Virus Sacem/Police nationale Résolu/Fermé

Question

Bonjour, 

Mon PC vient d'être infecté par cette saloperie. J'aurai bien passé un moment à lire les autres sujets analogues mais je n'ai pas trop envie de trifouiller mon ordi et de faire n'importe quoi à l'aveuglette. 
Quelqu'un peut-il me guider SVP ?
En vous remerciant

Sam



Configuration: AMD athlon 64 3200 ; Windows XP Home édition

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
- Il se lancera automatiquement à la fin de l'installation
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Si le virus t'empêche d'accéder à ton Bureau, essaye en mode sans échec. Si c'est la même chose, dis le moi et on fera autrement.

j.mcnulty · Answer

Merci de ton intervention Anthony,

Je ne suis pas chez moi à l'instant je ne peux donc effectuer de manipulation sur mon PC pour le moment.
Par contre j'ai essayé d'accéder au mode sans échec hier et je suis tombé direct sur la page du virus sacem/PN, comme sur ma session administrateur normale. Donc pour l'instant je ne peux accéder à rien. Je n'ai pas accès au bureau.

anthony5151 · Answer

D'accord. Dans ce cas, suis ce tutoriel illustré pour faire un diagnostic avec OTLPE. Poste le rapport quand tu auras terminé, je te donnerais des conseils à partir de ce rapport ;)

j.mcnulty · Answer

ok, j'ai téléchargé OTLPE sur mon protable qui n'est pas infecté. J'ai lancé la gravure. Elle semble être fini, mais je ne suis pas sûr. J'ai deux fenêtres ouvertes: ImgBurn et ImgBurn Log.
Je ferme tout et je met le CD-rom dans mon PC infecté pour le démarrer c'est ça ? Ou bien faut-il que je clique sur "Create CUE File ?

anthony5151 · Answer

Bonjour,

Désolé pour le délai de réponse. Le rapport n'est pas complet, il ne faut pas le poster directement sur le forum. Héberge le plutôt sur un site d'hébergement comme pjjoint et poste uniquement le lien de téléchargement fourni par pjjoint.

j.mcnulty · Answer

Tiens voilà le lien:

https://pjjoint.malekal.com/files.php?id=OTL_20120524_q6w9g8z159

Dis moi tout

anthony5151 · Answer

- Relance OTLPE de la même façon 
- Clique sur ce lien et copie le script qu'il contient (ou prépare le auparavant sur une clé USB si tu n'as pas de connexion internet avec OTLPE) 
- Colle le script dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit. 
- Poste le rapport situé dans ce dossier : C:\_OTL\MovedFiles  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Après ça, tu devrais pouvoir redémarrer ton ordinateur normalement. A ce moment là, fais l'analyse avec ZHPDiag demandée ici et poste le rapport dans ta prochaine réponse en l'hébergeant sur pjjoint. 


L'habit ne fait pas le moine. 
Le savoir n'est utile que s'il est transmis

j.mcnulty · Answer

J'ai bien réouvert OTLPE, mais aucun cadre "Paste Instructions for Items to be Moved". Juste "custom scans/fixes".

j.mcnulty · Answer

Ok, merci Juju.

Anthony, mon second rapport:

https://pjjoint.malekal.com/files.php?id=OTL_20120525_s15u15m6y6o10

j.mcnulty · Answer

Bon... je n'arrive pas à démarrer mon PC normalement... 
Ou j'ai du faire une erreur quelque part dans la manip

anthony5151 · Answer

Tu as refait une analyse avec OTL (c'est un rapport d'analyse que tu as posté, avec les mêmes éléments néfastes indiqués dedans) au lieu d'un script.
Il faut bien cliquer sur "Run Fix" et non "Run Scan" ;)

j.mcnulty · Answer

Ah merde, t'as p-e raison. Je vais refaire la manip...

j.mcnulty · Answer

Rapport ZHP:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120526_s5n5e7l11t8

j.mcnulty · Answer

Bon sinon j'ai pu redémarrer mon ordi. J'ai fais une restauration, puis j'ai effacé et réinstallé avira. J'avais remarqué il y a quelques semaines un petit soucis avec mon antivirus. Il était bloqué je ne pouvais plus l'ouvrir. Mais comme mon ordi me disait qu'il était activé, je me suis que je verrai plus tard de quoi il s'agit.
Penses-tu que c'est lié au fait que j'ai choppé ce virus ?
Que puis-je faire à l'avenir pour me prémunir de ce genre de saloperie ?

