Virus Police-Gendarmerie nationale

Résolu/Fermé
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019
-
 marine89 -
Bonjour,

Je suis atteint, pour la seconde fois en l'espace de 2 mois, par le fameux virus Police-Gendarmerie nationale. Enfin plus exactement, la 1ère attaque c'était le FBI... La première fois, j'ai voulu me dépatouiller comme un grand en cherchant tout seul le moyen de m'en débarrasser : comme je trouvais les multiples explications de divers forums un peu compliquées (je n'avais certainement pas la patience), je me suis contenté de faire une restauration du système par une manip classique connue de tous... et je m'en suis tiré comme ça.
Par la suite, je reconnais avoir eu l'idiotie de ne pas protéger mon ordi conformément à ce qu'il m'avait été recommandé par un internaute. Aujourd'hui, me voilà donc de nouveau attaqué et bloqué. je devrais donc payer 100€ à je ne sais qui, sous prétexte que je serais un dangereux pédophile terroriste, afin de me sortir du pétrin.
J'ai donc essayé de restaurer à nouveau mon système : je me suis mis en mode sans échec mais, comme un abruti et sur un moment de fatigue et d'égarement, dans "Restauration du système", j'ai malencontreusement coché la case "Désactiver la restauration du système sur tous les lecteurs". Quand je me suis aperçu qu'en faisant cela, je m'empêchai toute restauration, alors j'ai voulu décocher. Or cette manip inverse est impossible en mode sans échec. Bien sûr, si je reviens en mode normal, je suis bloqué par "Police-Gendarmerie", donc impossibilité d'aller dans mes paramètres : c'est le serpent qui se mord la queue...
J'ai alors suivi les conseils de divers forums. J'ai installé Malwarebyte puis j'ai supprimé, en mode sans échec bien sûr, les virus trouvés, mais cette opération n'a pas eu pour effet de m'enlever ce virus à la c...
Un éminent spécialiste, du style kalimusic, pourrait-il voler à mon secours? car visiblement seule une intervention extérieure peut me tirer de ce mauvais pas. Visiblement, si j'ai bien compris, il faudrait que je poste certains rapports... Je me tiens prêt dès que l'un, ou l'une, d'entre vous sera assez patient(e) pour m'accorder un peu de son précieux temps.
Merci d'avance pour votre solidarité. Après, promis, je vais m'efforcer de mieux protéger mon ordi.
Cordialement



33 réponses

Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Salut,

Démarre en mode sans échec avec prise en charge réseau,

* Télécharge sur le bureau RogueKiller : ici

- Quitte tous les programmes en cours

- Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

- Sinon lance simplement RogueKiller.exe

- Lorsque demandé, clic sur Suppression et valide puis sur Racc. RAZ et valide.

- Clic sur Rapport et donne-le moi.

Les rapports sont aussi sur le bureau.

=)
merci beaucoup tu m'a fait économiser 70 euros et en tant qu'étudiants c une sacréé somme merci 1000 fois
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Telecharge et enregistre Pre_Scan sur ton bureau : :

ici

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://dl.dropbox.com/u/21363431/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://dl.dropbox.com/u/21363431/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne-moi le lien ;-)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Oups, problème. Impossible d'exécuter Roguekiller. je l'ai téléchargé en suivant ton lien puis en lexécutant le scan, il me dit, au lieu de m'afficher le rappaot, que Roguekiller n'a pu effectuer l'opération prévue et me propose un débobage (comme pour un plantage classique). J'ai renouvellé l'opération 2 fois en faisant bien gaffe d'avoir fermé tous les autres programmes mais sans succès. Le pb serait-il plus grave que prévu ?
Autre précision qui pourrait t'être utile, il m'est impossible de démarrer en mode sans échec avec prise en charge réseau. En effet, après avoir pressé F8 au redémarrage, mon ordi reboote dès que je choisis cette option. Donc, pour pouvoir accéder au mode sans échec, j'ai du choisir l'option avec Active Directory. Et là j'arrive effectivement en mode sans échec avec prise en charge réseau. Cela dit, ça m'a pas l'air très orthodoxe comme bidouillage. serait-ce cela qui m'empêche d'utiliser Roguekiller ou est-ce tout simplement le téléchargement qui est "de mauvaise qualité" ? Perso, comme je suis pas doué en informatique, toutes ces manip demeurent un mystère pour moi...
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Attends ! C'est bon, j'ai décoché une case dans Roguekiller et j'ai enfin réussi à scanner. Voici le rapport :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 04/03/2012 19:04:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 8 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 82 / Fail 0
Mes documents: Success 2 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 848 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped
[H:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored
[I:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored
[J:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored
[K:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Salut,

