Se connecter / S'enregistrer
Votre question
Fermé

Virus Gendarmerie / Police bloquant l'ordi - "Résolu"

Tags :
  • Virus
  • police nationale
  • ukash
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Août 2012 17:44:55

Bonjour,
je me suis connecté depuis un autre ordinateur car sur mon principal j'ai reçu un message de soit disant la gendarmerie/Police me demandant de payer 100€.
J'ai vu ça et là que c'était un virus...
Je ne peux plus me connecter sur mon ordi et aimerais que vous m'aidiez :) 
J'ai vu différents postes sur ce sujet mais je préfère qu'on fasse tout depuis le début ensemble.
Je précise que je suis un novice en informatique ^^.

Merci d'avance.

Autres pages sur : virus gendarmerie police bloquant ordi resolu

27 Août 2012 21:52:08

Merci :) 
Oui ça marche.
(je me suis connecté en mode sans échec et non en mode sans échec avec prise du réseau)
Contenus similaires
a c 548 8 Sécurité
27 Août 2012 21:56:08

Re,

OK, marche à suivre alors :

Note : Si tu peux te connecter en mode sans échec avec prise en charge réseau, suis la procédure directement, sinon, télécharge l'outil sur un pc connecté et transfère-le sur le pc bloqué via clé usb. Je te conseille aussi de sauvegarder le script d'analyse sur un fichier texte à transférer dans ce cas, pour plus de facilité. Tu feras inversement pour les rapports obtenu


Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 548 8 Sécurité
    28 Août 2012 10:46:19

    Re,

    à suivre :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL

    O4 - HKU\S-1-5-21-975366623-2742726140-3362706462-1000..\Run: [Update] C:\Users\Jerem\AppData\Roaming\hos32.exe (LC-Power)
    SRV - [2012/07/08 14:22:32 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)
    @Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:322D2CD3

    :Files
    C:\Program Files (x86)\Common Files\BOONTY Shared

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    à partir de là tu devrais pouvoir redémarrer normalement, dis-moi si c'est le cas ou non.

    Si c'est bon, fais ceci :

    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    a c 548 8 Sécurité
    28 Août 2012 19:56:52

    Re,

    Tant mieux.

    As-tu encore des symptômes/problèmes sur ce pc ?

    Si c'est bon, on passe au nettoyage :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.



    2) Mise à jour de logiciel :

    - Java vers la version 7 update 6 (pense à supprimer les anciennes version dans ajout/suppression des programmes si encore présente )


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    28 Août 2012 19:59:21

    Non, le seul "symptôme" que j'ai est qu'un logiciel utilisant Java n'a plus son icône.
    Mais je suppose que ce doit être normal car j'ai pu lire que ce virus était souvent lié à Java..
    J'attends ton feu vert pour faire ce que tu viens de me dire du coup :) 
    a c 548 8 Sécurité
    28 Août 2012 20:24:05

    Re,

    On va mettre à jour java donc tu me diras après.

    Oui l'origine de cette infection chez toi est probablement lié à un exploit java vu que c'était le seul non à jour sur le pc.
    28 Août 2012 20:54:00

    J'ai purgé avec OTL.
    J'ai désinstallé et réinstallé la dernière version de Java.

    En revanche, le logiciel utilisant Java n'a pas retrouvé son bon icône. J'ai essayé de le lancer. Une fenêtre de Java 7 s'ouvre, se ferme puis une autre s'ouvre avec écrit : "Impossible de lancer l'application"
    J'essaie de désinstaller et réinstaller ce logiciel ??

    En tout cas merci :) 
    a c 548 8 Sécurité
    28 Août 2012 21:32:38

    Re,

    Oui testes de le réinstaller pour voir.
    28 Août 2012 21:45:31

    Oui en fait il avait été désinstallé (par OTL peut-être) mais il apparaissait encore dans la liste des programmes...
    Je l'ai remis et c'est bon :) 

    Merci pour tout :) 

    P.S : vu le nombres de post sur ce thème, ce virus a l'air pas mal actif en ce moment ^^.
    a c 548 8 Sécurité
    28 Août 2012 22:13:33

    Re,

    Mis à part la clé de démarrage de l'infection et un service lié à des adwares (boonty), je n'ai rien touché normalement.
    C'était ce "boonty" que tu utilises ?

    Citation :
    P.S : vu le nombres de post sur ce thème, ce virus a l'air pas mal actif en ce moment ^^.


    Oui, c'est dû aux malwertising, des publicités infecté sur des sites qui lancent l'exploit si un programme comme java, adobe reader, ou flash player par exemple ne sont pas à jour.

    :jap: 
    28 Août 2012 23:08:31

    Je ne sais pas ce que c'est "boonty" lol ^^
    a c 548 8 Sécurité
    29 Août 2012 09:59:13

    Re,

    Alors ce n'est pas mon action en soit qui avait touché ton logiciel.
    Enfin, le tout est que le pc fonctionne normalement à présent.

    :jap: 
    a c 548 8 Sécurité
    14 Octobre 2012 14:54:09

    Bonjour,

    Effectivement, si vous souhaitez une prise en charge, merci de créer votre propre sujet !

    je ferme ici.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS