Pc infecte, sans antivirus, et sans réseau [Résolu/Fermé]

Signaler
-
 talhi -
Bonjour,

je découvre ce soir que mon petit EEpc est infecté par le virus "la gendarmerie à bloque votre Pc pour utilisation illégale etc".
J'ai 2 gros soucis
- je n'ai jamais installé d'antivirus (je sais, c'est totalement stupide)
- j'ai cherche sur le net, ai vu quelques tutos pour nettoyer, mais malgré l'ouverture du Pc en mode sans échec avec réseau, je n'ai pas de connection internet, donc pas accès aux antivirus.

Pourriez-vous me conseiller pour nettoyer mon Pc ?

Par avance, un grand merci !

Talhi

10 réponses

Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
bonjour en mode sans echec as tu accés au pc et au dossier si oui fais une restauration système à date et heure avent ton problème et si cela fonctionne tu reviens et on pourra voir pour t'aider à finir le nettoyage et te conseiller un anti-virus gratuit !!!
Bonsoir,
Je regarde ça demain matin (la, bb dort) et je vois si je peux faire cette Restauration système.
Merci pour votre réponse, à demain !
Talhi
Bonjour
J'ai pu accéder au systeme et lancer une restauration, qui a fonctionné.
Que dois-je faire maintenant ? Le virus est toujours dans le pc ?

Merci par avance :)
Talhi
Je précise que j'ai, du coup, retrouvé ma connection internet.

Merci encore pour votre précieuse aide :)

Talhi
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
bonjour, pour vérifier si plus de problèmes postes un zhpdiag

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
http://cjoint.com/?BBgjs09qRB9

Bonjour
J'ai effectué toute la procédure que vous m'avez demandé, et voici le lien vers le rapport :)

J'attends de vos nouvelles :)
Merci encore
Talhi
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
bon on finalise le nettoyage et normalement c'est bon

1) fias zhpfix comme expliqué

. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________

[MD5.D02A5D05D7657C962C9DEA1A81A7A8A4] - (.Microsoft Corporation - Notepad.) -- C:\ProgramData\Reslogon.exe [103432] [PID.3208]
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\Software\BrowserChoice]
OPT:SR - | Auto 30/08/2011 390504 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp



___________________________________________________________________



. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport


2) fais la mises à jour de java


mets java à jour :désinstalles ta version actuel et installes cette version https://www.java.com/fr/download/



3) - DelFix - Option Suppression

Télécharge DelFix (d'Xplode)

Lance le puis sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.




4) fais un nettoyage avec ccleaner et les réglages donnés


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/download/telecharger-168-ccleaner


.enregistres le sur le bureau
.double-cliques si sous XP sinon pour vista et seven clique droit et en tant que administrateur sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner

ATTENTION refuse l'installation de tous ce qui est google si pas intéressé !!

.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
Bonjour

Bon, ça se complique...
Ayant des enfants, je fais toute votre procédure quand je peux, bref je souhaitais faire le nettoyage ce matin.

J'ouvre le pc, je me retrouve à nouveau avec la page du virus gendarmerie.
Je le ferme, je l'ouvre en mode sans échec, mais là, un autre virus me bloque (un truc comme quoi j'ai téléchargé illégalement de la musique), et je ne peux donc accéder au système pour lancer une nouvelle restauration.
Que puis-je faire ? :(

Merci...
Talhi
Pour répondre à votre question précédente, oui, pour lire votre tuto. j'imagine que c'est ça qui a tout revérolé, donc très bête de ma part ?
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
ok fais roguekiller pour voir si il trouve !!
voici le rapport de roguekiller

RogueKiller V7.0.3 [06/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Thalie [Droits d'admin]
Mode: Recherche -- Date : 07/02/2012 11:33:07

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 54454208b7efa8d1779b706d915d20e2
[BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
ok tu te relance et tu fais suppression et après tu fais ce qui était prévu

1) ouvre roguekiller
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

2) fais ce qui était la https://forums.commentcamarche.net/forum/affich-24372904-pc-infecte-sans-antivirus-et-sans-reseau#7
Bonsoir
Voilà le rapport après suppression sur Roguekiller

RogueKiller V7.0.3 [06/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Thalie [Droits d'admin]
Mode: Suppression -- Date : 07/02/2012 21:18:37

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 54454208b7efa8d1779b706d915d20e2
[BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Voici le rapport après nettoyage par ZHPFix

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by Thalie at 07/02/2012 21:40:16
Windows 7 Starter Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key: HKLM\Software\BrowserChoice
ABSENT Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: iTunesHelper
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossier(s) ==========
SUPPRIME Flash Cookies: 172
SUPPRIME Temporaires Windows: : 160

========== Fichier(s) ==========
ABSENT Folder/File: c:\programdata\reslogon.exe
SUPPRIME Flash Cookies: 75
SUPPRIME Temporaires Windows: : 595

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 54s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 07/02/2012 21:40:16 [1224]
VVoici le rapport Delfix

# DelFix v8.7 - Rapport créé le 07/02/2012 à 21:56:39
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Starter (32 bits)
# Nom d'utilisateur : Thalie - COPAINDETHALIE (Administrateur)
# Exécuté depuis : C:\Users\Thalie\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Thalie\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Thalie\Desktop\RKreport[1].txt
Supprimé : C:\Users\Thalie\Desktop\RKreport[2].txt
Supprimé : C:\Users\Thalie\Desktop\RogueKiller.exe
Supprimé : C:\Users\Thalie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Thalie\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Thalie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1175 octets] - [07/02/2012 21:56:39]

########## EOF - C:\DelFix[S1].txt - [1299 octets] ##########
J'ai fait tout ce que tu as demandé :)
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
ok normalement le pc est clean mais pour être sur qu'il ne soit pas planquer dans la restauration système il faudrait la purger et puis après tu créer un nouveau point comme cela tu saura que celui ci il est bon !!

Après une désinfection, il est nécessaire de supprimer les points de restauration car certains peuvent être infectés. Sous Windows 7, il est possible de les supprimer sans désactiver la restauration système.
*Cliquez sur le logo Windows en bas à gauche, faites un clic droit sur "Ordinateur" puis cliquez sur "Propriétés" :
*Cliquez ensuite sur "Protection du système" :
*Cliquez sur "Configurer" :
*Pour désactiver la restauration du système, cochez "Désactiver la protection du système" puis cliquez sur "Appliquer".
Si vous voulez simplement supprimer les points de restauration, cliquez sur "Supprimer" puis validez en cliquant sur "Oui" :
*Une confirmation est nécessaire et vous informe que les points de restaurations existants vont être supprimés sans possibilité de retour en arrière :
Pour réactiver la restauration système, il suffit de cocher "Restaurer les paramètres système et les versions précédents des fichiers" à la place de "Désactiver la protection du système" puis de validez avec "Appliquer".


Source : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/
Bonjour,
Oki, je fais ça dans la matinée, et je reviens vers toi.

Talhi
Je viens de redémarrer le pc, tout semble normal, pas de page bizarre intempestive.
J'ai donc fait tout ce que tu énumérais, j'ai installé le ccleaner et fait nettoyer.
Je peux encore te demander ton aide pour installer un bon antivirus (j'ai deux ados à la maison, le virus a été choppé sur un site de streaming, j'en suis à peu près certaine :) ?

Merci encore en tout cas pour ta disponibilité et ta patience :))

Talhi
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
bonjour, tu pourras mettre ton sujet en résolu au niveau de ton premier message https://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

consernant un bon anti-virus la tu as trend micro que tu as payer attent qu'il soit périmer pour le changer pas la peinne de jeter la'argent !! mais pour le désinstaller regarde ici se qu'il conseille
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#pc-cillin-de-trend-micro

après soit tu prends un payant ou gratuit en gratuit perso avast j'ai jamais tester la version payante mais elle dois pas être mauvaise
sinon kaspersky est bon !!
mais tu pourras toujours mettre se que tu veux comme protections si ils vont sur des sites à risque il finirons toujours par se faire plomber !!
Oki, le nettoyage des points de restau a été fait. J'ai également activé trend micro, je ne savais même pas qu'il y était (sûrement vendu avec le eeepc, mais valable juste 1 mois, lol !).
Ca me laisse le temps de chercher un antivirus gratuit :) Et interdits maintenant les sites de streaming et autres IMVU :)
Je vais mettre le post en résolu.
Me reste à te remercier infiniment pour ton aide ô combien précieuse, tu as ma reconnaissance éternelle... ^^
Bonne continuation
Talhi