Prob Virus federal computer crime unit
Résolu
Tinou
-
jemis Messages postés 3 Statut Membre -
jemis Messages postés 3 Statut Membre -
Bonjour,
Snifff, mon ordi portable a chopé un gros caca.
federal computer crime unit
Je n'ai plus accès à mon bureau. Ni à quoi que ce soit.
Qqu peut il me consacrer un peu de temps.
Je ne suis pas tres douée ...
MERCI d'avance
Snifff, mon ordi portable a chopé un gros caca.
federal computer crime unit
Je n'ai plus accès à mon bureau. Ni à quoi que ce soit.
Qqu peut il me consacrer un peu de temps.
Je ne suis pas tres douée ...
MERCI d'avance
A voir également:
- Prob Virus federal computer crime unit
- Virus mcafee - Accueil - Piratage
- Comment détruire un virus informatique - Guide
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
- Powershell.exe virus - Guide
- Filezilla virus ✓ - Forum Virus
19 réponses
Résumé de la discussion
La discussion porte sur une infection de type ransomware qui bloque l’accès au bureau et affiche des messages d’agences fédérales, avec des systèmes Windows Vista et XP touchés. Plusieurs solutions techniques ont été proposées, notamment démarrer en mode sans échec, exécuter RogueKiller et nettoyer les entrées de registre, puis tenter un scan avec Malwarebytes. D’autres réponses recommandent des approches plus poussées, comme booter depuis une clé Windows Defender Offline, dépanner le disque sur un autre PC et supprimer manuellement les fichiers malveillants avant de réinstaller le système. En complément, des témoignages évoquent la restauration du système comme option, et des retours sur l’efficacité de ces méthodes varient selon les cas et les environnements.
Salut,
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur: Tinou [Droits d'admin]
Mode: Suppression -- Date: 30/04/2012 23:11:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : autoupdater (C:\Users\Tinou\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe -runonce) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HM320II ATA Device +++++
--- User ---
[MBR] f9d96878b372e6cc169dd48eb9c58a13
[BSP] d68c8b56f6ba55dcc66131df7efd0be9 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 291136 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596656128 | Size: 13908 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Sony Storage Media USB Device +++++
--- User ---
[MBR] c60ce88b0658a93ab5843c60506b5db5
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7695 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec
Utilisateur: Tinou [Droits d'admin]
Mode: Suppression -- Date: 30/04/2012 23:11:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : Update (C:\Users\Tinou\AppData\Roaming\hnszs0.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : autoupdater (C:\Users\Tinou\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe -runonce) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HM320II ATA Device +++++
--- User ---
[MBR] f9d96878b372e6cc169dd48eb9c58a13
[BSP] d68c8b56f6ba55dcc66131df7efd0be9 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 291136 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 596656128 | Size: 13908 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: Sony Storage Media USB Device +++++
--- User ---
[MBR] c60ce88b0658a93ab5843c60506b5db5
[BSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 7695 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Un énorme merci, j'ai vraiment eu peur quand j'ai eu ce virus, par chance je me suis souvenu que mon frère avait eu ce virus mais lui avait payer 50 euros à un informaticien.. Heureusement, je me suis connecté avec mon gsm pour trouver une solution moi même et j'ai touvé ma réponse ici.. Et c'est un vrai soulagement, c'est tellement rapide et soulageant pour le moral ! Encore un énorme merci, c'est génial :) !
Solution alternative que je viens de tester, alors que comme dans un cas cité, même en mode sans échec, l'écran se figeait avec l'écran "federal computer crime unit..." où j'étais complètement bloqué, dans l'impossibilté de télécharger ou de faire fonctionner quoi que ce soit. Il restait peut-être la solution de booter avec une clé usb chargée de "windows defender offline" que je n'ai pas su tester car sous xp, il faut être sous sp3 (alors que j'étais sous sp 2...). Solution expliquée dans la fiche informative en pdf de la vraie Federal Computer Crime Unit - http://www.rtbf.be/info/medias/detail_comment-reagir-si-votre-ordinateurs-est-bloque-par-un-ransomeware?id=7874531
Ce que j'ai fait, c'est démonter physiquement mon disque dur, et je l'ai branché sur un autre pc dans un boîtier de disque dur externe. L'exécutable du ransomware se trouvait simplement sur le bureau du "user x" et s'appelait "wgsdgsdgdsgsd.exe", et je l'ai supprimé avec "FileAssassin" inclus dans les "Autres Outils" de Malwrebytes version gratuite.
J'ai ensuite rebranché mon disque dur dans sa tour d'origine, et Windows s'est chargé normalement, avec seulement un message d'erreur qui disait "wgsdgsdgdsgsd.exe" introuvable. J'ai scanné avec Malwarebytes qui m'a détecté le cheval de troie, et qui l'a éradiqué. Après redémarrage, tout va bien...
Une demi-heure en tout et pour tout pour cette solution... Bonne chance.
Ce que j'ai fait, c'est démonter physiquement mon disque dur, et je l'ai branché sur un autre pc dans un boîtier de disque dur externe. L'exécutable du ransomware se trouvait simplement sur le bureau du "user x" et s'appelait "wgsdgsdgdsgsd.exe", et je l'ai supprimé avec "FileAssassin" inclus dans les "Autres Outils" de Malwrebytes version gratuite.
J'ai ensuite rebranché mon disque dur dans sa tour d'origine, et Windows s'est chargé normalement, avec seulement un message d'erreur qui disait "wgsdgsdgdsgsd.exe" introuvable. J'ai scanné avec Malwarebytes qui m'a détecté le cheval de troie, et qui l'a éradiqué. Après redémarrage, tout va bien...
Une demi-heure en tout et pour tout pour cette solution... Bonne chance.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK redémarre en mode normal, ça doit rouler.
Fais un scan OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Fais un scan OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Bcp de programmes pourris.
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
A désinstaller :
Babylon Toolbar
Complitly
Conduit Engine
DVDVideoSoftTB Toolbar
Fun4IM
Imesh Toolbar / DataMngr
Is Cool
Searchqu Toolbar
searchweb
Softonic_France Toolbar
Wincore Mediabar
Zynga Toolbar
A virer de Firefox aussi : Menu Outils / Modules Complémentaires et Extension
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
Pour le virus gendarmerie :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
A désinstaller :
Babylon Toolbar
Complitly
Conduit Engine
DVDVideoSoftTB Toolbar
Fun4IM
Imesh Toolbar / DataMngr
Is Cool
Searchqu Toolbar
searchweb
Softonic_France Toolbar
Wincore Mediabar
Zynga Toolbar
A virer de Firefox aussi : Menu Outils / Modules Complémentaires et Extension
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
Pour le virus gendarmerie :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
wawwwwwwwwwwww merci je fais tout ca si j'arrive encore ce soir.
D'avance je te dis un grand merciiiiiiiiiiii
;-x
D'avance je te dis un grand merciiiiiiiiiiii
;-x
Bonjour,
Je n'arrive pas à redémarrer sans échec. Seul le mode "redémarrer normalement" fonctionne.
Avec le mode sans échec, il revient toujours à l'écran de démarrage que j'ai eu en appuyant sur F8 mais ne va pas plus loin.
Comment puis-je faire?
Un tout tout grand merci.
Je n'arrive pas à redémarrer sans échec. Seul le mode "redémarrer normalement" fonctionne.
Avec le mode sans échec, il revient toujours à l'écran de démarrage que j'ai eu en appuyant sur F8 mais ne va pas plus loin.
Comment puis-je faire?
Un tout tout grand merci.
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : vincent [Droits d'admin]
Mode : Suppression -- Date : 05/09/2012 14:15:24
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HM320JI ATA Device +++++
--- User ---
[MBR] 765d210a38f6902d82259832409491b4
[BSP] f45042a809ca64a17bf4598438dc635f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : vincent [Droits d'admin]
Mode : Suppression -- Date : 05/09/2012 14:15:24
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: SAMSUNG HM320JI ATA Device +++++
--- User ---
[MBR] 765d210a38f6902d82259832409491b4
[BSP] f45042a809ca64a17bf4598438dc635f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Personnellement je viens d'avoir le problème et j'ai redémarré en mode sans échec pour faire une restauration du système. A priori cela fonctionne...
1000 mercis!
RogueKiller V8.2.1 [29/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : nous [Droits d'admin]
Mode : Recherche -- Date : 31/10/2012 01:21:24
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 8 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @nous : C:\ProgramData\lsass.exe -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[MBR] 905da99ead7fb7747d97c78a90b4bc2f
[BSP] 096583157c3a7940e3cbb822bd586966 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V8.2.1 [29/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : nous [Droits d'admin]
Mode : Recherche -- Date : 31/10/2012 01:21:24
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 8 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (\??\C:\Program Files\CyberLink\PlayMovie\000.fcl) -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @nous : C:\ProgramData\lsass.exe -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[MBR] 905da99ead7fb7747d97c78a90b4bc2f
[BSP] 096583157c3a7940e3cbb822bd586966 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 226182 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Bonjour,
Je vais essayer ta méthode avec Malwarebytes, mais j'aimerais savoir comment se nomme le fichier qui infecte le PC, car tant Roguekiller que OTL, n'ont rien changé, dès que je rédemarre la session admin, avast détecte le virus et écran "virus", je ne sais pas démarrer en mode sans échec.
Une restauration n'est pas possible non plus vu que session invité de la où je vous parle.
Je ne vois qu'un moyen, essayer de repérer le fichier via malwarebytes et tenter de retourner sur la session admin vite faire une restauration système pour l'effacer par la suite.
Le programme ne me permet pas de l'installer vu que session invité!!!
Pouvez vous m'aider? En attendant, j'utilise ma session invité. Chose bizarre également, le bios est inutilisable, j'ai voulu formater et donc booter sur le cd mais la impossible, même avec raccourci.
Avez vous connaissances de telles infections?
Je vais essayer ta méthode avec Malwarebytes, mais j'aimerais savoir comment se nomme le fichier qui infecte le PC, car tant Roguekiller que OTL, n'ont rien changé, dès que je rédemarre la session admin, avast détecte le virus et écran "virus", je ne sais pas démarrer en mode sans échec.
Une restauration n'est pas possible non plus vu que session invité de la où je vous parle.
Je ne vois qu'un moyen, essayer de repérer le fichier via malwarebytes et tenter de retourner sur la session admin vite faire une restauration système pour l'effacer par la suite.
Le programme ne me permet pas de l'installer vu que session invité!!!
Pouvez vous m'aider? En attendant, j'utilise ma session invité. Chose bizarre également, le bios est inutilisable, j'ai voulu formater et donc booter sur le cd mais la impossible, même avec raccourci.
Avez vous connaissances de telles infections?
Scan effectué à l'instant, sur le site en ligne "bitdefender", il me dit que je n'ai aucun fichier infecté. Scanne t il la session ou le disque dur dans son entièreté, j'aimerais savoir? Cela me parait bizarre.
J'ai réessayé de relancer ma session admin, de suite bloqué après 30sec, avast détecte l'infection et le ransomware apparait, je viens de trouver des infos sur ce nouveau virus qui supprime le safeboot, complètement.
https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque
Je vais suivre ce qu'ils disent en espérant résoudre cette m...
J'ai réessayé de relancer ma session admin, de suite bloqué après 30sec, avast détecte l'infection et le ransomware apparait, je viens de trouver des infos sur ce nouveau virus qui supprime le safeboot, complètement.
https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque
Je vais suivre ce qu'ils disent en espérant résoudre cette m...
Alors, j'ai procédé à la restauration système
Ensuite détecter le Trojan avec malwarebytes, puis je l'ai supprimé et refait un scan, il n'apparait plus.
Après cela, j'ai vidé mon cache etc avec CCleaner.
J'ai voulu suivre le tutos et utiliser:
Roguetiller: supprime les ransomware, je présume, cependant, mon pc était toujours infecté puisque malwarebytes a détecté un Trojan par la suite
OTL: Rien à supprimer? me dit il?
Adwcleaner: nettoyage de certains programmes adware, toolbars etc.
Que font OTL et Roguekiller svp? Pouvez vous me tuyauter la dessus.
Il me reste à remettre le safemode (mode sans échec) avec "Safebootkeyrepair".
J'ai lu plusieurs tutos et fais un mix de tout.
J'ai également refait un scan malwarebytes, trojan disparu.
A présent, je vais dormir.
Me conseillez vous de faire une autre chose.
Merci d'avance.
Ensuite détecter le Trojan avec malwarebytes, puis je l'ai supprimé et refait un scan, il n'apparait plus.
Après cela, j'ai vidé mon cache etc avec CCleaner.
J'ai voulu suivre le tutos et utiliser:
Roguetiller: supprime les ransomware, je présume, cependant, mon pc était toujours infecté puisque malwarebytes a détecté un Trojan par la suite
OTL: Rien à supprimer? me dit il?
Adwcleaner: nettoyage de certains programmes adware, toolbars etc.
Que font OTL et Roguekiller svp? Pouvez vous me tuyauter la dessus.
Il me reste à remettre le safemode (mode sans échec) avec "Safebootkeyrepair".
J'ai lu plusieurs tutos et fais un mix de tout.
J'ai également refait un scan malwarebytes, trojan disparu.
A présent, je vais dormir.
Me conseillez vous de faire une autre chose.
Merci d'avance.
-) puis je enregistrer mes photos et les sortir un DD portable ? ou risquent elles d'infecter ce qui s'y trouve ?
-) Je télécharge depuis le pc infecté ou l'autre le Rogue Killer ?
SI je mets Mode Sans echec avec prise en charge réseaux je saurait me connecter sans problème pour télécharger Roguekiller? Car de mon coté, mon pc est infecté par le virus, mais il ne bloque le pc que qd le Wifi est détecté. Si j'eteins la bbox je sais tout faire sur le PC.
J'ai également essayé avec le Widows defender (démarrer le pc par la clef USB qui lance le scan auto) que le site de polfed propose mais après 4 scan complet (on n'est jamais trop prudent) il ne détecte pas le virus et au redemarrage je suis tjrs infecté.
Merci pour l'aide