Peux-tu appuyer sur Suppression ? =)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Ben, j'avais appuyé sur suppression.
Je résume : j'ai exécuter Roguekiller hier. J'ai du décocher la case "Scan MBF" pour pouvoir scanner quelque chose (sinon ça bugue). Puis j'ai suivi la procédure que tu m'avais indiquée c'est à dire suppression et valide puis RAZ et valide.
En revanche, aujourd'hui j'ai pas moins de 6 rapports qui se sont affichés sur mon bureau (alors que j'ai quasiment pas fait d'ordi !).
Je te poste les rapports dans l'ordre chronologique où je les ai reçus. Encore merci pour ton aide.

Rapport 1 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Recherche -- Date: 04/03/2012 19:00:53

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 39 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : eqbtmd ("c:\documents and settings\mimouna\local settings\application data\eqbtmd.exe" eqbtmd) -> FOUND
[SUSP PATH] HKCU\[...]\Run : hwiirkt ("c:\documents and settings\mimouna\local settings\application data\hwiirkt.exe" hwiirkt) -> FOUND
[SUSP PATH] HKCU\[...]\Run : uddrrfh ("c:\documents and settings\mimouna\local settings\application data\uddrrfh.exe" uddrrfh) -> FOUND
[SUSP PATH] HKCU\[...]\Run : pvydh ("c:\documents and settings\mimouna\local settings\application data\pvydh.exe" pvydh) -> FOUND
[SUSP PATH] HKCU\[...]\Run : xgqac ("c:\documents and settings\mimouna\local settings\application data\xgqac.exe" xgqac) -> FOUND
[SUSP PATH] HKCU\[...]\Run : piqral ("c:\documents and settings\mimouna\local settings\application data\piqral.exe" piqral) -> FOUND
[SUSP PATH] HKCU\[...]\Run : ejadu ("c:\documents and settings\mimouna\local settings\application data\ejadu.exe" ejadu) -> FOUND
[SUSP PATH] HKCU\[...]\Run : ifhdgce ("c:\documents and settings\mimouna\local settings\application data\ifhdgce.exe" ifhdgce) -> FOUND
[SUSP PATH] HKCU\[...]\Run : ohipyz ("c:\documents and settings\mimouna\local settings\application data\ohipyz.exe" ohipyz) -> FOUND
[SUSP PATH] HKCU\[...]\Run : rvzvzfb ("c:\documents and settings\mimouna\local settings\application data\rvzvzfb.exe" rvzvzfb) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : eqbtmd ("c:\documents and settings\mimouna\local settings\application data\eqbtmd.exe" eqbtmd) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : hwiirkt ("c:\documents and settings\mimouna\local settings\application data\hwiirkt.exe" hwiirkt) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : uddrrfh ("c:\documents and settings\mimouna\local settings\application data\uddrrfh.exe" uddrrfh) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : pvydh ("c:\documents and settings\mimouna\local settings\application data\pvydh.exe" pvydh) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : xgqac ("c:\documents and settings\mimouna\local settings\application data\xgqac.exe" xgqac) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : piqral ("c:\documents and settings\mimouna\local settings\application data\piqral.exe" piqral) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : ejadu ("c:\documents and settings\mimouna\local settings\application data\ejadu.exe" ejadu) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : ifhdgce ("c:\documents and settings\mimouna\local settings\application data\ifhdgce.exe" ifhdgce) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : ohipyz ("c:\documents and settings\mimouna\local settings\application data\ohipyz.exe" ohipyz) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-314697439-3870757891-1583575956-1006[...]\Run : rvzvzfb ("c:\documents and settings\mimouna\local settings\application data\rvzvzfb.exe" rvzvzfb) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[1].txt >>
RKreport[1].txt

Rapport 2 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Suppression -- Date: 04/03/2012 19:02:03

