Site web de la GRC ! Virus

Résolu
Babyjew18 -  
 Dany -
BonJour ,

J ai un virus sur mon ordi semble t il il y a une page qui s ouvre disant que je dois payer 100$ pour pouvoir ré utiliser mon ordi normalement! Je clique sur ouvrir le navigateur et je vois Google mais je ne peux pas cliquer sur le X en haut de la page il en a pas et même quand je fais escape rien de ne passe ! Pouvez vous m aider ?

Merci

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème rencontré : une infection affiche une page bloquante demandant 100$ pour réutiliser l’ordinateur, empêchant la fermeture de l’onglet et rendant le navigateur totalement inopérant.
Plusieurs solutions sont proposées, notamment lancer RogueKiller pour éliminer les processus malveillants, puis exécuter Malwarebytes Anti-Malware en analyse complète et, le cas échéant, répéter l’opération et consulter les rapports pour guider les actions suivantes.
D'autres outils comme ZHPFix, ADWCleaner et ZHPDiag ont été suggérés pour nettoyer le registre et les dossiers suspects, puis redémarrer et analyser les rapports afin d'évaluer l’état d'infection.
En cas de doute, vérifier les mises à jour des outils et poursuivre les analyses, car l’ensemble du processus peut durer plusieurs heures et l’objectif est d’éliminer complètement l’infection sans payer.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    * Laisse le prescan se terminer, clique sur Scan
    * Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

    @+

    3
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Relance RogueKiller puis choisis "suppression" et poste le rapport, ensuite tu vas suivre ces procédures :

    /!\ ATTENTION : cette analyse peut durer quelques heures /!\

    * Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    * Lance Malwarebytes' Anti-Malware
    * Fais la mise à jour
    * Clique dans l'onglet "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    *Vérifie que toutes les lignes sont cochées
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

    * Copie/colle le rapport dans le prochain message

    Remarque :
    - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

    @+

    1
  3. Babyjew18
     
    Je vous ai écrit à partir de non téléphone car je n ai Qu accès à la
    Page web lorsque je veux aller sur le
    Bureau la page réapparais !

    Y a t il une autre solution !
    0
  4. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Tu relances RogueKiller en mode sans échec avec prise en charge du réseau comme suit :

    Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
    Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
    puis tape entrée.
    Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
    (Si F8 ne marche pas utilise la touche F5)

    @+

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. babyjew18 Messages postés 374 Statut Membre 1
     
    RogueKiller V7.3.2 [20/03/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Utilisateur [Droits d'admin]
    Mode: Recherche -- Date: 05/04/2012 10:35:35

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : WeatherEye (C:\Users\Utilisateur\AppData\Local\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-2674631760-2975186273-2128908178-1000[...]\Run : WeatherEye (C:\Users\Utilisateur\AppData\Local\MétéoMédia\MétéoÉclair\WeatherEye.exe) -> FOUND
    [SUSP PATH] ch8l0.exe.lnk @Utilisateur : C:\Windows\System32\rundll32.exe|C:\Users\UTILIS~1\AppData\Local\Temp\ch8l0.exe -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: TOSHIBA MK6465GSXN +++++
    --- User ---
    [MBR] d6806debd74867b8f9afad43cdfa38c6
    [BSP] e05a7fcf01975b35ae954c6c88e73409 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11116 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22767616 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 22972416 | Size: 599262 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Si possible me répondre dans les plus bref délai car si il y a rien a faire pour arranger ca je devrai aller le porter chez un spécialiste !
    0
  7. babyjew18 Messages postés 374 Statut Membre 1
     
    D'accord je fais la suppression et je post le rapport après ! Au fait, est ce qu'il y avait quelque chose d.etrange dans le rapport de Rogue Killer ?
    0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Oui, il y'a des infections qui vont être supprimées en choisissant l'options "Suppression" de RogueKiller, mais fais attention juste après tu lances Malwarebytes comme déjà expliqué :-)

    @+
    0
  9. Babyjew18
     
    J ai fais de que vous m avez dit et mon ordi ne s allumé plus !
    0
  10. babyjew18 Messages postés 374 Statut Membre 1
     
    Ok finalement je crois que l'ordi c'est fermer seul. je l'ai réouvert et j'ai vu qu'il y avait un fichier RK_Quarantine donc il me semble que la suppression c'est fais quand meme donc la j'ai parti un scan de malware et j'attends les résultats.
    0
  11. babyjew18 Messages postés 374 Statut Membre 1
     
    Voila le rapport de Malwares

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.04.05.05

    Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    Utilisateur :: UTILISATEURSONY [administrateur]

    2012-04-05 12:58:31
    mbam-log-2012-04-05 (12-58-31).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 320341
    Temps écoulé: 30 minute(s), 1 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Users\Utilisateur\AppData\Local\Temp\ch8l0.exe (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Utilisateur\Desktop\RK_Quarantine\ch8l0.exe.vir (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
    1. babyjew18 Messages postés 374 Statut Membre 1
       
      P.S ( Est- ce que je dois supprimer les fichier dans la quarantaine de Malwares ?Le logiciel et la quarantaine de rogue est ce que je dois supprimer ca aussi ?
      0
  12. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Tu peux vider la quarantaine de Malwarebytes

    ===================================

    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    https://www.terafiles.net/
    https://www.casimages.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    Rends toi sur pjjoint.malekal.com
    * Clique sur le bouton Parcourir
    * Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    * Clique sur le bouton Envoyer
    * Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    * Copie le lien dans ta prochaine réponse.

    @+
    0
  13. babyjew18 Messages postés 374 Statut Membre 1
     
    Parfait ! Je continue ca demain je dois aller travailler ! Pour l'instant mon PC est fonctionnelle mais demain je continue le diagnostique !

    A demain :)
    0
  14. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Bon travail :-)

    A demain

    0
  15. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,
    1/
    Télécharge AdwCleaner (merci à Xplode)
    Lance AdwCleaner
    Clique sur le bouton [ Suppression ]
    Patiente...
    Poste le rapport qui apparait en fin de recherche.
    (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

    2/
    Désinstalle :

    O42 - Logiciel: Java 6 Update 22 (64-bit)
    O42 - Logiciel: Java 6 Update 22 - (.Oracle.)

    Ensuite télécharge et installe la dernière version de Java à partir ce lien : https://www.java.com/fr/download/

    @+
    0
  16. babyjew18 Messages postés 374 Statut Membre 1
     
    # AdwCleaner v1.504 - Rapport créé le 06/04/2012 à 15:26:01
    # Mis à jour le 01/04/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Utilisateur - UTILISATEURSONY
    # Exécuté depuis : C:\Users\Utilisateur\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\ProgramData\Babylon
    Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Babylon
    Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\Conduit
    Fichier Supprimé : C:\Windows\system32\conduitEngine.tmp

    ***** [H. Navipromo] *****

    ***** [Registre] *****

    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2500339
    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3031774
    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3074349
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\SOFTWARE\Babylon
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    ***** [Registre (x64)] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [1674 octets] - [06/04/2012 15:26:01]

    ########## EOF - C:\AdwCleaner[S1].txt - [1802 octets] ##########
    0
  17. babyjew18 Messages postés 374 Statut Membre 1
     
    Lorsque j'ai retelecharger java mon logiciel d'antivirus ma dit que c'etais un risque éléve d'infection et de le supprimer immédiatement !!! Je fais quoi ?

    C'est ecrit Exploit: Java/Blacole.ET

    ???
    0
  18. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Tu désactive momentanément ton antivirus puis tu installes la dernière version de java

    @+
    0
  19. babyjew18 Messages postés 374 Statut Membre 1
     
    D'accord tout est fait ! Est-ce qu'il me reste des étapes à faire ?

    Puis-je me débarasser de ZHPdiag et MBRcheck ainsi que des rapports ?

    Merci :)
    0
  20. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Puis-je me débarasser de ZHPdiag et MBRcheck ainsi que des rapports ? 

    On va s'occuper de tous, il nous reste quelques étapes à faire

    avant de finaliser :-)

    ===========================

    Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

    @+
    0
    1. Dany
       
      Bonjour,
      Je dois faire des tests sur le virus causant ce problème afin de sécuriser les appareils android de mes clients. Afin de tester ce qui peut empêcher l'installation, avant l'infectio, je dois télécharger cette vermine sur un appareil sans danger.

      Merci de m'indiquer où je peux télécharger le contaminant!
      0
  • 1
  • 2
  • 3