Trojan Bundespolizei

[schnucki]

Bonsoir,

 

J´ai un problème qui va vous intéresser, du moins ceux qui combattent les vers, trojans, virus ou rootkits très coriaces, car c´est bien de ça qu´il s'agit.

 

Je suis en Allemagne et sur Google, il n´existe pas de trace ou peu de ce virus ou trojan, ce qui veut dire que peu le connaissent, j´ai donc besoin de toutes vos connaissances et forces pour m´aider à détruire cette saleté.

 

Il s'agit d´un virus ou trojna appelé BUNDESPOLIZEI, du nom de la police nationale Allemande, ils réclament 100 € pour avoir visionné des sites pornographiques.

 

Pédophiles soi-disant, mais c´est un leurre, ce trojan s´ouvre au démarrage du PC après la bienvenue de Windows et reste fixe, on ne peut rien contrôler à part la souris.

 

Il n´y a à l´écran que cette image, rien d´autre et pour ceux qui ont une envie presto de me répondre "DÉMARRE EN MODE SANS ÉCHEC", mince c´est raté, il apparaît aussi…

 

En mode sans échec, je ne sais plus quoi faire pour m´en débarrasser.

 

Si vous avez des idées, elles sont les bienvenues.

Merci d´avance.

SCHNUCKI.

[bernard53]

bonjour

 

Fait ceci s.t.p

 

 

Graver et Démarrer OTLPE depuis un CD

 

► Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

 

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.

* Patiente le temps de la décompression et de la gravure du CD.

* demarrer sur le cdrom crée de Reatogo , voir exemple: booter-sur-dvd-t9447.html

 

 

 

 

 

 

 

 

 

 

* Ton système doit montrer un bureau REATOGO-X-PE

* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.

* Double-click sur l'icone OTLPE

 

» à ceci valider par ok:

 

 

 

» à ceci selectionner sa session:

 

 

 

** si le systeme d'exploitation est Vista ou Seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

 

 

 

 

 

 

* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

 

» OTLPE se lançe alors

 

 

 

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

csrss.exe

smss.exe

svchost.exe

services.exe

spoolsv.exe

alg.exe

ctfmon.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

i8042prt.sys

cdrom.sys

disk.sys

ndis.sys

tcpip.sys

imapi.sys

RDPCDD.sys

mountmgr.sys

aec.sys

rasacd.sys

redbook.sys

intelide.sys

mrxsmb10.sys

mrxsmb20.sys

termdd.sys

mrxsmb.sys

win32k.sys

storport.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

CREATERESTOREPOINT

 

* clic Run Scan pour demarrer le scan.

* une fois terminé , le fichier se trouve là C:\OTL.txt

* copie_colle le contenu dans ta prochaine reponse

 

Si ton rapport est trop long, utilise le site Cijoint.fr - Service gratuit de dépôt de fichiers ou Cliquez ici. pour envoyer ton rapport, et mets le lien dans ta prochaine réponse.

[schnucki]

Merci de m´avoir répondu si rapidement et merci de vous être donné tant de travail pour m´aider, j´ai appliqué à la lettre tout ce que vous m´aviez demandé de faire et le CD a été gravé correctement, mais malheureusement le bureau ne s´ouvre pas sur REATOGO-X-PE mais sur le trojan BUNDESPOLIZEI. J´ai pourtant activé le lecteur CD prioritaire dans le BIOS pour être sûr qu'il est sollicité, et il réagit mais le troyan passe par-dessus. Je peux faire une multitude de choses et j´ai déjà gravé ou mis sur clef USB, plusieurs outils fiables et reconnus de scan ou nettoyage, mais ils ne peuvent pas agir tant que le virus passe par-dessus.

 

Merci à vous, peut-être avez-vous d´autres idées, je suis preneur.

 

Schnucki.

[bernard53]

Dis moi tu as bien graver comme indiqué c'est à dire en fichier image.

 

tu es sur que ton boot est bien réglé

 

Possibilité de mettre OTLPE en USB.

 

Si vous n'avez pas de lecteur CD-Rom

Il est possible de booter depuis une clef USB :

Malekal's forum • PetoUSB (eeepc.fr) : Programmes utiles

 

 

Sinon tu as tenter avec un cd boot de désinfection .

 

Kaspersky Rescue Disk 10

[schnucki]

C´est vraiment navrant mais je ne sais plus quoi faire, j´ai la sensation d´être devant un mal incurable,

j´ai fait hier un boot avec alvira sur les conseil d´un bon gars, ca à scanné mais c´est tout, il a bien

trouvé un troyan, la photo unique de BUNDESPOLIZEI, aà bien disparu de mon bureau, et l´image qu´il y avait

avant a réaparue, mais sans icones, sans barre de taches,le mode sans echec lui est noir, pourtant ca ne bug

pas la souris se déplace normalement, j´aiu la nette impression que ce virus a tout mangé, windows complètement

et tous les programmes avec, et pour couronner le tout, on ne peux pas réinstaller windows, le disque de

redemmarage ne s´ouvre pas non plus dans dos, seul alvira est parvenu a travailler dans dos.

[bernard53]

Dis moi et avec l'invité de commande.

Touche F5 ou F8 au démarrage de ton pc. Une fois en mode sans échec choisi "dernière bonne configuration connue"

 

Si cela ne fonctionne pas, toujours en mode sans échec choisi cette fois l'invité de commande puis dans la fenêtre DOS tapes ceci : rstrui.exe

 

Cela va t'ouvrir la fenêtre de restauration et tu auras ainsi la possibilité de choisir un autre point de restauration plus ancien.

 

Pour XP il faut taper.

 

%windir%\system32\restore\rstrui.exe

 

Essai ceci aussi .

 

Toujours avec l'invité de commande

 

Rends-toi dans le registre comme ceci.

Démarres en mode sans échec puis choisi l'invité de commande.

Dans le choix des sessions présentes, choisi ta session ou une session en Administrateurs.

 

A la fenêtre DOS tapes: Regedit

Le registre va donc s'ouvrir. Rends-toi à cette clé.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

 

Dans la fenêtre de droite supprimes avec un clique droit dessus ce que tu trouves douteux et qui soit susceptibles de bloquer ton démarrage.

 

Bien sur par précaution sauvegarde cette clé avant via le mode exporter qui fonctionne en invité de commande.