j.mcnulty · Answer

Tout à l'air de fonctionner normalement depuis.
Je sais pas si tu dois encore me faire un retour sur le rapport ZHP, et si il y a encore encore des traces du virus quelque part.
Merci beaucoup pour l'intervention et le temps passé à me guider dans la manoeuvre.
Cette assistance bénévole est vraiment la bienvenue.
On trouve quand même des gens bien sur le net ;)

anthony5151 · Answer

Désolé pour le délai de réponse, je n'étais pas chez moi ces derniers jours. Il reste quelques éléments à supprimer, ce script va les cibler :

¶ Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
¶ Lance ZHPFix à partir du raccourci sur ton Bureau
¶ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse


Je vois aussi que tu as McAfee Security Scan Plus sur ton ordinateur : ce logiciel est inutile, je te conseille de le désinstaller. Pour ça, passe par le menu démarrer --> panneau de configuration --> Ajout/suppression de programmes.


Enfin, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent). Ce sera sans doute le dernier avant les conseils de finition.

j.mcnulty · Answer

Pas de soucis pour l'attente, t'en a déjà fait pas mal, et je pouvais me resservir de mon ordi. 

Le rapport:  

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012  
Fichier d'export Registre :   
Run by Samuel at 01/06/2012 11:43:00  
Windows XP Home Edition Service Pack 3 (Build 2600)  
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html  
Web site : http://nicolascoolman.skyrock.com/  

========== Valeur(s) du Registre ==========  
ABSENT RunValue: frkUeoymDhvXXox  
ABSENT [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell  
ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application  
ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_intl  
ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_XMLLookup  
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe  
SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe  
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe  
SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe  
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)  

========== Elément(s) de donnée du Registre ==========  
SUPPRIME Explorer Association Data Application: http://www.helpmeopen.com/?n=app&l=%04x&ext=%s  
SUPPRIME Explorer Association Data Intl: http://www.helpmeopen.com/?n=app&l=%04x&ext=%s  
SUPPRIME Explorer Association Data XMLLookup: http://www.helpmeopen.com/?n=app&l=%04x&ext=%s  
SUPPRIME Winlogon Shell: Bad ("Explorer.exe"), Good ("explorer.exe")  

========== Dossier(s) ==========  
SUPPRIME Folder: C:\Program Files\Softonic.France_  
SUPPRIME Temporaires Windows:  
SUPPRIME Flash Cookies:  

========== Fichier(s) ==========  
ABSENT File: c:\documents and settings\samuel\application data\vboxservs.exe  
SUPPRIME Temporaires Windows:  
SUPPRIME Flash Cookies:  


========== Récapitulatif ==========  
10 : Valeur(s) du Registre  
4 : Elément(s) de donnée du Registre  
3 : Dossier(s)  
3 : Fichier(s)  


End of clean in 00mn 01s  

========== Chemin de fichier rapport ==========  
C:\ZHP\ZHPFix[R1].txt - 01/06/2012 11:43:00 [2013]  




J'ai supprimé McAfee SSP.



Rapport ZHPDiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120601_5w11q9z11g14

j.mcnulty · Answer

J'ai du me tromper désolé:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120602_y5j12d14z10i14

anthony5151 · Answer

Bien, voici donc les conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un antivirus (AntiVir dans ton cas, que je te conseille de configurer comme ça) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser la dernière version du navigateur Mozilla Firefox (tu as une ancienne version sur ton ordinateur). Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes : 
- WOT 
- AdBlock 

* Internet Explorer n'est pas à jour, c'est une faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle toutes les versions de Adobe Flash Player. Ensuite, télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Même chose pour VLC : désinstalle le et télécharge la dernière version ici.

* Ça n'a pas de rapport avec la sécurité, mais je te conseille également de mettre à jour OpenOffice ou de le remplacer par LibreOffice.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.



2) Optimisation : 

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne toutes les lignes SAUF avgnt / SunJavaUpdateSched / ANIWZCS2Service / D-Link D-Link Wireless G DWA-110 --> clique sur "Désactiver".

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

j.mcnulty · Answer

Salut,

J'étais en vacance, je n'ai plus trop suivi l'affaire.
Je m'occupe de mettre au clair tout cela.
Par contre concernant firefox, je l'avais mis à jour une fois, mais internet ramait à mort après (pc trop ancien?). J'avais donc annulé cette mise à jour.
Qu'en penses-tu?

j.mcnulty · Answer

j'ai installé secunia PSI, je vais étudier un peu le fonctionnement du truc.
Par contre scan des mise à jour me dit que le logiciel python 2.7 x n'est pas à jour.
A quoi sert ce logiciel ?

anthony5151 · Answer

Merci :)
Concernant Python, tu peux le désinstaller.

j.mcnulty · Answer

OK.
Secunia j'aime bien

Virus Sacem/Police nationale

23 réponses

Discussions similaires