Vista security 2011

Résolu
lily -  
 lily -
Bonjour,

J'ai eu la "chance" d'attraper Vista Security 2011. Je lis plusieurs discussions et je vois qu'il y a des logiciels à installer mais qu'il faut être prudent en raison de risques d'interactions avec ceux déjà installés. Donc j'aimerai savoir si quelqu'un pourrait me conseiller de manière à me débarrasser de ce méchant virus sans abîmer mon pc à partir duquel j'ai un rapport à rendre demain.

Merci d'avance

10 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharger sur le bureau RogueKiller
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide puis fais l'otion 4
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    0
    1. lily
       
      Bonjour;

      Merci de prendre le temps de m'aider.
      J'ai télécharger le logiciel que vous m'avez nommé via Mozilla (sur mon pc infecté). Dans la barre de téléchargement je clique droit: j'ai le choix entre ouvrir, ouvrir l'emplacement du fichier. Je clique sur la première option: une page s'ouvre;: l'éditeur n'a pu être vérifier, voulez vous exécuter ce logiciel? ... je clique sur exécuter et rien ne se passe. Que dois je faire?
      0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    renomme en winlogon.exe et relance le

    il serait mieux qu'il soit sur le bureau

    0
    1. lily
       
      j ai écrit le message précédent trop vite, voici le rapport
      RogueKiller V4.3.6 par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Aurélie [Droits d'admin]
      Mode: Suppression -- Date : 03/04/2011 16:47:44

      Processus malicieux: 1
      [APPDT/TMP/DESKTOP] wkk.exe -- c:\users\aurélie\appdata\local\wkk.exe -> KILLED

      Entrees de registre: 6
      [APPDT/TMP/DESKTOP] HKCU\[...]\Run : Spyware Protection (C:\Users\Aurélie\AppData\Roaming\defender.exe) -> DELETED
      [BLACKLIST] HKLM\[...]\services : usnjsvc ("C:\Program Files\Windows Live\Messenger\usnsvc.exe") -> DELETED
      [FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Aurélie\AppData\Local\wkk.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
      [FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Aurélie\AppData\Local\wkk.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
      [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Aurélie\AppData\Local\wkk.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
      [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Aurélie\AppData\Local\wkk.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")

      Fichier HOSTS:
      127.0.0.1 localhost
      ::1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
  3. lily
     
    Il est à présent sur le bureau, renommé en winlogon.exe la même fenêtre que précédemment s'ouvre éditeur inconnu voulez vous exécuter ce programme? je clique sur exécutez mais rien ne se passe.
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bien

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
    1. lily
       
      J'ai lancé le scan mais à 44% un message apparait: argument incorrect pour l'encodage de date. Le choix laissé est ok. Je clique sur ok, le cercle bleu apparait et tourne mais rien d'autre ne se passe. J'ai recliqué sur la loupe en haut à gauche, le scan redémarre mais toujours à 44% le message sur l argument incorrect pour l'encodage de la date apparait.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Télécharge OTL de OLDTimer

    http://oldtimer.geekstogo.com/OTL.scr

    enregistre le sur ton Bureau.

    Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    - Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c


    Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    NE LE POSTE PAS SUR LE FORUM

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport

    Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

    Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. lily
       
      Le scan a l'air d'être bloqué à "scanning security log..." je n'ai plus de souris, rien.
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bon

    redemarre puis

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs que tu renommes LILY.exe avant de l'enregistrer sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    (clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. lily
       
      j ai éteins mon pc en le débranchant puisque je n'avais plus de souris pour cliquer sur redémarrer. Je le rallume, il me propose de redémarrer normalement avec le choix en surbrillance, ce que je fais et à présent j'ai un écran tout noir avec seulement la souris blanche que je peux bouger, aucun menu, aucune possibilité d'accéder à démarrer ou autre.
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      redemarre et vois s'il te propose la dernière bonne configuration connue
      0
    3. lily
       
      Non il ne ;e propose pas la dernière configuration connue, en mode sans échec, le résultat est le même écran noir avec la possibilité de bouger la souris mais sans menu.
      0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    arf

    alors ca va être plus lourd

    as tu le cd de vista ?
    0
    1. lily
       
      Non, je suis à l'étranger pour le mois, en revanche, j'ai effectuer une copie de mes disques C et D sur un disque dur externe quand mon n'avait pas de virus et j'ai mon disque dur externe avec moi.
      0
    2. lily
       
      J ai effectué, pardon.
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    On va créer un LiveCD permettant de supprimer les Malwares ou autres, empêchant le démarrage d'un système.

    Procédure a effectuer sur un PC fonctionnel :

    Télécharge OTLPE.iso sur ton bureau.
    https://forum.malekal.com/viewtopic.php?t=23453&start=

    - Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.
    - Fais un double-clic sur l'icône d'OTLPE.iso et si tu as un logiciel de gravure ISO sur ton pc, celui ci s'ouvrira automatiquement, il ne te reste qu'a suivre les instructions indiquées par celui ci.

    Par contre si aucun logiciel de gravure ne se lance, fais cela...

    Télécharge BurnAtOnce (bao0995.exe) sur ton bureau.
    http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe

    - Installe le sans modifier les paramètres proposés lors du processus d'installation.
    - A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next".
    - BurnAtOnce est maintenant en fonctionnement.

    Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture :
    https://www.sfr.fr/fermeture-des-pages-perso.html

    - Clique sur Simulation
    - La gravure du CD va alors démarrer
    - Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème :
    https://www.youtube.com/watch?v=EG3lOgt3ugE

    Faut maintenant insérer le CD créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD :
    https://forum.malekal.com/viewtopic.php?t=9447&start=

    * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

    * Double-click sur l'icone OTLPE
    * Quand demandé "Do you wish to load the remote registry", select Yes
    * Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
    * Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK

    * Sous Custom Scan box copie_colle le contenu en gras ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    * clic Run Scan pour démarrer le scan.
    * une fois terminé , le fichier se trouve là C:\OTL.txt
    * copie_colle le contenu dans ta prochaine réponse
    0
    1. lily
       
      je n'ai pas de cd avec moi, cela ne peut il pas se faire à partir d'une clef usb?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      non

      pas à ma connaissance encore
      0
    3. lily
       
      Bien, je vais aller acheter un cd!
      0
    4. lily
       
      Reatogi X pe s'est bien installé sur le pc infecté, il est en fond d'écran, l icône jaune otlpe est bien présente quend je clique dessus, une fenêtre s'ouvre: browse for folder avec My computer surligné, en dessous est écrit RAMdisk, locla disk, HP Recovery, ReatogoPE, shared document, en folder est sélectionné: my computer. J ai le choix entre OK et cancel, lorsque je clique sur ok, le message suivant s affiche: no windows installations found OK. Aurais je mal effecué une étape?
      0
    5. lily
       
      Le message no windows installations found s'affiche dans une fenêtre qui a pour en tête RunScanner...
      0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    on va essayé sans

    Télécharge OTL de OLDTimer

    http://oldtimer.geekstogo.com/OTL.scr

    enregistre le sur ton Bureau.

    Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    - Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c


    Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    NE LE POSTE PAS SUR LE FORUM

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport

    Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

    Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. lily
       
      J'ai lancé Otl, il est en cours d'analyse. Il me semble que j'avais déjà procédé à une réinitialisation de mon ordinateur en appuyant sur F8 ou F12, sans mettre le cd, ma voisine a un pc semblable au mien et elle a ses cd n'est ce pas été intervertible?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      oui il devrait y avoir une partition cachée qui se lance au démarrage à partir d'une touche F
      0
    3. lily
       
      oui, je l'ai trouvé. Mon pc est donc restauré et le virus parti. Je vous remercie du temps que vous avez consacré à m'aider
      0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    Recommandations pour l'avenir

    Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
    - logiciels non à jour (windows, internet explorer, java, adobe reader etc)
    - installation de toolbar
    - fréquentation de sites piégés
    - P2P
    - Application de cracks
    - Supports usb

    Pour t'aider dans cette tâche, voici quelques pistes

    Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
    http://www.mozilla-europe.org/fr/firefox/

    Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
    pour bloquer les publicités
    http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

    ............................

    WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

    ........................

    Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

    ..........................

    Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
    http://www.teamxscript.org/usbfixTelechargement.html
    Au menu principal, choisis l'option 3 (Vaccination).
    ............................

    garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
    .......................

    Pour savoir si ton PC est à jour utilise Sécunia

    https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

    ...................

    Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse

    ..........................
    utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

    ........................
    A lire pour mieux comprendre l'environnement qui t'entoure
    http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
    https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

    http://www.libellules.ch/...

    0
    1. lily
       
      merci pour ces conseils! bonne journée :)
      0