× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Virus Cyber Police PatrolSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
TheCrow
  Posté le 16/10/2012 @ 23:44 
Aller en bas de la page 
Petit astucien

Bonjour,

Je jouais a un jeu et ma fenetre c'est fermée et a été remplacé par une page WEB me disant que mon ordinateur était sous surveillance par le Cyber Police Patrol, que tous mes dossiers allaient etre examinés par la police et bla bla. Par contre ca disait que pour 100$ je pouvais débloquer mon ordi. Évidement que j'ai pas payé vu que c'est un virus. J'ai redémarrer mon PC et ca l'a fait encore. J'ai redemarrer et j'ai fermer mon acces internet, la fenetre n'est pas rééparru, j'ai fait un scan avec McAfee et il a rien trouver. Est-ce qu'il y a un moyen d'enlever ce truc de mon PC???

Windows 7

Internet Explorer 9

McAffee comme anti virus

Pouvez vous m'aider????

Merci!

Publicité
clbugnot
 Posté le 17/10/2012 à 00:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour TheCrow

Fais ce qui est demandé dans cette procédure, publie les trois rapports demandés et attends qu'un membre du Groupe Sécurité te prenne en charge.

Cordialement.

TheCrow
 Posté le 17/10/2012 à 00:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci pour la réponse, est-ce que je dois tout de suite faire la 3ieme etape???? ou je dois absolument passer par les 2 autres étapes..

De plus je n'ai pas acces a internet avec mon ordi infecté, donc est ce que je peux installer le logiciel sur clé USD et ensuite le transférer dans mon ordi infecté?

TheCrow
 Posté le 17/10/2012 à 00:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon, j'ai installé le logiciel avec une clé usb mais il semble que j'ai besoin d'internet pour le faire fonctionner, est-ce que vous avez un truc pour que ca fonctionne sans internet ou alors que je puisse faire fonctionner mon internet sans le virus???(hmmm ca parait bizarre comme question mais je crois que vous comprennez)

somebodyone
 Posté le 17/10/2012 à 08:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour tout le monde et Re. TheCrow:

Pour l'accès à internet, as-tu essayé de démarrer Windows en Mode Sans Echec
avec prise en charge du réseau ? ? ? ?

TheCrow
 Posté le 17/10/2012 à 12:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oula non j'ai pas essayé, je ne suis pas vraiment un expert en ordinateur...je vais voir comment je peux faire, je vous laisserai savoir mes résulats,

Merci

nardino
 Posté le 17/10/2012 à 12:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

A partir de ta clé USB :

image RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

image Quitte tous les programmes en cours
image Lance RogueKiller.exe en cliquant sur l'icône.

image

image Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

image Clique sur le bouton Suppression

image

image Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

image Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

image Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Dès que tu peux redémarrer en normal, poursuis avec l'Aide au diagnostic d'un PC infecté

@+

TheCrow
 Posté le 17/10/2012 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

Je viens de suivre la procédure (Rogue Killer) de nardino. Voici le résultat du scan, avant de redemarrer mon ordi, je voulais savoir si ce que j'avais fait était conforme

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Yanick [Droits d'admin]
Mode : Suppression -- Date : 17/10/2012 14:34:19

¤¤¤ Processus malicieux : 2 ¤¤¤
[SUSP PATH] LaunchU3.exe -- C:\ProgramData\U3\U3Launcher\LaunchU3.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][BLACKLIST DLL] HKLM\[...]\Run : RunDLLEntry_THXCfg (C:\Windows\system32\RunDLL32.exe C:\Windows\system32\THXCfg64.dll,RunDLLEntry THXCfg64) -> SUPPRIMÉ
[RUN][BLACKLIST DLL] HKLM\[...]\Run : RunDLLEntry_EptMon (C:\Windows\system32\RunDLL32.exe C:\Windows\system32\EptMon64.dll,RunDLLEntry EptMon64) -> SUPPRIMÉ
[STARTUP][HJNAME] ctfmon.lnk @Yanick : C:\ProgramData\lsass.exe -> SUPPRIMÉ
[STARTUP][SUSP PATH] LaunchU3.exe.lnk @Yanick : C:\Users\Yanick\AppData\Roaming\Microsoft\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721010CLA332 +++++
--- User ---
[MBR] 45edde40c11b9268fbe48e6b0fd794fe
[BSP] 2dfa851a71cb3d932cd438f3fdc85c0d : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 12542 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25767936 | Size: 941286 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Encore une fois merci!

TheCrow
 Posté le 17/10/2012 à 21:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je ne sais pas si je fais bien cela, mais voici le résultats de Malware Bytes

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.09.29.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Yanick
YANICK-PC [administrateur]

2012-10-17 15:15:38
mbam-log-2012-10-17 (15-15-38).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213446
Temps écoulé: 8 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.

(fin)

Publicité
TheCrow
 Posté le 17/10/2012 à 21:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le résultat de AdwCleaner, il n'a rien trouvé

# AdwCleaner v2.005 - Rapport créé le 17/10/2012 à 15:33:00
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Yanick - YANICK-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Yanick\Desktop\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\ProgramData\Ask
Dossier Présent : C:\Users\Yanick\AppData\Roaming\iWin

***** [Registre] *****

Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKU\S-1-5-21-2379898419-1964946874-1611108131-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v22.0.1229.94

Fichier : C:\Users\Yanick\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1346 octets] - [17/10/2012 15:33:00]

########## EOF - C:\AdwCleaner[R1].txt - [1406 octets] ##########

TheCrow
 Posté le 17/10/2012 à 22:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le dernier test ZHP, je mets le lien vu que le fichier est trop gros, par contre pour votre information je n'ai pas encore ouvert Explorer ni Chrome et jusqu'a ce moment le pop up (virus) n'est pas apparu...je ne sais pas si c'est bon, je vais attendre votre diagnostic

http://cjoint.com/?0JrwEjgDK89

nardino
 Posté le 18/10/2012 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Avant de nettoyer les outils quelques petits trucs à faire.

Réactive l'UAC au moins au premier niveau

Désinstalle Adobe Reader 9.1.2 , JavaFX 2.1.1, Java 6 Update 23 et Java 6 Update 31

Java Runtime Environment
image Ouvre cette page
En bas, à droite, dans Java SE Update 37, clique sur JRE > Download.
Coche Accept License Agreement dans la nouvelle page.
Clique sur Windows x86 Offline - 16.19 MB -imagejre-6u37-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.
Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.
Remarque
Il existe aussi une version 7u9.
Elle se trouve dans le cadre au-dessus de celui de la version JRE6u37.

La version 64 bits n'est pas nécessaire.

Supprime cette liste de dossiers vides:

De C:\Users\Yanick\AppData\Local\{00112B0E-0DEE-4F39-A220-EBFBC12E3DA4} à C:\Users\Yanick\AppData\Local\{FFD1BC49-9D9D-46CB-B110-04E684880A43}

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

image


Elle a été créée lors de l'installation de ZHPDiag.
image Copie le contenu de l'encadré ci-dessous dans le presse-papier.
Utilise les touches CTRL et A pour tout sélectionner et les touches CTRL et C pour copier.

Code

O2 - BHO: (no name) [64Bits] - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
[HKCU\Software\Iigmybejh]
C:\ProgramData\Ask
C:\ProgramData\n7-89-o9-3r-4t-r9
C:\Users\Yanick\AppData\Roaming\BACS.exe
C:\Users\Yanick\AppData\Roaming\iWin



1 : Clique sur l'icône Presse-papier.Les lignes contenues dans le presse-papier vont s'afficher dans le cadre principal.
2 : Clique sur le bouton GO en bas à gauche.

image

3 : Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

image Poste le contenu du rapport ZHPFixReport.txt, à partir du raccourci créé sur le bureau.

image

@+

TheCrow
 Posté le 18/10/2012 à 01:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Encore merci pour ta réponse...je ne suis pas un expert donc mes questions peuvent paraitre stupide

1- Qu'est-ce que l'UAC et comment je faire pour l'activer?

2-J'ai désintallé les 4 logiciels tel que demandé (adobe reader, java etc)

3-J'ai installé la nouvelle version de Java

4-J'essaie de trouver ca dans mon pc mais je ne le trouve pas:

De C:\Users\Yanick\AppData\Local\{00112B0E-0DEE-4F39-A220-EBFBC12E3DA4} à C:\Users\Yanick\AppData\Local\{FFD1BC49-9D9D-46CB-B110-04E684880A43}

Je fais une recherche avec le nom du fichier 00112 etc, il trouve le fichier mais si je cherche C, utilisateurs, yanick on dirait que les dossiers utilisateurs et yanick sont masqués et je ne peux pas allé plus loin

5- Je n'ai pas encore lancer le logiciel vu que les quelques points ci dessus ne sont pas terminés

Merci!

nardino
 Posté le 18/10/2012 à 01:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Re et bonne nuit,

Tu peux passer ZHPFix même si le rest n'est pas fait.
Pour l'UAC, c'est le contrôle des comptes d'utilisateurs.
Tu pourras l'activer par le panneau de configuaration, comptes d'utilisateurs, Modifier les paramètres de contrôle de compte d'utilisateur.
Pour les dossiers à supprimer, il faut montrer les dossiers cachés, toujours par le panneau de configuration, Options des dossiers, onglet affichage, coche devant Afficher les dossiers et fichiers cachés.


Acrobat Reader X
image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.4
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe
Ce fichier s'auto-détruira.

@+

TheCrow
 Posté le 18/10/2012 à 01:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai effacé les 1015 fichiers temporaires

J'ai aussi changé les parametres pour les utilisateurs

Par contre j'ai ouvert ZHPFix, j'ai copié/coller le code tel que demandé, j'ai cliqué sur GO mais j'ai pas de fichier fixreport sur mon bureau, est ce que j'ai fait un boubou?

TheCrow
 Posté le 18/10/2012 à 02:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai installé Adobe Acrobat Reader, le dernier truc qu'il me manque c'est le fichier ZHPFix, je ne sais aps si je dois le refaire, actuellement je teste mon pc et tout a l'air parfait

nardino
 Posté le 18/10/2012 à 11:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Retente ZHPFix.

Complète par :

image TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

@+

Publicité
TheCrow
 Posté le 18/10/2012 à 12:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

J'ai réussi a faire le ZHP Fix et voici le résultat

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012 Fichier d'export Registre : Run by Yanick at 2012-10-18 06:46:44 Windows 7 Home Premium Edition, 64-bit (Build 7600) Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ========== ERREUR Key****: CLSID BHO: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} SUPPRIME Key: HKCU\Software\Iigmybejh

========== Valeur(s) du Registre ========== ABSENT RunValue: Adobe Reader Speed Launcher

========== Dossier(s) ========== SUPPRIME Reboot Folder**: c:\programdata\ask SUPPRIME Reboot Folder**: c:\programdata\n7-89-o9-3r-4t-r9 SUPPRIME Folder: c:\users\yanick\appdata\roaming\bacs.exe SUPPRIME Folder: c:\users\yanick\appdata\roaming\iwin

========== Fichier(s) ========== ABSENT File: c:\program files (x86)\adobe\reader 9.0\reader\reader_sl.exe

========== Récapitulatif ========== 2 : Clé(s) du Registre 1 : Valeur(s) du Registre 4 : Dossier(s) 1 : Fichier(s)

End of clean in 00mn 03s

========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 2012-10-18 06:46:48 [1056]

J'ai aussi fait Old Timer

¨Par contre lors de redemarrage de mon ordi, un message me disant que Catalyst Control Centre avait cesser de fonctionner...est-ce normal???

nardino
 Posté le 18/10/2012 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

Ce logiciel, inutile pour la plupart des utilisateurs, est souvent sujet à caution.

Désinstalle-le et réinstalle-le au besoin.

@+

TheCrow
 Posté le 18/10/2012 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

S'il est inutile, puis je seulement le désinstallé, si oui comment puis-je faire car je ne le trouve pas

nardino
 Posté le 18/10/2012 à 19:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Regarde dans le panneau de configuration, Programmes et fonctionnalités, il doit y apparaitre.

@+

TheCrow
 Posté le 20/10/2012 à 12:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci beaucoup pour l'aide apportée!

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
59,99 €Perceuse à percussion 800W TACKLIFE + 145 outils + malette à 59,99 € avec le code RL2OC4TI
Valable jusqu'au 06 Octobre

Amazon fait une promotion sur un kit d'outils TACKLIFE avec une perceuse à percussion 800W, 145 outils et accessoires (tournevis, marteau, pinces, embouts, vis, clés Allen, forêts, ...) qui passe à 59,99 € grâce au code promo RL2OC4TI alors qu'on le trouve habituellement autour de 120 €. La livraison est gratuite et le tout est livré dans une malette.

Pour profiter de l'offre, passez la souris sur le bandeau Message promotionnel sur la fiche produit et cliquez sur Appliquer à côté de la promotion. Vous pouvez aussi saisir le code RL2OC4TI sur la page de paiement. Le prix passera à 59,99 € sur la page de confirmation de commande.


> Voir l'offre
110,80 €SSD WD Blue SN550 1 To (NMVe M.2, 2400 Mo/s) à 110,80 € livré
Valable jusqu'au 04 Octobre

Amazon Royaume-Uni fait une promotion sur le SSD WD Blue SN550 1 To (NMVe M.2) qui passe à 94,98 £. Avec la conversion en euros et la livraison en France, il vous reviendra à 110,80 € livré alors qu'on le trouve ailleurs à partir de 140 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 2 400 Mo/s en lecture séquentielle et jusqu’à 1 950 Mo/s en écriture séquentielle. Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.

Vous pouvez utiliser votre compte Amazon France sur Amazon UK et il n'y a pas de douane.


> Voir l'offre
-20%20% de réduction sur tous les fauteuils gaming chez LDLC avec le code BERNARD
Valable jusqu'au 01 Octobre

LDLC offre actuellement 20% de remise immédiate sur les fauteuils gaming de son catalogue avec le code promo BERNARD.


> Voir l'offre

Sujets relatifs
virus police nationale
virus de la police
Ami infecté par virus police....
virus windows antivirus patrol
virus police nationale
Infections virus de Police et divers trojans.
se préserver des virus "Gendarmerie,Police etc.."
Virus Police Judiciare UKASH écran blanc
PC infecté par virus police gendarmerie
Infection virus ukash police nationale
Plus de sujets relatifs à Virus Cyber Police Patrol
 > Tous les forums > Forum Sécurité