CommentCaMarche
Recherche
Posez votre question Signaler

Virus "Police Fédérale" - PC bloqué [Fermé]

myloo999 47Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013Dernière intervention - Dernière réponse le 5 oct. 2013 à 17:14
Bonjour,
J'ai chopé un virus pendant que je surfais sur le net. Le bureau windows est remplacé par une fenêtre avec logo de la police fédérale, invitant à payer 100 €.
Au démarrage, le pc est bloqué. J'ai réussi à contourner le problème en tapant ctrl-alt-del et en fermant pendant le démarrage un programme malveillant qui est nommé fest0r_ot.exe et qui se trouve dans c:\windows\system32. J'ignore s'il n'y a pas d'autres fichiers avec ceci.
J'ai ensuite fait un msconfig et décoché le programme qui était dans la liste au démarrage. Depuis lors, j'ai repris le contrôle de mon PC.
Le problème est que je n'arrive pas à le nettoyer : je sais qu'il est dangereux et voici que AVG ainsi que Malwarebytes ne détectent meme pas ce fichier "fest..." lors de l'analyse complète. Je ne veux pas le supprimer manuellement, ce serait sûrement superficiel.
J'aurais besoin de votre aide pour tout nettoyer et sécuriser correctement.
D'avance merci !!!!
Lire la suite 
Réponse
+9
moins plus
Salut,


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


[*] Télécharger sur le bureau http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

keve- 5 oct. 2013 à 17:14
Jai lu ta solution et ca ma beaucoup aider tout est parti je peut utiliser a nouveau mon pc sans problèmes un grand grand merci
Répondre
Réponse
+2
moins plus
Bon, impossible de redémarrer en mode sans échec ! Il reboote et me dit que windows n'a pas pu démarrer normalement. Du coup, je suis obligé de faire un démarrage normal de windows.

J'ai fait un premier scan malgré tout avec rogue killer, mais il n'a pas réellement pu tout nettoyé. Voici le rapport :

RogueKiller V7.6.3 [08/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Osiris [Droits d'admin]
Mode: Suppression -- Date: 15/07/2012 11:26:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EARS-00Y5B1 +++++
--- User ---
[MBR] 68b8bef8c8fee9ee9b0e921447825648
[BSP] 09d5f76b511782a093f06b359f02d1b2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 250003 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 512007615 | Size: 703863 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt


****

Attention, ensuite j'ai redémarré le pc et... le virus est réapparu : pc bloqué et gendarmerie. J'ai donc refait la procédure :ctrl-alt-del au démarrage suivant pour interrompre au plus vite le fameux fichier fest0r_ot.exe et reprendre le controle.

Pas de démarrage sans échec possible, donc pas de nettoyage de fond possible... aie aie

Que faire ?

Réponse
+1
moins plus
salut,

telecharge [b]kaspersky rescue disk 10 fr/b disponible [url=http://www.ordi-netfr.com/tutorialKasperskyrescuedisk.php]ici/url, c'est un cd bootable qui permet de supprimer toutes les infections trouvées ,c'est une image iso que tu devras graver sur cd.

le tuto est disponible sur la meme page.

sinon tu pourrais me dire comment tu as fait pour fermer au démarrage le programme malveillant qui est nommé fest0r_ot.exe ? via le gestionnaire de tache ?

Utilisateur anonyme - 15 juil. 2012 à 12:21
salut le cd Kaspersky ne corrigera pas la clé userinit ni shell donc apres passage du cd , le redemarrage dans la session sera impossible
mehdispecialone 78Messages postés vendredi 1 juin 2012Date d'inscription 17 octobre 2013Dernière intervention - 15 juil. 2012 à 12:31
pourquoi le redemarrage dans la session sera impossible ?

et qui te dit qu'il ne corrigera pas la clé userinit ni shell ?
Réponse
+0
moins plus
merci, je vais essayer la solution kaspersky.

pour fermer au démarrage le programme malveillant avant qu'il ne bloque l'accès au pc, il faut se grouiller.

Afficher au plus vite la liste des processus en cours (ctrl-alt-del) pendant le démarrage, et dès que le fichier apparait dans la liste (je l'ai reconnu car c'est un nom trop bizarre) je le ferme avant meme qu'il ne fasse son boulot.

faut etre rapide...

Réponse
+0
moins plus
sinon y a ceci

- Télécharge ZHPDiag (de Nicolas Coolman)

- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
- Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
http://sd-4.archive-host.com/membres/images/7739387536519291/ZHPDiag_bouton_UAC.png

- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site
http://pjjoint.malekal.com/
, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Réponse
+0
moins plus
J'ai gravé le CD Kaspersky Rescue Disk, et j'ai fait une analyse complète.

Voici le rapport Kaspersky :

Analyse des objets: terminée : il y a 4 minutes (événements : 16, objets : 344776, durée : 00:48:05)
15/07/12 14:37 Lancement de la tâche
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class Reporté
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class Reporté
15/07/12 14:51 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 14:51 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:21 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:21 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:22 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 15:24 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 15:24 Supprimés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf
15/07/12 15:24 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:25 Réparés: Trojan-Dropper.Win32.Injector.fjll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run/Update
15/07/12 15:26 Supprimés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:26 Fin de la tâche

J'ai supprimé les objets et "archives" infectées. Lors d'une seconde analyse, plus rien.

@qwerty : ok, je vais essayer ta solution également au cas où... je posterai le rapport prochainement.

Réponse
+0
moins plus
et donc ton probleme est résolu ? tu as toujours la fenêtre avec logo de la police fédérale qui apparait au demarrage ?

Réponse
+0
moins plus
peut-être résolu. La fenêtre a disparu.

Il semblerait que tout soit "nettoyé", mais comme d'hab faut etre sur à 100%.

Je vais donc encore faire la procédure proposée par qwerty.

Le CD Kaspersky est génial apparemment, il a trouvé 2 trojans dont celui de la "police".

J'utilise une application tq pc home bank (je ne l'ai pas utiliséz pendant la période d'infection), est-ce que tu peux me dire (ou quelqu'un) si les trojans qui ont été détectés peuvent être aussi une menace pour tirer de l'argent ?

Réponse
+0
moins plus
Qwerty,

Merci du conseil, voici le lien du rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120715_j6u8m13f85

Réponse
+0
moins plus
je ne peux pas te repondre sur l'application en question puisque je ne la connais pas.

ce que je peux te dire c'est que le cd de kaspersky n'a apparemment pas tout supprimé puisque je vois qu'il y a certains processus et trojan qui n'ont pu etre réparés.

donc oui pour le scan avec ZHPDiag proposé par qwerty.

Réponse
+0
moins plus
dans le rapport kaspersky, les éléments signalés comme non réparés ont été supprimés tout à la fin, avec l'option "supprimer" : le fameux "r__a.class" et le fichier ."exe". Donc je ne sais pas, le scan sera utile pour m'en assurer.

Réponse
+0
moins plus
Finalement, n'ayant pas encore eu de réponse depuis, j'ai fait une analyse automatique du rapport de ZHPDiag et je n'ai plus rien trouvé d'anormal.

Depuis 4 jours je n'ai plus remarqué de problèmes et tout fonctionne normalement, j'ai notamment fait toutes les MAJ nécessaires.

Réponse
+0
moins plus
salut verifions

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider


Réponse
+0
moins plus
Bonjour,

Voici le lien :

http://pjjoint.malekal.com/files.php?id=20120720_k8h9r7q7k9

merci.

Réponse
+1
moins plus
tu t'es reveillé tout nu sur une ile ? looool !!

=============

il sort d'où ce windows "maison" ? tu peux aller acheter une version officielle...
Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Réponse
+7
moins plus
Bonjour,
Inutile de signaler le message de g#n-h@ckm@n. Le rapport a révélé que votre Windows n'était pas original. Aucune aide ne vous sera donnée dans ce forum.

Veuillez contacter la société qui vous a installé votre Windows pour demander un Windows officiel, qui sera moins vulnérable aux virus.

Ce document intitulé «  Virus "Police Fédérale" - PC bloqué  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.