Virus "Police Fédérale" - PC bloqué [Fermé]

myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 00:28 - Dernière réponse :  keve
- 5 oct. 2013 à 17:14
Bonjour,

J'ai chopé un virus pendant que je surfais sur le net. Le bureau windows est remplacé par une fenêtre avec logo de la police fédérale, invitant à payer 100 €.

Au démarrage, le pc est bloqué. J'ai réussi à contourner le problème en tapant ctrl-alt-del et en fermant pendant le démarrage un programme malveillant qui est nommé fest0r_ot.exe et qui se trouve dans c:\windows\system32. J'ignore s'il n'y a pas d'autres fichiers avec ceci.

J'ai ensuite fait un msconfig et décoché le programme qui était dans la liste au démarrage. Depuis lors, j'ai repris le contrôle de mon PC.

Le problème est que je n'arrive pas à le nettoyer : je sais qu'il est dangereux et voici que AVG ainsi que Malwarebytes ne détectent meme pas ce fichier "fest..." lors de l'analyse complète. Je ne veux pas le supprimer manuellement, ce serait sûrement superficiel.

J'aurais besoin de votre aide pour tout nettoyer et sécuriser correctement.

D'avance merci !!!!


Afficher la suite 

19 réponses

qwerty- 14481 Messages postés lundi 11 août 2008Date d'inscriptionContributeurStatut 15 novembre 2016 Dernière intervention - 15 juil. 2012 à 00:44
+9
Utile
1
Salut,


Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


[*] Télécharger sur le bureau http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
Cette réponse vous a-t-elle aidé ?  
Jai lu ta solution et ca ma beaucoup aider tout est parti je peut utiliser a nouveau mon pc sans problèmes un grand grand merci
krazykat 11782 Messages postés jeudi 18 janvier 2007Date d'inscriptionModérateurStatut 30 juillet 2017 Dernière intervention - 21 juil. 2012 à 16:01
+7
Utile
Bonjour,
Inutile de signaler le message de g#n-h@ckm@n. Le rapport a révélé que votre Windows n'était pas original. Aucune aide ne vous sera donnée dans ce forum.

Veuillez contacter la société qui vous a installé votre Windows pour demander un Windows officiel, qui sera moins vulnérable aux virus.
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 11:55
+2
Utile
Bon, impossible de redémarrer en mode sans échec ! Il reboote et me dit que windows n'a pas pu démarrer normalement. Du coup, je suis obligé de faire un démarrage normal de windows.

J'ai fait un premier scan malgré tout avec rogue killer, mais il n'a pas réellement pu tout nettoyé. Voici le rapport :

RogueKiller V7.6.3 [08/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Osiris [Droits d'admin]
Mode: Suppression -- Date: 15/07/2012 11:26:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EARS-00Y5B1 +++++
--- User ---
[MBR] 68b8bef8c8fee9ee9b0e921447825648
[BSP] 09d5f76b511782a093f06b359f02d1b2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 250003 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 512007615 | Size: 703863 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt


****

Attention, ensuite j'ai redémarré le pc et... le virus est réapparu : pc bloqué et gendarmerie. J'ai donc refait la procédure :ctrl-alt-del au démarrage suivant pour interrompre au plus vite le fameux fichier fest0r_ot.exe et reprendre le controle.

Pas de démarrage sans échec possible, donc pas de nettoyage de fond possible... aie aie

Que faire ?
mehdispecialone 78 Messages postés vendredi 1 juin 2012Date d'inscription 17 octobre 2013 Dernière intervention - 15 juil. 2012 à 12:12
+1
Utile
2
salut,

telecharge [b]kaspersky rescue disk 10 fr[/b] disponible [url=http://www.ordi-netfr.com/tutorialKasperskyrescuedisk.php]ici[/url], c'est un cd bootable qui permet de supprimer toutes les infections trouvées ,c'est une image iso que tu devras graver sur cd.

le tuto est disponible sur la meme page.

sinon tu pourrais me dire comment tu as fait pour fermer au démarrage le programme malveillant qui est nommé fest0r_ot.exe ? via le gestionnaire de tache ?
Utilisateur anonyme - 15 juil. 2012 à 12:21
salut le cd Kaspersky ne corrigera pas la clé userinit ni shell donc apres passage du cd , le redemarrage dans la session sera impossible
mehdispecialone 78 Messages postés vendredi 1 juin 2012Date d'inscription 17 octobre 2013 Dernière intervention - 15 juil. 2012 à 12:31
pourquoi le redemarrage dans la session sera impossible ?

et qui te dit qu'il ne corrigera pas la clé userinit ni shell ?
+1
Utile
tu t'es reveillé tout nu sur une ile ? looool !!

=============

il sort d'où ce windows "maison" ? tu peux aller acheter une version officielle...
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 13:01
0
Utile
merci, je vais essayer la solution kaspersky.

pour fermer au démarrage le programme malveillant avant qu'il ne bloque l'accès au pc, il faut se grouiller.

Afficher au plus vite la liste des processus en cours (ctrl-alt-del) pendant le démarrage, et dès que le fichier apparait dans la liste (je l'ai reconnu car c'est un nom trop bizarre) je le ferme avant meme qu'il ne fasse son boulot.

faut etre rapide...
qwerty- 14481 Messages postés lundi 11 août 2008Date d'inscriptionContributeurStatut 15 novembre 2016 Dernière intervention - 15 juil. 2012 à 14:25
0
Utile
sinon y a ceci

- Télécharge ZHPDiag (de Nicolas Coolman)

- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
- Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
http://sd-4.archive-host.com/membres/images/7739387536519291/ZHPDiag_bouton_UAC.png

- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site
http://pjjoint.malekal.com/
, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:15
0
Utile
J'ai gravé le CD Kaspersky Rescue Disk, et j'ai fait une analyse complète.

Voici le rapport Kaspersky :

Analyse des objets: terminée : il y a 4 minutes (événements : 16, objets : 344776, durée : 00:48:05)
15/07/12 14:37 Lancement de la tâche
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class Reporté
15/07/12 14:41 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 14:41 Non réparés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class Reporté
15/07/12 14:51 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 14:51 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:21 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:21 Non réparés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe Reporté
15/07/12 15:22 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ac.class
15/07/12 15:24 Détectés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf/r__aa/r__ad.class
15/07/12 15:24 Supprimés: Exploit.Java.Agent.hb C:/Documents and Settings/Osiris/Application Data/Sun/Java/Deployment/cache/6.0/16/51571d90-5a7996bf
15/07/12 15:24 Détectés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:25 Réparés: Trojan-Dropper.Win32.Injector.fjll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run/Update
15/07/12 15:26 Supprimés: Trojan-Dropper.Win32.Injector.fjll C:/WINDOWS/system32/fest0r_ot.exe
15/07/12 15:26 Fin de la tâche

J'ai supprimé les objets et "archives" infectées. Lors d'une seconde analyse, plus rien.

@qwerty : ok, je vais essayer ta solution également au cas où... je posterai le rapport prochainement.
mehdispecialone 78 Messages postés vendredi 1 juin 2012Date d'inscription 17 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:23
0
Utile
et donc ton probleme est résolu ? tu as toujours la fenêtre avec logo de la police fédérale qui apparait au demarrage ?
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:29
0
Utile
peut-être résolu. La fenêtre a disparu.

Il semblerait que tout soit "nettoyé", mais comme d'hab faut etre sur à 100%.

Je vais donc encore faire la procédure proposée par qwerty.

Le CD Kaspersky est génial apparemment, il a trouvé 2 trojans dont celui de la "police".

J'utilise une application tq pc home bank (je ne l'ai pas utiliséz pendant la période d'infection), est-ce que tu peux me dire (ou quelqu'un) si les trojans qui ont été détectés peuvent être aussi une menace pour tirer de l'argent ?
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:32
0
Utile
Qwerty,

Merci du conseil, voici le lien du rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120715_j6u8m13f85
mehdispecialone 78 Messages postés vendredi 1 juin 2012Date d'inscription 17 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:35
0
Utile
je ne peux pas te repondre sur l'application en question puisque je ne la connais pas.

ce que je peux te dire c'est que le cd de kaspersky n'a apparemment pas tout supprimé puisque je vois qu'il y a certains processus et trojan qui n'ont pu etre réparés.

donc oui pour le scan avec ZHPDiag proposé par qwerty.
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 15 juil. 2012 à 17:51
0
Utile
dans le rapport kaspersky, les éléments signalés comme non réparés ont été supprimés tout à la fin, avec l'option "supprimer" : le fameux "r__a.class" et le fichier ."exe". Donc je ne sais pas, le scan sera utile pour m'en assurer.
myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 19 juil. 2012 à 22:13
0
Utile
Finalement, n'ayant pas encore eu de réponse depuis, j'ai fait une analyse automatique du rapport de ZHPDiag et je n'ai plus rien trouvé d'anormal.

Depuis 4 jours je n'ai plus remarqué de problèmes et tout fonctionne normalement, j'ai notamment fait toutes les MAJ nécessaires.
Utilisateur anonyme - 19 juil. 2012 à 22:33
0
Utile
salut verifions

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

myloo999 47 Messages postés vendredi 12 mars 2010Date d'inscription 24 octobre 2013 Dernière intervention - 20 juil. 2012 à 23:35
0
Utile
Bonjour,

Voici le lien :

http://pjjoint.malekal.com/files.php?id=20120720_k8h9r7q7k9

merci.