virus police Fermé

Question

Bonjour, 

bonjour, quand je vais sur internet, mon ordi se bloque et je vois sur mon ecran un message de la police qui me dit qu'il faut que je paie avec urkash. Je viens de lancer un scan malwarebyte il y a une trentaine de minute. Quelqu'un pourrait m'aider SVP

Configuration: Windows 7 / Internet Explorer 9.0

Utilisateur anonyme · Answer

Salut,

Le problème avec les virus, c'est qu'une fois installés sur ton PC, ils passent inaperçus dans le disque dur du PC (s'ils sont bien "programmés").

A-tu essayé avec SpyBot - Search & Destroy ?

LoveBing · Answer

Bonjour

est-ce ce virus? https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol

sidlerat · Answer

non je n'ai pas essayé avec spybot . C'est que pour le moment il ne trouve pas de virus avec le scan.

Oui il s'agit bient de ce virus avec le message "Activite illicite demelee" (en francais)

Utilisateur anonyme · Answer

bonjour,

 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

sidlerat · Answer

ok je fais ca tout de suite. La je viens de finir un scan avec malwarebyte et je viens de supprimer 2 virus, et il m'a demander de rallumer mon ordi.

Utilisateur anonyme · Answer

ok,

passe à Roguekiller et poste en même temps le rapport de mbam!

sidlerat · Answer

voila le rapport de roguekiller RogueKiller V7.6.2 [02/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur: Clement [Droits d'admin] Mode: Recherche -- Date: 05/07/2012 13:32:05 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 4 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (socks=127.0.0.1:27654) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3750528AS +++++ --- User --- [MBR] 980d14523cb086e57def33d739ffa4ac [BSP] 26660af87d5dc0adb24cb082f31b0955 : Acer tatooed MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14336 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29362176 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29566976 | Size: 350158 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 746690560 | Size: 350808 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Je n'ai jamais testé RogueKiller, cependant le rapport m'a l'air très intéressant à cette partie : 

¤¤¤ Entrees de registre: 4 ¤¤¤  
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND  
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (socks=127.0.0.1:27654) -> FOUND  
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND  
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND 


Un proxy à été installé par le virus ou... ? 
//\R - BLACK//\AN

Utilisateur anonyme · Answer

est ce toi qui ais créé un proxy sur ton pc ?

sidlerat · Answer

je sais pas ce qu'est un proxy

j'ai aussi le rapport de mbam

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.05.02

Windows 7 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Clement :: CLEMENT-PC [administrateur]

05/07/2012 12:26:10
mbam-log-2012-07-05 (12-26-10).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 455412
Temps écoulé: 51 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run||18E8321C-6396-1C2F-DE93-2BF412B5E67C} (Trojan.ZbotR.Gen) -> Données: C:\Users\Clement\AppData\Roaming\Babe\opmob.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Clement\AppData\Roaming\Babe\opmob.exe (Trojan.ZbotR.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

ok,

relance MBAM, vide sa quarantaine,



relance Roguekiller,

[*] Cliquer sur Proxy RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

sidlerat · Answer

voila le 2eme rapport de roguekiller apres avoir fait proxy raz RogueKiller V7.6.2 [02/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur: Clement [Droits d'admin] Mode: Proxy RAZ -- Date: 05/07/2012 13:44:03 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0) [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (socks=127.0.0.1:27654) -> DELETED Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Utilisateur anonyme · Answer

super,

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

https://toolslib.net


Lance le, 

clique sur rechercher et poste son rapport

sidlerat · Answer

voila le rapport de adwcleaner

# AdwCleaner v1.701 - Rapport créé le 05/07/2012 à 13:50:41
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Clement - CLEMENT-PC
# Exécuté depuis : C:\Users\Clement\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Clement\AppData\Local\Temp\boost_interprocess

***** [Registre] *****


***** [Registre - GUID] *****

Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1304 octets] - [05/07/2012 13:50:09]
AdwCleaner[R2].txt - [1239 octets] - [05/07/2012 13:50:41]

########## EOF - C:\AdwCleaner[R2].txt - [1367 octets] ##########

Utilisateur anonyme · Answer

relance ADWC, clique sur Supprimer,

poste son rapport,



* télécharge ce programme Ransomfix (merci à Xplode)    


* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )    
* copie, colle le dans ta prochaine réponse.

sidlerat · Answer

voila le rapport apres la suppression sur adwcleaner

# AdwCleaner v1.701 - Rapport créé le 05/07/2012 à 14:01:15
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Clement - CLEMENT-PC
# Exécuté depuis : C:\Users\Clement\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Clement\AppData\Local\Temp\boost_interprocess

***** [Registre] *****


***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1304 octets] - [05/07/2012 13:50:09]
AdwCleaner[R2].txt - [1364 octets] - [05/07/2012 13:50:41]
AdwCleaner[S1].txt - [1214 octets] - [05/07/2012 14:01:15]

########## EOF - C:\AdwCleaner[S1].txt - [1342 octets] ##########

sidlerat · Answer

et le rapport de ransomfix:

# RansomFix v1.0 - Xplode
# OS : Windows 7 Home Premium  (64 bits)
# Username : Clement - CLEMENT-PC (Administrateur)

_____| Winlogon - Shell |_____

Value : explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : C:\Windows\explorer.exe  [0x9AAAEC8DAC27AA17B053E6352AD233AE]
[OK]

_____| EOF |_____

Utilisateur anonyme · Answer

relance ADWC, clique sur désinstaller,


* télécharge ce programme Ransomfix (merci à Xplode)     


* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )     
* copie, colle le dans ta prochaine réponse.

sidlerat · Answer

voila le rapport ransomfix:

# RansomFix v1.0 - Xplode
# OS : Windows 7 Home Premium  (64 bits)
# Username : Clement - CLEMENT-PC (Administrateur)

_____| Winlogon - Shell |_____

Value : explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : C:\Windows\explorer.exe  [0x9AAAEC8DAC27AA17B053E6352AD233AE]
[OK]

_____| EOF |_____

Utilisateur anonyme · Answer

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, selectionne tous les modules


*Clique sur le tournevis pour selectionner tous les modules
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

sidlerat · Answer

j4ai un probleme avec zhpdiag. il n'y a pas de tournevis ni de loupe dans le menu. il y a une sorte d'appareil photo, une paire de ciseaux, un A.... et il s'appelle zhpfix

sidlerat · Answer

c'est bon j'ai trouvé

sidlerat · Answer

voila le rapport zhpdiag

https://www.cjoint.com/?BGfpDJArwU5

sidlerat · Answer

J'arrive à aller sur internet mais pas avec internet explorer. et je ne recois plus de message de la "police". Est ce que vous pensez que c'est bon signe ou pas?

Utilisateur anonyme · Answer

*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 



*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[MD5.62B7C506B092D460898F3296DA94B728] [SPRF][18/07/2009] (.Oberon Media - FullRemove.) -- C:\ProgramData\FullRemove.exe   [36136]
[MD5.1A3D1A7349253561EF89D017F6EDD5FC] [SPRF][24/04/2012] (.SweetIM Technologies Lt - This installer.) -- C:\Users\Clement\AppData\Local\Temp\SIMEEIInstaller.exe   [2626512]
[MD5.00000000000000000000000000000000] [APT] [{28A6F910-4097-4A0C-BB63-A5A5ECBC5021}] (...) -- C:\Program Files (x86)\TIEDUC~1\DRIVER~1\InstDrvr.exe (.not file.)    
O4 - Global Startup: C:\Users\Clement\Desktop\Malwarebytes Anti-Malware222.lnk   
[MD5.831FFBBD4F25531DDE034A6879FFB565] [SPRF][24/04/2012] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Clement\AppData\Local\Temp\Shortcut_sweetimsetup.exe   [334128]
[MD5.4674EA52E3C2CDE10DB6D8E9E66C0463] [SPRF][24/04/2012] (.SweetIM Technologies Lt - This installer.) -- C:\Users\Clement\AppData\Local\Temp\SweetIESetup.exe   [3637696]
[MD5.CA5787C66D21E504AF2C6B2B36DD77EC] [SPRF][09/06/2011] (...) -- C:\Users\Clement\AppData\Local\Temp\SimPack.exe   [81408]    
Emptytemp
EmptyCLSID

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

sidlerat · Answer

voila le rapport de zhpfix


Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Clement at 05/07/2012 23:55:59
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\ProgramData\FullRemove.exe
SUPPRIME Memory Process: C:\Users\Clement\AppData\Local\Temp\SIMEEIInstaller.exe
SUPPRIME Memory Process: C:\Users\Clement\AppData\Local\Temp\Shortcut_sweetimsetup.exe
SUPPRIME Memory Process: C:\Users\Clement\AppData\Local\Temp\SweetIESetup.exe
SUPPRIME Memory Process: C:\Users\Clement\AppData\Local\Temp\SimPack.exe

========== Dossier(s) ==========

========== Fichier(s) ==========
SUPPRIME File*: c:\users\clement\appdata\local	emp\simeeiinstaller.exe
ABSENT File: c:\users\clement\desktop\malwarebytes anti-malware222.lnk
SUPPRIME File*: c:\users\clement\appdata\local	emp\shortcut_sweetimsetup.exe
SUPPRIME File*: c:\users\clement\appdata\local	emp\sweetiesetup.exe
SUPPRIME File*: c:\users\clement\appdata\local	emp\simpack.exe
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {28A6F910-4097-4A0C-BB63-A5A5ECBC5021}


========== Récapitulatif ==========
5 : Processus mémoire
6 : Fichier(s)

Utilisateur anonyme · Answer

bonjour,

tu as déjà MBAM sur ton pc :

Malwarebytes' Anti-Malware

lance le,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Virus police

27 réponses

Discussions similaires