Virus police Résolu/Fermé

Question

Bonsoir, 



Configuration: Windows Vista / Firefox 11.0

Voila il y a quelque minute de cela, un virus à bloquer mon pc me disant que la police bloqué mon pc. Bien sur je ne me laisse pas avoir et je redémarre mon pc en mode sans echec.

Je viens vers vous pour une aide.

Je vous remercie d'avance.

Cordialement

Utilisateur anonyme · Answer

Bonsoir

Dans ce mode sans echec;

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

Vi · Answer

Bonjour!

même situation... Quelqu'un peut nous aider tous les deux en même temps? ;-)

Merci beaucoup!

Utilisateur anonyme · Answer

Bonsoir Vi

Ouvre ton propre sujet;merci

@+

Liano · Answer

Merci pour ta réactivité et ton soutien

Voici le rapport

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Sébastien [Droits d'admin]
Mode: Recherche -- Date: 30/03/2012 21:06:19

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[BLACKLIST DLL] HKLM\[...]\RunOnce : Malwarebytes Anti-Malware (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543216L9A300 +++++
--- User ---
[MBR] d9c93b11ada226024bda31100fb052cb
[BSP] 355b30388ccd4d5670084b25b06c631a : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 71192 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166774784 | Size: 67584 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 305186816 | Size: 3609 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Utilisateur anonyme · Answer

Re

Poste moi ce rapport RKreport[1].txt
Merci

@+

Liano · Answer

Le voici

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Sébastien [Droits d'admin]
Mode: Recherche -- Date: 30/03/2012 20:49:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Sébastien\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2840891322-1844650421-2385173405-1000[...]\Run : cacaoweb ("C:\Users\Sébastien\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] cgs8h0.exe.lnk @Sébastien : C:\Windows\System32\rundll32.exe|C:\Users\SBASTI~1\AppData\Local\Temp\cgs8h0.exe -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543216L9A300 +++++
--- User ---
[MBR] d9c93b11ada226024bda31100fb052cb
[BSP] 355b30388ccd4d5670084b25b06c631a : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 71192 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166774784 | Size: 67584 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 305186816 | Size: 3609 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Utilisateur anonyme · Answer

Re

Procède de même avec le 2 et le 3 merci

@+

Liano · Answer

Voici le N°2

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Sébastien [Droits d'admin]
Mode: Suppression -- Date: 30/03/2012 20:50:28

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Sébastien\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] cgs8h0.exe.lnk @Sébastien : C:\Windows\System32\rundll32.exe|C:\Users\SBASTI~1\AppData\Local\Temp\cgs8h0.exe -> DELETED
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543216L9A300 +++++
--- User ---
[MBR] d9c93b11ada226024bda31100fb052cb
[BSP] 355b30388ccd4d5670084b25b06c631a : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 71192 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166774784 | Size: 67584 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 305186816 | Size: 3609 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

---------------------------------------------------------------------------------------------
Voici le N°3

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Sébastien [Droits d'admin]
Mode: Recherche -- Date: 30/03/2012 20:53:16

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543216L9A300 +++++
--- User ---
[MBR] d9c93b11ada226024bda31100fb052cb
[BSP] 355b30388ccd4d5670084b25b06c631a : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 71192 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166774784 | Size: 67584 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 305186816 | Size: 3609 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Utilisateur anonyme · Answer

Re

Ok;

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+

Liano · Answer

Lors de l'installe de malwarebytes, il me dit :

C:\Program Files\MalwareBytes'anti-malware\Chameleon\chameleon.chm
 Une erreur est survenue en essayant  de créer un fichier dans le dossier de destination:
Accés refusé

J'ai le choix d'abandonner , recommencer (ne marche pas) et ignorer

Liano · Answer

Voila le rapport de mawarebytes

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.30.08

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Sébastien :: PC_SEB_P [administrateur]

30/03/2012 21:31:58
mbam-log-2012-03-30 (21-31-58).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386271
Temps écoulé: 54 minute(s), 42 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Program Files\Vistumbler\manufmac.exe (Trojan.Agent.cn) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Desktop\RK_Quarantine\cacaoweb.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sébastien\Desktop\RK_Quarantine\cgs8h0.exe.vir (Trojan.Downloader.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

Re

Procède aux diverses mises à jour proposées;sinon cela se reproduira.

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


@+

Liano · Answer

Ok merci pour l'aide !

Sinon le Pc et nikel?

Liano · Answer

Voila j'ai effectué les mise à jour proposé par secunia !

Utilisateur anonyme · Answer

Re

Et bien si cela est vrai et vaut mieux.
Je te propose de clore ce post.

Mais avant.

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


3)Purge la restauration sur Vista.
Comment faire :

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

Liano · Answer

Voila le rapport de delfix

# DelFix v8.8 - Rapport créé le 30/03/2012 à 23:15:06
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Sébastien - PC_SEB_P (Administrateur)
# Exécuté depuis : C:\Users\Sébastien\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Users\Sébastien\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Sébastien\Desktop\sobrok.exe <-- Combofix
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\TDSSKiller.2.6.15.0_06.11.2011_16.02.58_log.txt
Supprimé : C:\Users\Sébastien\Desktop\adwcleaner0.exe
Supprimé : C:\Users\Sébastien\Desktop\RKreport[1].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[2].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[3].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[4].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[5].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[6].txt
Supprimé : C:\Users\Sébastien\Desktop\RKreport[7].txt
Supprimé : C:\Users\Sébastien\Desktop\RogueKiller.exe
Supprimé : C:\Users\Sébastien\Desktop	dsskiller.exe
Supprimé : C:\Users\Sébastien\Downloads\RogueKiller(1).exe
Supprimé : C:\Users\Sébastien\Downloads\RogueKiller.exe
Supprimé : C:\Users\Sébastien\Downloads\ToolsCleaner2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S2].txt - [1618 octets] - [30/03/2012 23:15:06]

########## EOF - C:\DelFix[S2].txt - [1742 octets] ##########

Utilisateur anonyme · Answer

Re

Si tu as fait le reste on clos ce post

@+

Liano · Answer

Voila j'ai tout fait !

Merci encore pour tout !

Je ferais secunia souvent maintenant pour vérifier mes MAJ.

Virus police

18 réponses

Discussions similaires

Newsletters