Virus Activite illicite demelee
octopus
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
j'ai le probleme avec le virus "activite illicite demelee" qui bloque mon ordinateur.
j'ai suivi sur le forum les démarches à effectuer mais là je n'arrive plus à avancer seule, je ne sais pas comment faire.
j'ai démarrer l'ordi en mode sans échec avec prise en charge reseau, et puis j'ai installé et lancé RogueKiller. J'ai effectuer le scan et voici le rapport.
S'il vous plait pouvez vous me guider pour nettoyer mon ordi?
En vous remerciant par avance.
RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Julijana [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 10/03/2012 20:34:30
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 86 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 10 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 119 / Fail 0
Mes documents: Success 3 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 8 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 273 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom3 -- 0x5 --> Skipped
[I:] \Device\HarddiskVolume7 -- 0x3 --> Restored
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
j'ai le probleme avec le virus "activite illicite demelee" qui bloque mon ordinateur.
j'ai suivi sur le forum les démarches à effectuer mais là je n'arrive plus à avancer seule, je ne sais pas comment faire.
j'ai démarrer l'ordi en mode sans échec avec prise en charge reseau, et puis j'ai installé et lancé RogueKiller. J'ai effectuer le scan et voici le rapport.
S'il vous plait pouvez vous me guider pour nettoyer mon ordi?
En vous remerciant par avance.
RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Julijana [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 10/03/2012 20:34:30
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 86 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 10 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 119 / Fail 0
Mes documents: Success 3 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 8 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 273 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom3 -- 0x5 --> Skipped
[I:] \Device\HarddiskVolume7 -- 0x3 --> Restored
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
A voir également:
- Virus Activite illicite demelee
- Activité instagram - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Indicateur d'activité snapchat - Forum Snapchat
- Faux message virus iphone ✓ - Forum Virus
13 réponses
bonsoir,
* télécharge ce programme Ransomfix (merci à Xplode)
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
* copie, colle le dans ta prochaine réponse.
* télécharge ce programme Ransomfix (merci à Xplode)
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
* copie, colle le dans ta prochaine réponse.
Re-bonjour!
Merci de ta réponse mais cela ne marche pas. J'ai téléchargé Ransomfix et j'ai essayé de l'exécuter sur mon ordi infecté dans le mode sans échec avec prise en charge réseau. Rien ne se passe, Ransomfix ne se lance même pas.
Par contre un fenêtre est en permanence affiché sur le bureau (en mode sans échec) : "Adobe EPIC_APP cannot be launched at this time. You must launch at least one other suite component (such as Adobe Photoshop) before launching EPIC_APP." Il n'est pas possible de fermer ce fenêtre en appuyant sur "ok".
S'il te plait aides moi si tu as d'autres idées!
Merci!
P.S. J'ai Symantec Endpoint Protection qui est à jour! et quand le virus a bloqué mon ordi j'avais que mon mailbox ouvert!
Merci de ta réponse mais cela ne marche pas. J'ai téléchargé Ransomfix et j'ai essayé de l'exécuter sur mon ordi infecté dans le mode sans échec avec prise en charge réseau. Rien ne se passe, Ransomfix ne se lance même pas.
Par contre un fenêtre est en permanence affiché sur le bureau (en mode sans échec) : "Adobe EPIC_APP cannot be launched at this time. You must launch at least one other suite component (such as Adobe Photoshop) before launching EPIC_APP." Il n'est pas possible de fermer ce fenêtre en appuyant sur "ok".
S'il te plait aides moi si tu as d'autres idées!
Merci!
P.S. J'ai Symantec Endpoint Protection qui est à jour! et quand le virus a bloqué mon ordi j'avais que mon mailbox ouvert!
bonjour,
Edit :
relance Roguekiller, clique sur Supprimer, poste son rapport !
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Edit :
relance Roguekiller, clique sur Supprimer, poste son rapport !
O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
J'ai déjà essayé cela mais ca ne marche pas. D'après ce que j'ai pu comprendre sur le site de http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/ je dois avoir une autre variété de ce virus (qui a évolué depuis peu). J'ai essayé également la désinfection avec l'invite de commande (shell --> effacer "explorer.exe" et remplacer par le même) mais cela ne marche pas non plus...
S'il te plait si tu as d'autres idées?
Je ne trouve plus rien sur le site de malekal...
Je te remercie
S'il te plait si tu as d'autres idées?
Je ne trouve plus rien sur le site de malekal...
Je te remercie
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport de RogueKiller après avoir choisi l'option "suppression" :
RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Julijana [Droits d'admin]
Mode: Suppression -- Date: 11/03/2012 10:43:11
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Julijana\LOCALS~1\Temp\msiunxpgr.exe) -> DELETED
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEVT-22ZCT0 +++++
--- User ---
[MBR] 2e32aa42c49177b8d1714dda7b711dc3
[BSP] 8bd87eb09b4b860a5c695a52f19407ea : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 23552 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 48236544 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 48441344 | Size: 152014 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 359766016 | Size: 129577 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 070A USB Device +++++
--- User ---
[MBR] 840dace8a33070779aca340f08992cb9
[BSP] b5f8a713a58bdb128c55d19453733267 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 609803 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Julijana [Droits d'admin]
Mode: Suppression -- Date: 11/03/2012 10:43:11
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Julijana\LOCALS~1\Temp\msiunxpgr.exe) -> DELETED
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEVT-22ZCT0 +++++
--- User ---
[MBR] 2e32aa42c49177b8d1714dda7b711dc3
[BSP] 8bd87eb09b4b860a5c695a52f19407ea : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 23552 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 48236544 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 48441344 | Size: 152014 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 359766016 | Size: 129577 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WD My Passport 070A USB Device +++++
--- User ---
[MBR] 840dace8a33070779aca340f08992cb9
[BSP] b5f8a713a58bdb128c55d19453733267 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 609803 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
super,
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/
ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/
ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/
tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Merci!
J'ai effectué les démarches qui tu m'as proposé.
Voici l lien de rapport ZPHdiag :
http://cjoint.com/?3Clm1lbzdsk
Merci, j'attends ta reponse!
J'ai effectué les démarches qui tu m'as proposé.
Voici l lien de rapport ZPHdiag :
http://cjoint.com/?3Clm1lbzdsk
Merci, j'attends ta reponse!
ok, à l'avenir, évite d'installer des barres d'outils, lis bien ce qui s'affiche à l'ecran, avant d'installer un logiciel gratuit !
décoche la cas s'on te propose d'installer une barre d'outil !
? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
Lance le,
clique sur Supprimer et poste son rapport.
décoche la cas s'on te propose d'installer une barre d'outil !
? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
Lance le,
clique sur Supprimer et poste son rapport.
J'ai effectué la suppression avec Adw. A la fin le fenêtre avec le message suivant s'est affiché "Adw doit redémarrer l'ordinateur afin de finaliser le processus de suppression. Le rapport de suppression s'ouvrira au prochain redémarrage." L'ordi c'est redémarré mais en mode normale et de nouveau donc au lieu de rapport il y a toute de suite le fenêtre "Activite illicite demelee" qui s'affiche. Du coup je ne peut pas accéder au rapport de Adw puisque l'ordi est bloqué en mode normal.
Merci de voir s'il y a une autre solution!
Merci de voir s'il y a une autre solution!
J'ai essayé également l'analyse complète avec Malwarebytes et c'est la même chose. AU redémarrage qui est nécessaire pour supprimer les virus il bloque de nouveau tout. Voici le rapport de Malwarebytes si cela peut t'aider :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.11.07
Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Julijana :: JULIJANA-PC [administrateur]
11/03/2012 12:25:13
mbam-log-2012-03-11 (12-25-13).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 443561
Temps écoulé: 51 minute(s), 5 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|52315 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msuixaipu.pif -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Julijana\Desktop\docs famil\jonathan\Everest Poker.exe (PUP.Casino) -> Aucune action effectuée.
C:\ProgramData\Local Settings\Temp\msuixaipu.pif (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.11.07
Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Julijana :: JULIJANA-PC [administrateur]
11/03/2012 12:25:13
mbam-log-2012-03-11 (12-25-13).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 443561
Temps écoulé: 51 minute(s), 5 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|52315 (Trojan.Agent) -> Données: C:\PROGRA~2\LOCALS~1\Temp\msuixaipu.pif -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Julijana\Desktop\docs famil\jonathan\Everest Poker.exe (PUP.Casino) -> Aucune action effectuée.
C:\ProgramData\Local Settings\Temp\msuixaipu.pif (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
il faut modifier la valeur de la clé Shell dans le registre,
aide toi de cette page, tout est exlpiqué là dessus :
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
aide toi de cette page, tout est exlpiqué là dessus :
https://www.malekal.com/trojan-winlock-tropan-ransomware-virus-police-suite/
J'ai déjà essayé cette procédure de désinfection avec invite de commandes en mode sans échec :
Tapez regedit afin d'ouvrir l'éditeur du registre
Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, chercher Shell, vous devez avoir explorer.exe
Double-cliquer sur la valeur Shell, effacer explorer.exe et retaper explorer.exe (oui il faut remettre la même chose)
Valider par OK et fermer l'éditeur du registre
Sur la fenêtre noire cmd.exe : Saisir la commande : shutdown /r pour que l'ordinateur redémarre
Malheuresement, au redémarrage de l'ordinateur je n'arrive tjs pas à récupérer mon système. Tjs le même fenêtre qui apparait....Merci de ton aide en tous cas!
Tapez regedit afin d'ouvrir l'éditeur du registre
Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, chercher Shell, vous devez avoir explorer.exe
Double-cliquer sur la valeur Shell, effacer explorer.exe et retaper explorer.exe (oui il faut remettre la même chose)
Valider par OK et fermer l'éditeur du registre
Sur la fenêtre noire cmd.exe : Saisir la commande : shutdown /r pour que l'ordinateur redémarre
Malheuresement, au redémarrage de l'ordinateur je n'arrive tjs pas à récupérer mon système. Tjs le même fenêtre qui apparait....Merci de ton aide en tous cas!
regare voir si tu trouve le fichier explorer.exe,
fais le passer sur le site de virus total !
https://www.virustotal.com/gui/
il se peut que le fichier soit patché !
fais le passer sur le site de virus total !
https://www.virustotal.com/gui/
il se peut que le fichier soit patché !
