Virus Office national de lutte.. Fermé

Question

Bonjour, 

J'ai un petit (voir gros) souci. J'ai été infecté par le virus Office national de lutte contre la criminalité liée aux technologies et j'arrive pas à m'en débarasser. Je suis sous windows 7 et impossible d'avoir accès au bureau plus de 10 secondes, le gestionnaire de tâche n'est pas accessible. En mode sans échec après l'ecran noir du mode sans échec apparait un écran blanc et impossible de faire quelque chose aussi. J'ai aussi éssayé l'invite de commande en renommant dans winlogon explorer.exe en explorer.exe (comme décrit plusieurs fois dans le forum) mais la pareil aucun effet... Alors je sais plus trop quoi faire et je trouve rien sur le site qui se rapporte a mon cas. 
Merci d'avance pour votre aide.

Ps: Roguekiller est installé mais inpossible d'y accéder ...

juju666 · Answer

Bonjour,

fais ceci et poste le rapport : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live

A+

Malekal_morte- · Answer

Peut-être plus simple qu'un Live CD si ça fonctionne, une restauration du système est possible sous Seven.

Lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

sky113 · Answer

Juju666 je suis en train de faire le scan mais au milieu il me dit proxy détecté, supprimer ou pas ??

sky113 · Answer

Scan effectué, voici le rapport https://www.cjoint.com/?0HtoFMXvuSs

sky113 · Answer

En tout cas, comme virus c'est bien fait, ca m'a vraiment fait peur en voyant ça ...

juju666 · Answer

Redémarre le PC, ça devrait repartir.

  1    1    07-NTFS    100M   Yes   No    28,674,048      204,800 

T'as connaissance de cette partition de 100 mega ? T'as un linux en dual boot ? Si pas c'est zeroaccess qui se planque.

~~

Au redémarrage, passe la version normale de Pre_Scan :

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

sky113 · Answer

C'est reparti !! un GRAND MERCI Juju666.

J'étais pas au courant ... en fait je ne vois même pas de quoi tu parles (ah j'ai peut-être oublié de dire que j'étais pas très doué ...).

Zeroaccess ?? La suite de ton message c'est pour lui ou autre ??

juju666 · Answer

Ton pc est pas désinfecté encore, y'a plein de restes.
Passe le Pre_Scan "version normale" et envoie le rapport par pjjoint.

sky113 · Answer

Ok je vois... et zeroacces, c'est quoi ?

Voila le scan http://pjjoint.malekal.com/files.php?id=20120819_5x13c14t14r8

juju666 · Answer

nan, fausse alerte :) 

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

==========================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

File|Fold::
C:\Users\Quentin\AppData\Roaming\70D0.936 
C:\xcas
C:\user.js
C:\ProgramData\j358235v3y72hs575706setp1jq4j7wse0gh6
C:\ProgramData\yq8i067oen227iwf54bthm23b155iau73rg5i743sgj
C:\Users\Quentin\AppData\Local\yq8i067oen227iwf54bthm23b155iau73rg5i743sgj
C:\Users\Quentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Xcas

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

============================= 

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM).  

&#9654 Exécute-le. Accepte la mise à jour. 



? Uniquement en cas de problème de mise à jour:

? Télécharger mises à jour manuelles MBAM  

? Exécute le fichier après l'installation de MBAM  



&#9654 Sélectionne "Exécuter un examen complet"  
&#9654 Clique sur "Rechercher"  
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.  

A la fin de l'analyse, un message s'affiche :  

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.  

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.  
&#9654 Ferme tes navigateurs.  
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.  
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.  

Si MBAM demande à redémarrer le pc : &#9654  fais-le.  

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.  
  
 .::. Contributeur Sécurité .::.

sky113 · Answer

http://pjjoint.malekal.com/files.php?id=20120819_9h13e14e8c6 : rapport de malwayrebytes

Pre script :


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.816 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Quentin : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 23:02:37

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\Users\Quentin\AppData\Roaming\70D0.936  : Not Found !
Folder Deleted : |D| - C:\xcas 
File Deleted :  |A| - C:\user.js 
File Deleted :  |AS| - C:\ProgramData\j358235v3y72hs575706setp1jq4j7wse0gh6 
File Deleted :  |ASH| - C:\ProgramData\yq8i067oen227iwf54bthm23b155iau73rg5i743sgj 
File Deleted :  |ASH| - C:\Users\Quentin\AppData\Local\yq8i067oen227iwf54bthm23b155iau73rg5i743sgj 
Folder Deleted : |D| - C:\Users\Quentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Xcas 


Fin : 23:02:47

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

eh bien ça avance petit à petit :)

 &#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

sky113 · Answer

http://cjoint.com/?0HtxzOkSSm4 Et un rapport, un :)

juju666 · Answer

bien où en sont tes soucis ?

sky113 · Answer

Ben tout marche depuis le premier pre_scan, j'ai plus le blocage de l'ordi, et apparemment tu m'a fait faire un nettoyage de fond donc tout à l'air bien.

juju666 · Answer

ok donc tu peux terminer en lisant ceci : https://gen-hackman.kanak.fr/

Virus Office national de lutte..

16 réponses

Discussions similaires

Newsletters