Sujet Précédent Sujet Suivant

Virus sacem police nationale xp bloqué

Fermé
mobydick 57 - 25 avril 2012 à 20:37
 kerjaco - 27 juin 2012 à 15:14
Bonjour,
Je suis bloqué depuis ce matin avec ce virus, débutant des débutants je ne comprends pas les manip à faire; je suis juste parvenu à afficher à afficher le menu des options avancées de XP, que faire après?
Je me connecte par un autre PC.
Merci de votre aide


A voir également:

25 réponses

  • 1
  • 2
Réponse 1 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 25/04/2012 à 21:02
Salut,

Tu peux tenter mode sans échec avec prise en charge du réseau mais ça ne devrait pas fonctionner.

Si c'est le cas, Pas d'autres solutions que ça :

Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan.
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
3
mobydick 57
26 avril 2012 à 17:38
OPLTE chargé sur USB, mais lorsque connecté sur PC pollué, message Missing operating system et plus aucune touche ne fonctionne; quelle manip à faire?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
26 avril 2012 à 17:46
ça marche le mode sans échec ?

La clef USB sur un autre PC, ça donne la même chose ?
Si c'est le cas, refais la.
0
Neorpheus
9 mai 2012 à 16:12
Et ça fait quoi de mettre le rapport sur un forum comme ici? Ça change quoi? Ça répare le problème???
0
Durell
17 mai 2012 à 23:19
ça marche pas votre truc, y'a donc personne capable de donner une VRAIe solution
0
Leidet
Modifié par Leidet le 12/06/2012 à 03:55 
http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/
moi j'ai le virus en ce moment sur ce PC j'ai acces a internet grace a Bit-defender mon anti-virus grace a un mode style Window mais Bit-defender je suis en train de faire un scan mais le lien au dessus a d'autre solution !


commentaire d'une autre personne ( a tester )

Bonjour, j'ai eut le même problème ce matin avec mon Pc. Il était complètement bloqué même avec plusieurs démarrage.
En fait la solution est super simple.
Vous allumez le Pc, vous attendez qui redemmarre tous seul sans choisir de mode.
Ensuite j'ai la page de windows 7 qui s'affiche et je doit rentrer mon mot de passe pour ouvrir ma session. Je ne le fait pas.
Il faut cliquer sur le bouton rouge pour éteindre le pc sur la page et demander un redémarrage.
Et là Miracle.
J'ai retrouvé l'usge de mon ordi.
Dites moi si mon message vous a aidé.
0
Réponse 2 / 25
colosse
26 avril 2012 à 17:44
bonjour

normalement avec virus police sacem amande à 50 euros donc dernière version de ce virus

tu dois pouvoir démarrer ton ordinateur en mode sans echec avec invite de commande


tu devrais ainsi avoir un écran noir ensuite tu tape misconfig et une petite fenète va apparaitre tu vas dans outils et tu fais une restauration système (celle qui est proposé)


ensuite tu éteinds le pc et tu rallume en mode normal et ton virus aura disparu


fais nous savoir siu ça marche

amicalement

jean-pierre
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
26 avril 2012 à 17:45
msconfig et pas misconfig.
0
mobydick 57
27 avril 2012 à 10:45
Bonjour,
merci de votre implication sur mon souci.
Oui, j'accède au mode sans echec avec invite de commande; mais après pas possible de taper quoique ce soit, d'ailleurs il semble que le clavier soit neutralisé (déconnecté du PC?...); aussi je ne parviens à aucune des procédures proposées, ou je me débrouille comme un "manche"! (ça c'est possible aussi).
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
27 avril 2012 à 10:47
Si le clavier est en USB, ça peux qu'il ne fonctionne pas en mode sans échec.
Faudrait un adaptateur ou un clavier PS/2 (prise ronde).
0
otakugirl
3 mai 2012 à 18:51
Merci ca a marche avec moi !
0
Speudo
26 juin 2012 à 18:22
Bonjour , misconfig ne donne rien il ne reconnaît pas ! Some help ?
0
Réponse 3 / 25
DjéLartist Messages postés 337 Date d'inscription vendredi 13 avril 2012 Statut Membre Dernière intervention 8 août 2017 73
26 avril 2012 à 17:54
Bonjour

lit cette page:

https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque
0
Réponse 4 / 25
mobydick 57
27 avril 2012 à 11:00
Clavier branché par prise ronde.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
mobydick 57
2 mai 2012 à 11:46
ci joint rapport OPTLE: http://pjjoint.malekal.com/files.php?id=20120502_k14m13v7q10t8
0
Réponse 6 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 12:06
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - [2011/04/13 12:01:02 | 000,022,528 | RHS- | M] (Microsoft) [Auto] -- C:\Program Files\Microsoft\sysNM.exe -- (WinSysINM)
IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gorecherche.com/
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\HP_Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bestrecherche.com
O4 - HKLM..\Run: [QJa8hs7QNbxt4uL] C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
O4 - HKU\.DEFAULT..\Run: [4Y3Y0C3AXF7W1HWEOQUO] C:\Recycle.Bin\B6232F3AAA5.exe ()
O4 - HKU\.DEFAULT..\Run: [QJa8hs7QNbxt4uL] File not found
O4 - HKU\HP_Administrateur_ON_C..\Run: [QJa8hs7QNbxt4uL] C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrateur_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\HP_Administrateur_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95 00 00 00 [binary data]
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\HP_Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngr.dll (MusicLab, LLC)
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
O20 - HKU\.DEFAULT Winlogon: Shell - (\ram_reserver64.exe) - File not found
O20 - HKU\.DEFAULT Winlogon: UserInit - (\ram_reserver64.exe) - File not found
O20 - HKU\HP_Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
O20 - HKU\HP_Administrateur_ON_C Winlogon: UserInit - (C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe) - C:\Documents and Settings\HP_Administrateur\Application Data\ram_reserver64.exe ()
ActiveX: {tlMe4VA9-8LXI-r4nq-LmM7-2PRL0gJFErMy} -
2012/04/12 07:32:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\2C197
[2012/04/10 22:40:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\529C53483DAF1257630C9114D151FC4E
[2012/04/10 05:10:28 | 000,000,000 | ---D | C] -- C:\Program Files\YesMessenger(2)
[2012/04/10 05:08:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\yesmessenger
:files
C:\WINDOWS\Tasks\At*.job
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"Shell"="explorer.exe"

* redemarre le pc sous windows et poste le rapport ici

~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


~~

Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.


puis :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

puis :

Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.
0
mobydick 57
2 mai 2012 à 12:29
Merci d'avoir répondu si vite
0
Réponse 7 / 25
mobydick 57
2 mai 2012 à 14:23
voici le nouveau rapport d' OTL http://pjjoint.malekal.com/files.php?id=20120502_c6s8z6t13e6
0
Réponse 8 / 25
mobydick 57
Modifié par mobydick 57 le 2/05/2012 à 15:01
est ce que tu pense que roguekiller, tdsskiller et malwarebytes feraient l'affaire?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 14:59
Tu as accès à Windows ?
Si oui, faire la suite...
0
mobydick 57
2 mai 2012 à 15:05
Oui j'ai à nouveau accès à windows et je viens de passer roguekiller 1x scan, 1x suppression, 1x scan pour vérif et plus rien du moins pour roguekiller reste a passer tous les autres pour être sûr
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 15:07
Fais la suite de la procédure...
Y a ZeroAccess à virer...
0
Réponse 9 / 25
mobydick 57
2 mai 2012 à 15:36
voici le rapport de adwcleaner le n'est pas le rapport [S1] mais [R1] car il n'a rien trouvé http://pjjoint.malekal.com/files.php?id=20120502_e9o14l9o13g9 je poursuis donc ta procédure comme il faut avec bitdefender... pour zeroaccess
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 15:47
AdwCleaner faut le faire en suppression, bouton supprimer.
0
mobydick 57
2 mai 2012 à 16:15
ok dsl je pensais que scan normale vu qu'il n'y avait rien la suppression était inutile
0
Réponse 10 / 25
mobydick 57
2 mai 2012 à 16:12
voici le rapport de tdsskiller http://pjjoint.malekal.com/files.php?id=20120502_d5v10c5p10q6
0
Réponse 11 / 25
mobydick 57
2 mai 2012 à 16:25
voici le rapport de adwcleaner en [S1] http://pjjoint.malekal.com/files.php?id=20120502_g108x12r9f5
0
Réponse 12 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 16:39
ok, bitdefender a détecté des choses ?
0
Réponse 13 / 25
mobydick 57
2 mai 2012 à 17:01
Oui bitdefender a bien détecté des choses mais... j'ai pas noté... c grave?
0
Réponse 14 / 25
mobydick 57
2 mai 2012 à 17:46
voici le rapport aswMBR http://pjjoint.malekal.com/files.php?id=20120502_b9k5e7v7r13
0
Réponse 15 / 25
mobydick 57
Modifié par mobydick 57 le 2/05/2012 à 18:09
j'espère que t'es pas vexé :) car j'ai quand même encore besoin de toi ;)
0
Réponse 16 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 18:36
bha je pense que ZeroAccess a été viré.

Pour les restes :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
0
Réponse 17 / 25
mobydick 57
Modifié par mobydick 57 le 2/05/2012 à 18:51
Ok je te remercie d'avoir une nouvelle fois répondu. J'ai pris les devant et j'ai déjà installé MBAM je m'apprête à faire le scan
0
Réponse 18 / 25
mobydick 57
2 mai 2012 à 19:14
voici le rapport de MBAM http://pjjoint.malekal.com/files.php?id=20120502_j8v13k15v10p7
0
Réponse 19 / 25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2012 à 19:15
Change tes mots de passe WEB (facebook, mail etc).
Ils ont été récupérés.

Je pense que c'est OK.
Comment va le PC ?

A la limite demain, refais un scan Malwarebyte, histoire de.

En attendant :


Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

0
Réponse 20 / 25
mobydick 57
2 mai 2012 à 19:20
Bon bah merci pour ton aide et ta patience je vais donc classé en résolu.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse