Virus "Police Fédérale" - PC bloqué [Fermé]

Salut,


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


[*] Télécharger sur le bureau http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

Bon, impossible de redémarrer en mode sans échec ! Il reboote et me dit que windows n'a pas pu démarrer normalement. Du coup, je suis obligé de faire un démarrage normal de windows.

J'ai fait un premier scan malgré tout avec rogue killer, mais il n'a pas réellement pu tout nettoyé. Voici le rapport :

RogueKiller V7.6.3 [08/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Osiris [Droits d'admin]
Mode: Suppression -- Date: 15/07/2012 11:26:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EARS-00Y5B1 +++++
--- User ---
[MBR] 68b8bef8c8fee9ee9b0e921447825648
[BSP] 09d5f76b511782a093f06b359f02d1b2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 250003 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 512007615 | Size: 703863 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt


****

Attention, ensuite j'ai redémarré le pc et... le virus est réapparu : pc bloqué et gendarmerie. J'ai donc refait la procédure :ctrl-alt-del au démarrage suivant pour interrompre au plus vite le fameux fichier fest0r_ot.exe et reprendre le controle.

Pas de démarrage sans échec possible, donc pas de nettoyage de fond possible... aie aie

Que faire ?

salut,

telecharge [b]kaspersky rescue disk 10 fr/b disponible [url=http://www.ordi-netfr.com/tutorialKasperskyrescuedisk.php]ici/url, c'est un cd bootable qui permet de supprimer toutes les infections trouvées ,c'est une image iso que tu devras graver sur cd.

le tuto est disponible sur la meme page.

sinon tu pourrais me dire comment tu as fait pour fermer au démarrage le programme malveillant qui est nommé fest0r_ot.exe ? via le gestionnaire de tache ?

merci, je vais essayer la solution kaspersky.

pour fermer au démarrage le programme malveillant avant qu'il ne bloque l'accès au pc, il faut se grouiller.

Afficher au plus vite la liste des processus en cours (ctrl-alt-del) pendant le démarrage, et dès que le fichier apparait dans la liste (je l'ai reconnu car c'est un nom trop bizarre) je le ferme avant meme qu'il ne fasse son boulot.

faut etre rapide...

sinon y a ceci

- Télécharge ZHPDiag (de Nicolas Coolman)

- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
- Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
http://sd-4.archive-host.com/membres/images/7739387536519291/ZHPDiag_bouton_UAC.png

- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site
http://pjjoint.malekal.com/
, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

J'ai gravé le CD Kaspersky Rescue Disk, et j'ai fait une analyse complète.

Voici le rapport Kaspersky :

Analyse des objets: terminée : il y a 4 minutes (événements : 16, objets : 344776, durée : 00:48:05)
15/07/12 14:37 Lancement de la tâche
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class Reporté
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class Reporté
15/07/12 14:51 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 14:51 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:21 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:21 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:22 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 15:24 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 15:24 Supprimés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf
15/07/12 15:24 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:25 Réparés: Trojan-Dropper.Win32.Injector.fjll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run/Update
15/07/12 15:26 Supprimés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:26 Fin de la tâche

J'ai supprimé les objets et "archives" infectées. Lors d'une seconde analyse, plus rien.

@qwerty : ok, je vais essayer ta solution également au cas où... je posterai le rapport prochainement.

et donc ton probleme est résolu ? tu as toujours la fenêtre avec logo de la police fédérale qui apparait au demarrage ?

peut-être résolu. La fenêtre a disparu.

Il semblerait que tout soit "nettoyé", mais comme d'hab faut etre sur à 100%.

Je vais donc encore faire la procédure proposée par qwerty.

Le CD Kaspersky est génial apparemment, il a trouvé 2 trojans dont celui de la "police".

J'utilise une application tq pc home bank (je ne l'ai pas utiliséz pendant la période d'infection), est-ce que tu peux me dire (ou quelqu'un) si les trojans qui ont été détectés peuvent être aussi une menace pour tirer de l'argent ?

Qwerty,

Merci du conseil, voici le lien du rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120715_j6u8m13f85

je ne peux pas te repondre sur l'application en question puisque je ne la connais pas.

ce que je peux te dire c'est que le cd de kaspersky n'a apparemment pas tout supprimé puisque je vois qu'il y a certains processus et trojan qui n'ont pu etre réparés.

donc oui pour le scan avec ZHPDiag proposé par qwerty.

dans le rapport kaspersky, les éléments signalés comme non réparés ont été supprimés tout à la fin, avec l'option "supprimer" : le fameux "r__a.class" et le fichier ."exe". Donc je ne sais pas, le scan sera utile pour m'en assurer.

Finalement, n'ayant pas encore eu de réponse depuis, j'ai fait une analyse automatique du rapport de ZHPDiag et je n'ai plus rien trouvé d'anormal.

Depuis 4 jours je n'ai plus remarqué de problèmes et tout fonctionne normalement, j'ai notamment fait toutes les MAJ nécessaires.

salut verifions

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Bonjour,

Voici le lien :

http://pjjoint.malekal.com/files.php?id=20120720_k8h9r7q7k9

merci.

tu t'es reveillé tout nu sur une ile ? looool !!

=============

il sort d'où ce windows "maison" ? tu peux aller acheter une version officielle...
Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Bonjour,
Inutile de signaler le message de g#n-h@ckm@n. Le rapport a révélé que votre Windows n'était pas original. Aucune aide ne vous sera donnée dans ce forum.

Veuillez contacter la société qui vous a installé votre Windows pour demander un Windows officiel, qui sera moins vulnérable aux virus.