Virus sacem/police nationaleRésolu/Fermé

Question

Bonsoir,
Je fais partie des malheureux infectés par le virus ou je ne sais quoi Sacem/police nationale, je fonctionne sous xp et mes connaissances en informatique sont peu développées. J'ai suivi le tutoriel donné par Malekal_morte pour un problème similaire et j'ai lancé otl afin d'obtenir un rapport que j'ai déposé mais maintenant je suis bloquée et je ne sais pas quoi faire, quelqu'un pourrait-il me donner un petit coup de pouce?
Merci d'avance, je peux poster le lien du rapport au besoin.

Utilisateur anonyme · Answer

Salut, 
pourquoi ne postes-tu pas le rapport sur malekal_morte, en fait ?

Ceiren · Answer

C'est fait, mais ça me parle d'analyse automatique et rien ne se passe...

g3n-h@ckm@n · Answer

salut il faut que tu remettes le lien obtenu ici pour qu on puisse consulter le rapport

Ceiren · Answer

http://pjjoint.malekal.com/files.php?id=20120503_y13f11m9j10p12

Le voila, merci d'avance :)

Ceiren · Answer

J'ai regardé l'évaluation du rapport mais je ne comprends pas grand chose :/

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation(custom scan/fixes)" : 

 
:OTL 
O4 - HKLM..\Run: [d31ybB8YFv9cUxg] C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O4 - HKU\Mme_Courault_ON_C..\Run: [d31ybB8YFv9cUxg] C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe) - C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe) - C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O20 - HKU\Mme_Courault_ON_C Winlogon: Shell - (C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe) - C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O20 - HKU\Mme_Courault_ON_C Winlogon: UserInit - (C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe) - C:\Documents and Settings\Mme Courault\Application Data\itunes_service01.exe () 
O33 - MountPoints2\{57727ccc-4adf-11df-ade0-0022fa04ef36}\Shell\AutoRun\command - "" = wscript.exe u.vbe 
O33 - MountPoints2\{57727ccc-4adf-11df-ade0-0022fa04ef36}\Shell\explore\Command - "" = wscript.exe u.vbe 
O33 - MountPoints2\{57727ccc-4adf-11df-ade0-0022fa04ef36}\Shell\find\Command - "" = wscript.exe u.vbe 
O33 - MountPoints2\{57727ccc-4adf-11df-ade0-0022fa04ef36}\Shell\open\Command - "" = wscript.exe u.vbe 
O33 - MountPoints2\{6bcaad7b-8c0d-11df-bff6-0022fa04ef36}\Shell\AutoRun\command - "" = F:\x3xh.exe 
O33 - MountPoints2\{6bcaad7b-8c0d-11df-bff6-0022fa04ef36}\Shell\open\Command - "" = F:\x3xh.exe 

:Reg 
[HEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"="explorer.exe" 
"userinit"="C:\Windows\System32\userinit.exe," 
 

&#9654 Clique sur "Correction(RunFix)" pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ceiren · Answer

C'est fait voici le rapport mais il n'y a pas eu de redémarrage

http://pjjoint.malekal.com/files.php?id=20120503_u8n9h14j7f7

g3n-h@ckm@n · Answer

hop !! desolé petite erreur de frappe refais en un avec juste ca dedans : 

:Reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"="explorer.exe" 
"userinit"="C:\Windows\System32\userinit.exe,"  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ceiren · Answer

Du coup j'ai redémarré normalement j'arrive sur mon bureau (vide) mais le reste a l'air à peu près normal, je vais tout de même relancer Otl 
Merci merci merciiiii

g3n-h@ckm@n · Answer

t'as refait la manip que je viens de te redonner ?

Ceiren · Answer

non pas encore je suis en train de relancer otl

g3n-h@ckm@n · Answer

ok en fait c'est à cause de cette erreur de frappe que ton pc redemarrait sur rien du tout

Ceiren · Answer

http://pjjoint.malekal.com/files.php?id=20120503_n76u8m7j15

c'est fait mais toujours pas de redémarrage

Ceiren · Answer

Est-ce que je peux redémarrer normalement maintenant?

g3n-h@ckm@n · Answer

lol tu as refait la premiere manip là....

Ceiren · Answer

j'ai pourtant suivi à la lettre les instructions... pfff je suis nule

g3n-h@ckm@n · Answer

tu n'as peut etre pas vu ce message :

https://forums.commentcamarche.net/forum/affich-25090820-virus-sacem-police-nationale#8

Ceiren · Answer

mais si c'est ce que j'ai fait pourtant

Ceiren · Answer

je recommence?

g3n-h@ckm@n · Answer

ah ben tu m'as filé le mauvais rapport alors ^^

Ceiren · Answer

http://pjjoint.malekal.com/files.php?id=20120503_z11r11u5l12r10

On va pas s'en sortir :)

g3n-h@ckm@n · Answer

nickel :)

redemarre sans le cd

Ceiren · Answer

ok

Ceiren · Answer

ça fonctionne, il n'y a plus d'icônes sur le bureau mais bon ça c'est pas dramatique, il faut que je passe un antivirus particulier ou autre maintenant?

g3n-h@ckm@n · Answer

oui c'est normal le virus t'a mis les fichiers en mode caché pour te faire croire que tu les as perdus ^^

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ceiren · Answer

Arf donc le problème n'est pas encore résolu, c'était trop beau et trop simple (mais je suis naïve), je vais faire tout ça

g3n-h@ckm@n · Answer

oui on a pas fini ^^ 

t'etais contente hein ? lol !! 

desinstalle Java au passage...il doit pas etre à jour , ca doit etre à cause de lui que tu as choppé cette merd$$ , on mettra la derniere version en fin de desinfection , c'est tout prevu , nettoyage des outils , suppression des quarantaines ou les virus déja supprimés sont stockés (inactifs) , etc..... 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ceiren · Answer

pre scan est lancé il y a une icône suppression / extensions qui s'agite sur le bureau
Oui j'étais troooop contente, me disant que finalement je n'aurai plus jamais envie de jeter mon pc par la fenêtre et que j'allais peut-être réussir à dormir un peu cette nuit....vaste illusion :)

Ceiren · Answer

Pour java je ne peux rien faire je n'ai plus accés à rien sur le bureau

g3n-h@ckm@n · Answer

lol non mais ca va etre réglé :)

une fois le pc redemarré et le rapport transmis hébergé comme indiqué , tu cliqueras droit sur ton bureau dans le vide , puis tu selectionneras "réorganiser les icones par" , puis tu cliqueras sur "afficher les icones du bureau" ^^

ensuite on continuera

Ceiren · Answer

ok la barre verte n'avançant pas très vite j'ai l'impression que ça va être long, je vais me faire un café ^^

g3n-h@ckm@n · Answer

en général non ici le scan dure 4 mn chez moi après ca depend de ce que tu as comme , pc processeur , RAM etc....

mais bon je l'ai codé pour qu'il aille vite au départ

Ceiren · Answer

oula ça m'inquiète alors parceque ça n'avance pas du tout

g3n-h@ckm@n · Answer

comment ca ca n'avance pas du tout ?????

Ceiren · Answer

il y a plein d'info qui défilent à toute vitesse mais la barre verte n'avance pas, il n'y a qu'une "barre"

Ceiren · Answer

je ne suis pas sure de m'exprimer clairement

g3n-h@ckm@n · Answer

ah oui tant que ca defile c'est le principal lol ^^

Ceiren · Answer

mon pc n'est pas très performant et se fait vieux... c'est ça (enfin je crois): http://www.commentcamarche.net/guide/1232697-acer-travelmate-5730-652g25mn-intel-core-2-duo-t6570-2-1-ghz-2-go-250-go-tft15-4-dvdrw-win-vista-business

g3n-h@ckm@n · Answer

ah ouais ben deja vista c'est une poubelle atomique comme systeme ^^

Ceiren · Answer

j'ai xp dessus je n'ai pas voulu de vista

Ceiren · Answer

ça défile toujours et la barre n'avance toujours pas...

g3n-h@ckm@n · Answer

moi j ai lancé un scan à 3.31.24 , à 3.33.24 il avait fini....

tu dois pas souvent faire le menage dedans je vais rigoler quand je vais lire le rapport !!! ^^

Ceiren · Answer

Heuuu oui c'est vrai ^^'''

g3n-h@ckm@n · Answer

lol :D

Ceiren · Answer

ça commence à m'inquiéter un peu quand même, j'ai peut-être fait une erreur...:/ à ce rythme là il y en a pour des heures c'est pas étrange?

g3n-h@ckm@n · Answer

ben c'est ton pc est bien pourri.... 

tiens regarde ::

je viens d'en relancer un pour m amuser

heure de debut , dessous heure de fin de scan

http://cjoint.com/12mi/BEdeuYZFJeB.htm
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ceiren · Answer

au moins il sera nickel après ça j'espère ^^

Ceiren · Answer

nan mais je suis verte pourquoi ça fait pas pareil chez moi scandale!!
qu'est ce que je ne fais pas au quotidien pour en arriver là?

g3n-h@ckm@n · Answer

lol ^^ j'ai un gros processeur qui n'est pas d'origine ^^

Ceiren · Answer

j'imagine bien qu'on ne joue pas dans la même cour ;)

g3n-h@ckm@n · Answer

oh bah on est pas très loin ... 

mais je suis plus solicité que toi ^^

https://forums.commentcamarche.net/forum/affich-25091127-police-nationale
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ceiren · Answer

Moui j'en doute un peu quand même ^^ 
Du coup comme j'en ai pour des heures, je ne suis pas prête de poster le rapport, je peux le faire demain? (enfin si c'est fini...) je suppose qu'il ne faut surtout pas l'arrêter.

g3n-h@ckm@n · Answer

ben non sinon faudra recommencer ^^ lol toutes les lignes du rapport me servent pour etablir reellement ce qu'a le pc.....et puis toutes manières je l'ai pas programmé pour etre arrêté voilà !! ^^

non mais sérieusement ,  c est vrai que j'ai rarement vu un scan aussi long !!   :/

Ceiren · Answer

"non mais sérieusement , c est vrai que j'ai rarement vu un scan aussi long !! :/"
je dois m'inquiéter ou pas?

Ceiren · Answer

Dans tous les cas il est déjà 5h il va falloir que je dorme un peu, j'espère que ce n'est pas mon "cas" qui t'a gardé éveillé...

Ceiren · Answer

Ha non je suis rassurée je viens de voir que je ne suis pas la seule en galère :D

g3n-h@ckm@n · Answer

ben doit pas y avoir que ca dans pc qui soit infectieux je pense....je dis...à mon avis je vais rigoler à lire ce rapport il va faire au moins 20 km ^^

ca affiche quoi actuellement ?

Ceiren · Answer

toujours pareil il y a la fenêtre :  

Pre-scan etc 
Supression / extensions 
HKCR\ (trucs qui défilent) 
C:\DOCUME~1\MMECOU~1\LOCALS~1	emp\div (des tas de chiffres qui défilent)

g3n-h@ckm@n · Answer

et ben on est pas rendu si y a deux ans et demi d'ordures à fouiller....!!

g3n-h@ckm@n · Answer

ok good night :)

tiens j'ai meme eu le temps d'en faire une vidéo ^^

http://gen-hackman.servequake.com/Tools/Untitled%201.avi

g3n-h@ckm@n · Answer

hello aujourd'hui très beau temps dans les environs de marseille , je jardine mais je te lache pas je reviens plus tard ^^

Ceiren · Answer

Très beau temps par chez moi aussi pas de soucis je vais profiter de mes vacances, à plus tard et bon jardinage :)

g3n-h@ckm@n · Answer

suite :

des devoirs ^^ :

mettre mozilla firefox à jour
desinstaller adobe reader 9

======================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\usbvideo_reg.exe 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=======================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{Bj9oGoDo-wn3q-TS4w-kuRv-OWYzmoDRGxZa}]
[-HKLM\Software\1307] 
[-HKLM\Software\13fe] 
[-HKLM\Software\BrowserChoice]     
[-HKLM\Software\ea0] 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

========================

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

========================


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

=======================

à plus tard :)

Ceiren · Answer

Désinstallation adobe 9 : ok
Mise à jour Mozilla : ok
Virus tota : https://www.virustotal.com/file/d8832f8a6e8a52f57da3d658127a219639ed051680914fec30181b1988852127/analysis/1336048692/

Je continue

g3n-h@ckm@n · Answer

ok vide la quarantaine de windows defender

========

pour ce qui est dans la quarantaine de pre_scan ca va sauter avec le ménage :)

suis ce tutoriel 

https://gen-hackman.kanak.fr/

g3n-h@ckm@n · Answer

meme wigi n'a pas fonctionné dirait-on...

essaie en desactivant tes protections voir....

g3n-h@ckm@n · Answer

nickel tu devrais aussi pouvoir utiliser delfix maintenant

g3n-h@ckm@n · Answer

pas grave tu peux l utiliser apres ^^

g3n-h@ckm@n · Answer

AAAHhh !!! ^^ 

tu peux le desinstaller :)
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

utilise javara

g3n-h@ckm@n · Answer

ben 

là :

https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ceiren · Answer

Et voilà j'ai fini, c'est tout propre, finalement ce virus aura été un mal pour un bien, ça m'a permis de faire du ménage et d'améliorer mes faibles connaissances, je n'aurai jamais cru pouvoir faire tout ça! Merci beaucoup pour ton aide, ta disponibilité et ta patience (je salue l'effort)  ^^ Je vais tâcher de bien m'occuper de mon pc désormais! 
Bonne soirée et bonne continuation à toi :) 

Problème résolu, yeaaaaaaaah je suis trop contente ^^

g3n-h@ckm@n · Answer

lol ca a été un plaisir :)  

si tu as bien configuré ccleaner comme indiqué , quand tu allumes ton pc attends qu il ait fini son nettoyage avant de t en servir :) 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

bye et prudence :)

pense à garder Java et adobe flash à jour c'est par là que tu as attrapé cette bestiole :)

Virus sacem/police nationale

74 réponses

Discussions similaires

Newsletters