Piratage d'un ordinateur sous windows7
Résolusett03 Messages postés 27 Statut Membre -
mon frère a son ordinateur sous windows7 et avast(gratuit)! ce soir il m'appel et me dis"yannick,j'ouvre la page ebay,et la,BIMM,mon écran devient noir et un message indique que la police a prit le controle de l'ordi,car il y a des messages terroriste et pédofile et que pour etre tranquille,je dois lacher 100euros,avec tel manip-" alors je lui est dis de pas faire ca,mais il a quand meme la flip,et je sais pas vraiment quoi faire! pouvez vous me dirigez? merci d'avance!!!!
37 réponses
- 1
- 2
Un utilisateur signale qu'un PC sous Windows 7 affiche une page de rançongiciel affirmant que la police a pris le contrôle et réclame 100 euros, bloquant l’ordinateur après une visite web.
Les conseils identifient l’infection comme un ransomware et proposent de redémarrer en mode sans échec pour une restauration système ou d’utiliser un CD Live afin de déterminer la variante.
Il est recommandé de relever le nom affiché sur la page pour adapter la procédure et d’employer des outils comme RogueKiller ou AdwCleaner.
D'autres interventions évoquent le nettoyage puis un retour sur le poste pour poursuivre les procédures, afin de prévenir une réinfection éventuelle.
-
bonsoir,
cette infection est un ransomware !
le pc est bloqué par une page bidon !
il faut essayer de redémarre le pc en mode sans echec pour lancer une restauration système, ou si tu n'arrives pas, utiliser un CDlive pour modifier manuellement la clé Shell !
il faut voir de quelle variante il s'agit exacetement !
il y en a eu tellement de types différents !
indique moi le nom qui s'affiche sur la page et je te donnerai la procedure à suivre :D
-
c'est l'occasion de le nettoyer, le pc est infecté de toutes manières, l'infection va revenir à un moment donné, à toi de voir :D
en tous les cas, qu'il ne redémarre surtout pas le pc !
à mon avis, l'infection n'est pas encore installée entrièrement !
un redémarrage est le pc ser bloqué pour de bon !
si le pc refonctionne (il a accès à windiws) fais lui passer ceci :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
avec cette manip, la clé Run de l'infection sera supprimer, e pc pourra redémarrer normalement, mais elle reste sur le pc, donc il faut le nettoyer !
il faudrait qu'il vienne sur ce poste pour que je puisse lui donner la suite de procédures à faire, avec le pc, connecté à internet ;D
-
coucou je ne suis pas experte en informatique mais c'est aussi arrivé a mon père !
C 'est un virus !! Donc bien evidemment il ne faut pas payer !
Par contre pour l'éliminer je ne sais pas comment il a fait! -
je viens de voir la réponce plus bas,dans les questions pausées! merci pour tout,je vais voir ca demain!
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
-
-
bonjour,
regarde sur cette page :
http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/
tout est expliqué là dessus :D
-
merci electricien69,j'ai regarde la manip-,mais j'aimerai savoir une chose! mon frère viens de m'appeller pour me dire que tout de nouveau fonctionne!es ce normal?
-
son ordi est a cote du miens,roguekiller est installer,le prescan est fait mais rien n'en sort,il a cleaner,es ce qu'il a fais du nettoyage!
-
comme indiqué sur la page que tu propose plus haut,j'ai soumis le rapport a virustotal.com,et ya ceci qui en evidence: sha256:7f54411cddbfc5eb813ae6c2a81fe0a088b543024cb8d741e8b2acc8e8e94508 file name:RKreport(2)txt tedextion ratio:0/42 Analysis date:2012-05-08 10:16:17 UTC(1minute ago)
-
-
RogueKiller V7.4.3 [04/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: ducate [Droits d'admin]
Mode: Recherche -- Date: 08/05/2012 12:08:21
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : MailNotifier (C:\Users\ducate\Desktop\MailNotifier\MailNotifier.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-667018454-3886520284-999181983-1000[...]\Run : MailNotifier (C:\Users\ducate\Desktop\MailNotifier\MailNotifier.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD3200BEKT-60F3T1 ATA Device +++++
--- User ---
[MBR] 58967fd843f623109dda67c8644e2f7a
[BSP] 29b6d750aa48b2b86ee0244f94a75b72 : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 291754 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 597921792 | Size: 13290 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >> -
tu as déjà lancé la suppression, donc ferme roguekiller,
* télécharge ce programme Ransomfix (merci à Xplode)
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
* copie, colle le dans ta prochaine réponse.
-
# RansomFix v1.0 - Xplode
# OS : Windows 7 Home Premium (64 bits)
# Username : ducate - DUCATE-PC (Administrateur)
_____| Winlogon - Shell |_____
Value : explorer.exe [OK]
_____| HKCU\..\Run |_____
[MALWARE] OrangeInside : C:\Users\ducate\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe
Attempting to delete value...
Value deleted successfully !
_____| Explorer.exe |_____
Checking explorer.exe...
Found : C:\Windows\explorer.exe [0x0862495E0C825893DB75EF44FAEA8E93]
[OK]
_____| EOF |_____ -
? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
Lance le,
clique sur Supprimer et poste son rapport.
-
# AdwCleaner v1.605 - Rapport créé le 08/05/2012 à 14:08:17
# Mis à jour le 05/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : ducate - DUCATE-PC
# Exécuté depuis : C:\Users\ducate\Downloads\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Présent : C:\Users\ducate\AppData\LocalLow\AskToolbar
Dossier Présent : C:\ProgramData\Ask
Dossier Présent : C:\Program Files (x86)\Ask.com
Dossier Présent : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
***** [Registre] *****
Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\APN
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKLM\SOFTWARE\APN
Clé Présente : HKLM\SOFTWARE\AskToolbar
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\SearchBar.Client
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
[x64] Clé Présente : HKCU\Software\Ask.com
[x64] Clé Présente : HKCU\Software\APN
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
[x64] Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
[x64] Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\SearchBar.Client
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
***** [Registre - GUID] *****
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v18.0.1025.168
Fichier : C:\Users\ducate\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [5223 octets] - [08/05/2012 14:08:17]
########## EOF - C:\AdwCleaner[R1].txt - [5351 octets] ########## -
-
# AdwCleaner v1.605 - Rapport créé le 08/05/2012 à 14:13:42
# Mis à jour le 05/05/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : ducate - DUCATE-PC
# Exécuté depuis : C:\Users\ducate\Downloads\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Présent : C:\Users\ducate\AppData\LocalLow\AskToolbar
Dossier Présent : C:\ProgramData\Ask
Dossier Présent : C:\Program Files (x86)\Ask.com
Dossier Présent : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
***** [Registre] *****
Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\APN
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKLM\SOFTWARE\APN
Clé Présente : HKLM\SOFTWARE\AskToolbar
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\SearchBar.Client
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
[x64] Clé Présente : HKCU\Software\Ask.com
[x64] Clé Présente : HKCU\Software\APN
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
[x64] Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
[x64] Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\SearchBar.Client
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
***** [Registre - GUID] *****
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16421
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v18.0.1025.168
Fichier : C:\Users\ducate\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [5312 octets] - [08/05/2012 14:08:17]
AdwCleaner[R2].txt - [5283 octets] - [08/05/2012 14:13:42]
########## EOF - C:\AdwCleaner[R2].txt - [5411 octets] ########## -
- 1
- 2