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 29 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : eqbtmd ("c:\documents and settings\mimouna\local settings\application data\eqbtmd.exe" eqbtmd) -> DELETED
[SUSP PATH] HKCU\[...]\Run : hwiirkt ("c:\documents and settings\mimouna\local settings\application data\hwiirkt.exe" hwiirkt) -> DELETED
[SUSP PATH] HKCU\[...]\Run : uddrrfh ("c:\documents and settings\mimouna\local settings\application data\uddrrfh.exe" uddrrfh) -> DELETED
[SUSP PATH] HKCU\[...]\Run : pvydh ("c:\documents and settings\mimouna\local settings\application data\pvydh.exe" pvydh) -> DELETED
[SUSP PATH] HKCU\[...]\Run : xgqac ("c:\documents and settings\mimouna\local settings\application data\xgqac.exe" xgqac) -> DELETED
[SUSP PATH] HKCU\[...]\Run : piqral ("c:\documents and settings\mimouna\local settings\application data\piqral.exe" piqral) -> DELETED
[SUSP PATH] HKCU\[...]\Run : ejadu ("c:\documents and settings\mimouna\local settings\application data\ejadu.exe" ejadu) -> DELETED
[SUSP PATH] HKCU\[...]\Run : ifhdgce ("c:\documents and settings\mimouna\local settings\application data\ifhdgce.exe" ifhdgce) -> DELETED
[SUSP PATH] HKCU\[...]\Run : ohipyz ("c:\documents and settings\mimouna\local settings\application data\ohipyz.exe" ohipyz) -> DELETED
[SUSP PATH] HKCU\[...]\Run : rvzvzfb ("c:\documents and settings\mimouna\local settings\application data\rvzvzfb.exe" rvzvzfb) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Rapport 3 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Suppression -- Date: 04/03/2012 19:02:38

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt



Rapport 4 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 04/03/2012 19:04:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 8 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 82 / Fail 0
Mes documents: Success 2 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 848 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped
[H:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored
[I:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored
[J:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored
[K:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Rapport 5 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Recherche -- Date: 05/03/2012 18:34:45

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt



Rapport 6 :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: Suppression -- Date: 05/03/2012 18:34:59

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> NOT REMOVED, USE DNSFIX

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt



Bon courage !
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Salut,

Peux-tu le relancer en DNS RAZ ? =)
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Puis,

**Démarre l'ordinateur en mode sans échec avec prise en charge réseau

*Télécharge Ransomfix (merci à Xplode) : ici

*Lance-le. Il n'y a pas d'interface graphique : c'est normal :-)

Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )

*Donne-moi ce rapport ;-)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

D'abord, voici le rapport DNS RAZ :

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage :
Utilisateur: MIMOUNA [Droits d'admin]
Mode: DNS RAZ -- Date: 05/03/2012 19:52:11

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4CA20D68-1DB7-469E-BCA2-81E126B1FBE7} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5597F3D3-BC28-43DA-AAF5-C15071FA6001} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{5E6D4CB0-87D2-445A-B65D-B82F2A740CB1} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{DA3573D7-6C95-44EE-97AA-636A65C17A64} : NameServer (204.97.212.10) -> REPLACED ()
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EECD5D31-3BAF-40DD-81CE-523BB8761843} : NameServer (204.97.212.10) -> REPLACED ()

Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt



Puis le rapport RansomFix :

# RansomFix v1.0 - Xplode
# OS : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : MIMOUNA - MINA (Administrateur)

_____| Winlogon - Shell |_____

Value : Explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : C:\WINDOWS\explorer.exe [0xF2317622D29F9FF0F88AEECD5F60F0DD]
[OK]

_____| EOF |_____


Et c'est tout !
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Ok =)

*Télécharge et installe Malwarebyte's Anti-Malware : ici

-Met la base de définition à jour

-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )

A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.

Et poste-moi le rapport dans ta prochaine réponse :-)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

J'avais déjà effectué cette manip 2 fois hier (en supprimant à chaque fois les virus trouvés. En voici les rapports :

examen n°1 :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.04.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
MIMOUNA :: MINA [administrateur]

04/03/2012 10:26:33
mbam-log-2012-03-04 (10-26-33).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 300659
Temps écoulé: 41 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 5
HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\UAC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKLM\System\CurrentControlSet\Services\SKYNETipurkxpl (Rootkit.TDSS) -> Mis en quarantaine et supprimé avec succès.
HKLM\System\CurrentControlSet\Services\UACd.sys (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Données: -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Données: 8201 -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|net (Trojan.Agent) -> Données: "C:\WINDOWS\System32\net.net" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|net (Trojan.Agent) -> Données: "C:\WINDOWS\System32\net.net" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|17682184 (Trojan.SCTool.Gen) -> Données: C:\Documents and Settings\All Users\Application Data\17682184\17682184.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|97692176 (Trojan.SCTool.Gen) -> Données: C:\Documents and Settings\All Users\Application Data\97692176\97692176.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 4
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Mauvais: ("regedit.exe" "%1") Bon: (regedit.exe "%1") -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 1
C:\Program Files\podmena (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 8
C:\Documents and Settings\MIMOUNA\Mes documents\Téléchargements\SoftonicDownloader_pour_quick-media-converter-hd.exe (PUP.BundleOffer.Downloader.S) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Documents\BOULOT\uni\UninstallTool.exe (Adware.Seeearch) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\All Users\Documents\BOULOT\uni\unistallmoteurseeearch.exe (Adware.Seeearch) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\SKYNETdhaetjnt.dat (Rootkit.TDSS) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\UACirgtkdqxrtqjuom.dat (Rootkit.TDSS) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\zaponce53290.dat (Worm.Koobface) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\rbjcl.vbs (Trojan.StartPage) -> Mis en quarantaine et supprimé avec succès.

Examen n°2 :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.04.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
MIMOUNA :: MINA [administrateur]

04/03/2012 11:53:27
mbam-log-2012-03-04 (11-53-27).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 300488
Temps écoulé: 36 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\MIMOUNA\Mes documents\Téléchargements\SoftonicDownloader_pour_quick-media-converter-hd.exe (PUP.BundleOffer.Downloader.S) -> Mis en quarantaine et supprimé avec succès.

(fin)


Je confirme avoir tout supprimé. Aujord'hui, je ne suis pas allé sur le net sauf pour t'écrire. Je suppose qu'un nouveau scan n'est plus nécessaire. Si j'ai tort dis le moi et je te refais un sacan complet, merci.
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Tu dois faire un autre scan complet avec Malwarebytes car maintenant tu viens de passer deux outils de désinfection (roguekiller et ransomfix)

Et il faudrait pour être bien sûr un nouveau rapport complet de Malwarebytes =)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Voici le nouveau rapport complet :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.05.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
MIMOUNA :: MINA [administrateur]

05/03/2012 22:16:55
mbam-log-2012-03-05 (22-16-55).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 301145
Temps écoulé: 36 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Salut,

Ok démarre ton pc normalement pour voir ;-)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Déception ! Ce satané virus est toujours là !
Pourtant j'ai relu tout ce que tu m'avais écrit et j'ai fidèlement suivi ta procédure.
2 suggestions, si je puis me permettre, même si je n'y connais rien :

1) Est-ce que le fait qu'il me soit impossible de démarrer en mode sans échec directement, sinon mon ordi reboote, et que je sois obligé, pour ne pas aller sur le mode normal et me cogner le virus, de choisir l'option F8 - "Mode Restauration Active Directory (Contrôleurs de domaine Windows XP) afin d'accéder à mon bureau, ne fait pas foirer les tentatives d'élimination de cette saleté ?

2) Est-il normal que sur Roguekiller, je sois obligé de décoher la case "Scan MBF" afin de pouvoir effectuer un scan (si je laisse coché j'ai un message de plantage)

Je te dis cela pour,éventuellement, te donner quelques pistes. En effet le fait que la manip F8- mode sans échec ne marche plus, ça me parait bizarre car la première fois que j'avais eu ce virus (sous la forme FBI), je pouvais tranquillement faire cette manip....

Je suis désolé de prendre autant de ton temps, mais, crois-moi, je préfererais te laisser en paix !!!
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Oui ça doit être certainement ça mais on va passer par un live CD alors : http://www.chantal11.com/2011/09/dr-web-livecd/ et tu dois faire un scan complet =)

Bonne chance =)
Utilisateur anonyme
hello t'aurais du tester pre_scan avant ....
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
oui mais je n'ai pas directement pensé à PRE_Scan, j'ai pensé à dr.web et oltpe mais c'est une erreur que je ne ferrai plus =)

Merci :-)
De toute façon, j'ai essayé Dr Web et j'ai fait tout ce que la notice indiquait et il s'avère que le CD sur lequel j'ai copié Dr Web reste bloqué sur la page de présentation Dr Web où il y a inscrit "Preparing the live CD environment... Press Alt+F1 for verbose mode". Ca prépare, ça prépare mais ça reste bloqué. je pensais que c'était du à une mauvaise gravure mais j'ai retenté sur un autre CD et ce n'est pas du à ça.

Donc, pour en reprendre à ce que tu viens de me dire, il me faut PRE-Scan... et Kesaco PRE-Scan ??? Bon en attendant ta réponse je vais chercher sur le net un logiciel qui aurait ce nom-là. Merci g3n-h@ckm@n pour ton intervention et merci dr.pc1 pour ton aide. L'erreur est humaine, c'est pas moi qui peut te blâmer....
Utilisateur anonyme
le cherche pas sur le net :

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Youpiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii ! je suis revenu sur mon bureau normal ! Merci les gars ! Je n'ai eu aucun blocage : j'ai lancé préscan puis je suis parti m'occuper de ma petite famille. quand je suis revenu, l'ordi avait redémarré en mode normal. Joie !

Je vous poste immédiatement le rapport là où c'est convenu et je vous donne le lien obtenu. A de suite
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Bien joué G3n ;-)

La prochaine fois je l'utilise directement =)
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

Lien pour visualiser le fichier :

https://pjjoint.malekal.com/files.php?id=20120307_m14q13v9h9o6

Merci pour tout. Je vais maintenant songer à protéger mon ordi... J'ai vu qu'il y a vait des conseils à ce sujet sur malekal's

Merci merci

attends c est pas fini il reste plein de trucs
Messages postés
4607
Date d'inscription
mercredi 20 juillet 2011
Statut
Contributeur
Dernière intervention
7 janvier 2021
1 029
Tu continue ou je continue la désinfection ? :D
Messages postés
39
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
13 mars 2019

OK c'est pas fini... je m'en doutais un peu à vrai mais j'étais déjà content de ne plus avoir cette page bloquante sur mon bureau.
J'attends donc les instructions. Quelle est la prochaine étape ?

Internet Explorer : 6.0.2900.5512

installe Internet explorer 8

======================

desinstalle adobe reader 9
desinstalle Ask.com

======================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\System32\Drivers\CO_Mon.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

=========================

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"nwiz"=-
"QuickTime Task"=-
"WinampAgent"=-
"yeouqiy"=-
"eggkq"=-
"ApnUpdater"=-
""=-
[HKU\S-1-5-21-314697439-3870757891-1583575956-1006\Software\Microsoft\Windows\CurrentVersion\Run]
"RegDokFRT"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\eqbtmd]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gquue]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gukimsa]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\icawm]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iokomya]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iwesi]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox Browser]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spyware Doctor]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vckyyhof]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wmuyksa]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yeouqiy]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A00000000001}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A70800000002}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A81200000003}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A81200000003}_Adobe Reader 8.1.2 - Français]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A91000000001}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A93000000001}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A94000000001}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A95000000001}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{56336BCB-3D8A-11D6-A00B-0050DA18DE71}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ApnToolbarInstaller.exe]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKCU\Software\APN]
[-HKCU\Software\Ask.com]
[-HKCU\Software\AskToolbar]
[-HKCU\Software\Official-eMule]
[-HKCU\Software\PriceGong]
[-HKCU\Software\Prodiff]
[-HKCU\Software\StartSearch]
[-HKCU\Software\vShare.tv]
[-HKLM\Software\17682184]
[-HKLM\Software\APN]
[-HKLM\Software\AskToolbar]
[-HKLM\Software\Official-eMule]


file::
c:\windows\system32\yeouqiy.exe
c:\windows\system32\eggkq.exe
C:\Program Files\QuickMediaConverter\ApnToolbarInstaller.exe
C:\WINDOWS\assembly\tmp\QRC52J09
C:\WINDOWS\_99A6B5B.TTF
C:\Documents and Settings\All Users\Application Data\97692176.ini
C:\Documents and Settings\All Users\Application Data\addr_file.html

folder::
C:\Program Files\RegistryDoktor 4.1
C:\Program Files\Ask.com
C:\Documents and Settings\MIMOUNA\Application Data\Mozilla\Firefox\Profiles\0ctzvesu.default\extensions\toolbar@ask.com
C:\Documents and Settings\MIMOUNA\Application Data\Mozilla\Firefox\Profiles\0ctzvesu.default\extensions\vshare@toolbar
C:\Documents and Settings\MIMOUNA\Application Data\Mozilla\Firefox\Profiles\0ctzvesu.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
C:\Documents and Settings\MIMOUNA\Application Data\Mozilla\Firefox\Profiles\0ctzvesu.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}(2)
C:\Documents and Settings\MIMOUNA\Menu Démarrer\Programmes\System Security
C:\Documents and Settings\MIMOUNA\Application Data\PriceGong
C:\Documents and Settings\MIMOUNA\Application Data\_dlytmp
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\MIMOUNA\Local Settings\Application Data\AskToolbar
C:\Documents and Settings\MIMOUNA\Local Settings\Application Data\Conduit
C:\Program Files\Conduit
C:\Program Files\Spyware Doctor

Mbr::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail