusé.

si je coupe la connexion internet au moment ou l'ordi se met en route , rien ne se passe , le virus semble ne pas faire effet et je semble pouvoir utiliser mon ordi sans restriction.

après être tombé sur ce post : http://www.infos-du-net.com/forum/id-2094010/resolu-vir... ,

il semble qu'il soit préférable de m'en remettre à vos conseil avisés avant de tenter quoi que ce soit
pouriez vous me guider à travers la procédure de désinfection?

(note : j'ai par réflexe lancé un scan rapide avec avast et le scan "windows" qui n'ont rien trouvés
et je m'interrogeait sur l'utilité du mode sans echec par rapport au démarrage standard mais sans connexion internet, dans la suite de la procédure)

Merci par avance !

Autres pages sur : virus police nationale desinfection

a c 940 8 Sécurité
20 Août 2012 18:02:56

Bonjour,

Tente le Mode sans échec avec prise en charge du réseau

Si tu n'y es pas bloqué, applique ce qui suit :

OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    netsvcs
    msconfig
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Aide en images : Héberger son rapport d'analyse
    Les rapports sont sauvegardés sur le Bureau.


  • ----------------------------------------------------------------------------------------------

    Sinon, démarre en mode sans échec pour faire le scan en ayant au préalable téléchargé OTL depuis un autre ordinateur et transféré sur le Bureau via une clé USB.

    @+

    @+
    Contenus similaires
    a c 940 8 Sécurité
    21 Août 2012 19:23:50

    Bonjour,

    Ton système n'est pas à jour au niveau de Java, Flash Player et Reader. Le ransomware a exploité ces failles de sécurité pour s'installer.
    Nous nous en occuperons par la suite.

    Ta partition C: est saturée, moins de 3% d'espace libre, ton Vista est en train d'étouffer.
    Il faudra rapidement faire de la place en désinstallant des applications que tu n'utilises plus et en transférant des données personnelles sur un autre support.

    Toujours en mode sans échec :

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
      :OTL
      IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2102473
      IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
      IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
      IE - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\URLSearchHook: {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      IE - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=prcJnlE9QX1dh7bcArITNHYU-k8?q={searchTerms}
      IE - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
      IE - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2102473
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
      FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
      [2012/08/02 17:41:18 | 000,000,000 | ---D | M] (PHPNukeFR Community Toolbar) -- C:\Users\Clément\AppData\Roaming\mozilla\Firefox\Profiles\mivx5xma.default\extensions\{1c491116-c175-45e1-a570-6fb14fea8b7b}
      [2011/04/25 22:13:12 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Clément\AppData\Roaming\mozilla\Firefox\Profiles\mivx5xma.default\extensions\engine@conduit.com
      O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
      O2 - BHO: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
      O2 - BHO: (no name) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - No CLSID value found.
      O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found.
      O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
      O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
      O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
      O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
      O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
      O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
      O3 - HKLM\..\Toolbar: (Yahoo! Barre d'outils) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
      O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      O3 - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP1.dll (Conduit Ltd.)
      O3 - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
      O3 - HKU\S-1-5-21-2547408608-3617272148-3120898-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
      O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
      O4 - HKU\S-1-5-21-2547408608-3617272148-3120898-1000..\Run: [cacaoweb] C:\Users\Clément\AppData\Roaming\cacaoweb\cacaoweb.exe ()
      O4 - HKU\S-1-5-21-2547408608-3617272148-3120898-1000..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
      [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
      [2012/08/03 17:11:56 | 000,001,730 | ---- | C] () -- C:\Users\Clément\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
      [2012/08/03 17:11:52 | 004,503,728 | ---- | C] () -- C:\ProgramData\ras_0oed.pad
      [2009/11/12 19:54:27 | 000,000,000 | ---D | M] -- C:\Users\Clément\AppData\Roaming\Uniblue
      [2011/02/08 01:47:14 | 000,000,000 | ---D | M] -- C:\Users\Clément\AppData\Roaming\cacaoweb
      @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:C95B63DA
      @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:8173A019
      @Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:4F636E25
      @Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:4CF61E54

      :files
      ipconfig /flushdns /c

      :Commands
      [EMPTYTEMP]
      [RESETHOSTS]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Est-ce que Windows démarre ensuite en mode normal ?

    Si oui, désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

    • Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
    • Ask Toolbar
    • DAEMON Tools Toolbar
    • Software Informer 1.0 BETA
    • Yahoo! Barre d'outils

  • ---------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
    • Clique sur Terminer
    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
    • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen
    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse


  • ----------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • mbam-log[date-heure].txt


  • @+
    4 Septembre 2012 00:18:43


    voici la suite :

    le rapport mbam -> http://pjjoint.malekal.com/files.php?id=20120903_s15i14...
    le rapport otl -> http://pjjoint.malekal.com/files.php?id=20120904_r15h7t...

    par contre 1) n'ayant pas trouvé "software informer 1.0" dans un premier temps, je n'ai finis par le désinstaller qu'après avoir effectué le scan mbam
    ceci dit je peux bien sur en refaire un maintenant si nécessaire.
    2) une erreur intervient empêchant la désinstallation de "yahoo barre d'outil"

    ps : je suis absolument désolé pour mon délai de réponse !
    a c 940 8 Sécurité
    4 Septembre 2012 10:23:22

    Bonjour,

    Tu étais en vacances ? :) 

    Pour le rapport Malwarebytes, tu as bien supprimer la sélection comme c'était indiqué, car il y a noté dans ton rapport "Aucune action effectuée".
    Si les éléments détectés n'ont pas été supprimés, il te faut en effet recommencer l'analyse avec Malwarebytes (en ayant pris soin de mettre à jour dans l'onglet Mise à jour -> Rechercher des mises à jour) et poster le nouveau rapport.

    ---------------------------------------------------------------------------------------------

    Comment se comporte le système ?

    ---------------------------------------------------------------------------------------------

    AdwCleaner - Suppression :

    • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
      Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt


  • Tutoriel d'utilisation AdwCleaner en images

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport AdwCleaner(S).txt

    @+
    a c 940 8 Sécurité
    11 Septembre 2012 10:16:16

    Bonjour,

    OK pour les rapports.

    Nous allons maintenant mettre à jour au niveau des extensions sensibles, qui étaient à l'origine de ton infection.

    ---------------------------------------------------------------------------------------------

    Désinstalle Java(TM) 6 Update 24 via Panneau de configuration -> Programmes et fonctionnalités.

    Installe la dernière version Java 7 Update 7
    http://www.java.com/fr/download/

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SX Check&Update.

    Nous pourrons ensuite finaliser la procédure.

    @+
    a c 940 8 Sécurité
    1 Octobre 2012 17:02:03

    Bonjour,

    Toujours avec nous ?

    Si tu ne mets pas à jour ton système, ton infection va revenir et il faudra tout reprendre depuis le début.
    Ce type d'infection étant en pleine évolution, tu risques d'avoir moins de chance la 2ème fois, avec des dysfonctionnements sur le système et perte de données.

    @+
    a c 940 8 Sécurité
    15 Octobre 2012 08:51:13

    Bonjour,

    @ Ms-sunshine : merci d'ouvrir ton propre sujet.

    Un seul problème par internaute et par sujet pour une bonne compréhension du fil de discussion, sinon, au bout d'un moment, on ne sait plus qui répond à qui.

    Mais si tu as posé la question sur d'autres forums, tu as peut-être été pris en charge, tu dois donc continuer sur le dit-forum.

    @+
    15 Octobre 2012 19:19:30

    Oui, je suis désolée j'étais trop stressée, mais j'ai trouvé une solution. Merci
    a c 548 8 Sécurité
    18 Octobre 2012 16:26:10

    Bonjour,

    Comme déjà dis au dessus : Un seul pc par sujet.
    Vous souhaitez une prise en charge, créer votre propre sujet !
    18 Octobre 2012 23:43:57

    hyunkel30 a dit :
    Bonjour,

    Comme déjà dis au dessus : Un seul pc par sujet.
    Vous souhaitez une prise en charge, créer votre propre sujet !


    Ah désolé. Je vai créer un autre sujet
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS