> Tous les forums > Forum Sécurité
 Virus oilice nationale, pas possible de rentrer en mode sans echecSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
sunny374
  Posté le 23/01/2014 @ 09:40 
Aller en bas de la page 
Petit astucien

Bonjour à tous

J'ai le pc d'un ami infecté par le virus police, d'habitude je sais l'enlever avec rogue killer, adw cleaner etc.. en passanrt par le mode sans echec mais cette fois pas possible de rentrer en mode sans echec quel qu'il soit, le pc s'allume et la page police apparait.

Il s'agit d'un windows vista pro, c'est un pc qu'ila racheté à sa sociéte.

Quelq'un peut m'aider, je suppose qu'il faudra créeer un cd ou une cle Usb pour démarrer???

Merci de votre aide

Publicité
sunny374
 Posté le 23/01/2014 à 12:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

hello,

Voilà j'ai fait ce que tu as dit mais arrivé au niveau de firefox pas de conenction possibles... j'ai alors téléchargé l'exécutable de rogue killer sur une clé usb, et j'ai lancé le scan, il a trouvé 3 fichiers infectés "HJ", deux disparraissent après le delete dont un type PUM path HJDESK global HKEY LOCAL machine mais un reste et l'infection perdure : type SUSP PATH path HJBROWSR global HKEY LOCAL MACHINE.

Si je réssaie de démarrer en vista, police est tjs là...

manque un p'tit truc...

gepsyc
 Posté le 23/01/2014 à 13:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Sunny574,

J'ai supprimmé ce virus sur 2 PC de cette manière.

http://communic8blog.wordpress.com/2013/03/30/un-jour-une-astuce-virus-hadopi/

nardino
 Posté le 23/01/2014 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Je crains pour toi que tu ne sois victime de la nouvelle mouture de ce ransomware.

Dans ce cas tes dossiers sont cryptés et tu ne pourras pas les récupérer.

J'espère que tu les as sauvegardés.

Fréquentes-tu des sites de streaming ?



Modifié par nardino le 23/01/2014 13:56
sunny374
 Posté le 23/01/2014 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci mais je n'ai toujours pas accès au mode sans échec...

Voici le rapport de roguekiller à la 3 ème tentative

RogueKiller V8.8.2 [Jan 17 2014] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.adlice.com/forum/
Website : http://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

Operating System : Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Remove -- Date : 01/23/2014 14:08:05
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 1 ¤¤¤
[HJ BROWSR][SUSP PATH] HKLM\[...]\command : (X:\i386\iexplore.exe [-]) -> FOLDER NOT FOUND

¤¤¤ Scheduled tasks : 0 ¤¤¤

¤¤¤ Startup Entries : 0 ¤¤¤

¤¤¤ Web browsers : 0 ¤¤¤

¤¤¤ Browser Addons : 0 ¤¤¤

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED 0x2] ¤¤¤

¤¤¤ External Hives: ¤¤¤
-> C:\windows\system32\config\SYSTEM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SOFTWARE | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SECURITY | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\SAM | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\windows\system32\config\DEFAULT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Users\Administrateur\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Users\administrator\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - FOUND]
-> C:\Users\Default\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]
-> C:\Users\mib\NTUSER.DAT | DRVINFO [Drv - C:] | SYSTEMINFO [Sys - C:] [Sys32 - FOUND] | USERINFO [Startup - NOT_FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ( @ ) +++++
--- User ---
[MBR] 3821cf0332f82a5274c36e753e3ec239
[BSP] 2186b8827668479314f21432e5579068 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76316 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ( @ ) +++++
--- User ---
[MBR] 4317a3b8856347fea1f462887f1f4a26
[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 3288 | Size: 7390 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] The request is not supported. )

Finished : << RKreport[0]_D_01232014_140805.txt >>
RKreport[0]_D_01232014_140709.txt;RKreport[0]_H_01232014_140728.txt;RKreport[0]_S_01232014_140653.txt
RKreport[0]_S_01232014_140800.txt

sunny374
 Posté le 23/01/2014 à 18:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Nardino,

c'est le pc d'un copain à un de mes collègues alors te dire les sites qu'il fréquente , c'est une bonne question...

Par contre je peux lui demander si ça a de l'importance pour le remettre en état mais ce ne sera pas avant demain.

C'est une version récente à mon avis car c'est une page de la police fédérale belge mais avec la photo du roi Philippe qui n'est sur le trône que depuis 4 mois !!!

Y a pas un autre logiciel pour l'éradiquer ?

Sunny

nardino
 Posté le 23/01/2014 à 18:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Toujours avec OTLPEnet et une clé USB, essaie d'établir un rapport avec ZHPDiag.

image ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur ZHPDiag (Outil de diagnostic).

image Une fois téléchargé, clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Laisse coché Installer une icône sur le bureau quand cela te sera proposé.

image Lance ZHPDiag en cliquant sur l'icône ZHPDiag affichée sur le bureau

1 - Dans l'interface, clique sur le bouton Configurer pour afficher la rangée d'icône en bas.
2 - Clique sur la loupe avec le signe + Pour lancer l'analyse.

image

Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%.

image Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.

image

image Tu l'héberges sur Cjoint en cochant 21 jours dans la ligne Et pour quelle durée ?
Tu communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

En attendant une réponse, tu peux consulter les liens en toute fin du rapport, pour savoir comment les intrus éventuels sont arrivés sur ton pc.

@+

sunny374
 Posté le 24/01/2014 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour,

En essayant plusieurs fois avec rogue killer, adw cleaner, combofix, j'ai réussi si pas à l'éradiquer du moins à le mettre en veilleuse car le pc se connecte maintenant normlement, j'en ai profité pour remettre adobe à jour et les windows update qui datait de 2012...

Voici le rapport zhp

http://cjoint.com/?0AykRF3anKS

Merci beaucoup...

sunny374
 Posté le 24/01/2014 à 10:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

et voici le dernier rogue killer qui ne détecte plus rien

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : http://www.adlice.com/forum/

Site Web : http://www.sur-la-toile.com/RogueKiller/

Blog : http://www.adlice.com

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 01/24/2014 10:49:12

| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

[Inline] EAT @explorer.exe (RegCreateKeyExW) : pkmws.dll -> HOOKED (C:\Windows\system32\ADVAPI32.dll @ 0x76EE41F1)

[Inline] EAT @explorer.exe (RegEnumKeyW) : pkmws.dll -> HOOKED (C:\Windows\system32\ADVAPI32.dll @ 0x76EF80C3)

[Inline] EAT @explorer.exe (RegOpenKeyExW) : pkmws.dll -> HOOKED (C:\Windows\system32\ADVAPI32.dll @ 0x76EF7BA1)

[Inline] EAT @explorer.exe (RegQueryValueExW) : pkmws.dll -> HOOKED (C:\Windows\system32\ADVAPI32.dll @ 0x76EF765E)

[Inline] EAT @explorer.exe (RegisterClipboardFormatW) : pkmws.dll -> HOOKED (C:\Windows\system32\USER32.dll @ 0x7769D6AC)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) SAMSUNG HD080HJ ATA Device +++++

--- User ---

[MBR] 3821cf0332f82a5274c36e753e3ec239

[BSP] 2186b8827668479314f21432e5579068 : Windows Vista MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76316 Mo

User = LL1 ... OK!

User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) kingston DataTraveler G3 USB Device +++++

--- User ---

[MBR] 4317a3b8856347fea1f462887f1f4a26

[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 3288 | Size: 7390 Mo

User = LL1 ... OK!

Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )

Termine : << RKreport[0]_S_01242014_104912.txt >>

nardino
 Posté le 24/01/2014 à 11:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Super, il ne reste que la barre d'outils Google à désinstaller.

Par acquit de conscience, fais quand même un scan Malwarebytes.

Pour terminer, nous allons supprimer tout ce qui n'est plus nécessaire et qui nous a servi à mener à bien cette désinfection.

image Relance AdwCleaner par le bouton Désinstaller.

image Vide la quarantaine de Malwarebytes.
Ouvre l'onglet Quarantaine et clique sur le bouton Tout supprimer
Referme le programme.

image TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

image
delfix sur ton bureau en cliquant sur Télécharger.

Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

image Clique sur le fichier delfix.exe pour lancer l'outil.

Icône du fichier
image

image Coche la case Supprimer les outils
Puis clique sur le bouton Exécuter

image

image Passe la question en résolu
Clique surimage Marquer comme résolu en dessous du dernier message du topic.

Maintenant que nous avons remis le pc au clair, il serait judicieux de ne pas avoir à recommencer.
Je t'invite à lire ces pages; clique dessus pour les ouvrir.

Conseils à lire

Bloquer les publicités inacceptables sur le Web

Barres d'outils (Toolbars)

Guerre des nettoyeurs et défragmenteurs du registre Windows

@+



Modifié par nardino le 24/01/2014 12:19
nardino
 Posté le 24/01/2014 à 11:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Merci pour le signalement.

C'est rectifié.

Br_Fr
 Posté le 24/01/2014 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
nardino a écrit :

Bonjour,

Merci pour le signalement.

C'est rectifié.

non pas rectifié!



Modifié par Br_Fr le 24/01/2014 11:51
sunny374
 Posté le 24/01/2014 à 12:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci Nardino,

Tout est ok, j'ai installé Avira car il n'avait pas d antivirus.

J'ai juste encore un petit truc qui m'emm...

A l'allumage j'ai une fen^tre RUN DLL erreur de chargement c:\\users\admin-2\appdata\local\temp\nbcledooq.cpp module spécifié introuvable qui s'affiche, je clique sur la crois et hop tranquille, sait-on l'enlever ou réparer ?

Merci

Br_Fr
 Posté le 24/01/2014 à 13:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Anonyme a écrit :
Br_Fr a écrit :

non pas rectifié!

Salut

Si ! le texte pointe bien vers

~> http://assiste.free.fr/Assiste/Guerre_des_nettoyeurs_et_defragmenteurs_du_registre_Windows.html

Anonyme

Anonyme

Quand j'ai posté,il ne l'était pas comme le montre la flèche sur ma capture d'écran...

plus tard il l'a été et je ne suis pas passée pour le dire pour ne pas polluer le sujet

sunny374
 Posté le 25/01/2014 à 13:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ouh ouh !!!

Quelqu' un aurait il une solution pour retirer cette fenêtre à chaque mise en route du pc ???

"RUN DLL erreur de chargement c:\\users\admin-2\appdata\local\temp\nbcledooq.cpp module spécifié introuvable

Merci d'avance

sunny374
 Posté le 25/01/2014 à 21:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bon bin c'est pas grave, je l'ai décoché dans démarrage de msconfig et voilà il ne m'emm.. plus.

Sujet résolu .

Encore merci Nardino et Jeanphil...

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Pistolet à cartouche mécanique Wolfcraft MG 200 Ergo à 8,75 €
8,75 € 14,99 € -42%
@Amazon
Les soldes d'hiver 2025
SOLDES -1 -42%
@Amazon
VTT électrique Eleglide M2 (29 pouces, freins à disque hydrauliques, Shimano 24 vitesses, 125 km) à 769 €
769 € 899 € -14%
@Geekbuying
SSD interne M.2 NVMe Kingston NV2 1 To à 52,73 €
52,73 € 75 € -30%
@Geekbuying
PC Portable 15.6 pouces HP Victus (FHD 144 Hz, Ryzen 5 8645HS, 16Go/512Go, RTX 4060 8 Go) à 889,99 €
889,99 € 1099 € -19%
@Cdiscount
Apple Macbook Air 14 pouces (M3 Pro, 18 Go de Ram, 512 Go SSD) à 1499 €
1499 € 2099 € -29%
@Rakuten

Sujets relatifs
Suspicion de virus, mode sans echec avec reseau
Virus Ukash Mode sans echec indisponible
mode sans échec sans virus
Analyse anti-virus > mode sans échec ou pas ?
probleme demarrage mode sans echec et virus
Virus, impossible ouvrir sans mode sans echec
comment eliminer un virus en mode sans echec??
Anti-Virus et Mode sans échec
virus impossible à nettoyer en mode sans échec
Utiliser un anti-virus en mode sans échec
Plus de sujets relatifs à Virus oilice nationale, pas possible de rentrer en mode sans echec
 > Tous les forums > Forum Sécurité