virus office central / sous vista

Question

Bonjour, 

J'ai besoin d'un coup de main  pour sortir de la situation dans laquelle je me trouve et je remercie par avance les personnes qui prêteront attention à mes soucis.
 
Voila hier soir, j'ai vu mon PC bloqué (vista)par une page soit disant de " l office central de lutte contre la criminalité liée aux technologies de l'information et de la communication".

Je n'avais pas accès à mon bureau, j'ai essayé de faire ctrl+alt+suppr ou ctrl+alt+pause, sans succès.

J'ai essayé le mode sans échec avec réseau, aucun résultat.

Puis je suis allé dans le mode sans échec avec invite de commande, je n'ai pas pu restaurer Vista n'ayant aucun point de restauration antérieur mais en errant un peu, j'ai créé un autre compte d'utilisateur ce qui m'a permis d'accéder au net. 

Maintenant je ne sais pas trop quoi faire pour récupérer mon compte principal et nettoyer mon ordi. J'imagine que je dois télécharger Roguekiller mais je préfère être sûr de la procédure. 

Merci.

g3n-h@ckm@n · Answer

salut si tu n'as pas accès au pc tu veux le telecharger comment roguekiller ?  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

non 

de la session infectée tu as accès à quoi ? 
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

colac13 · Answer

Dès que la session infectée s'ouvre, l'écran devient blanc puis la page office central(...) apparait. Je n'ai accès à rien. 

En faisant ctrl+alt +suppr, je peux redémarrer, arrêter, verrouiller, changer le mot de passe, mais si je clique sur le gestionnaire de tâches, il n'apparait pas. 

Si je fais ctrl+alt+pause, rien ne se produit. Je précise que je n'ai pas de touche Fn.

g3n-h@ckm@n · Answer

ok en mode sans echec meme chose ?

colac13 · Answer

oui c'est la même chose et la page office central ne s 'affiche plus, c'est un écran blanc

g3n-h@ckm@n · Answer

un code comme quoi ?

colac13 · Answer

il y a écrit numéro 6002 service pack 2 sur l ' écran noir en mode sans échec.  

Désormais sur ce mode aussi c'est une page blanche qui va s'affiche a l'ouverture de la session. Quant à l'écran noir du mode sans échec je peux le voir quand j'arrête ou redémarre la session.

g3n-h@ckm@n · Answer

ok je sais pas si roguekiller marche sur toutes les sessions....

 
<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

colac13 · Answer

Voilà je poste le rapport depuis la session infectée qui est de nouveau accessible:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.09.08.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
nicolas :: PC-DE-NICOLAS [administrateur]

08/09/2012 11:52:28
mbam-log-2012-09-08 (11-52-28).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 426993
Temps écoulé: 58 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Données: explorer.exe,C:\Users
icolas\AppData\Roaming\msconfig.dat -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files\TSearch (Adware.TSearch) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 3
C:\Users
icolas\AppData\Local	emp\le8618hd4uxko4il.exe (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Users
icolas\AppData\Roaming\msconfig.dat (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ok ta session fonctionne-telle maintenant ?

colac13 · Answer

oui totalement merci beaucoup !! En a t-on fini ?

g3n-h@ckm@n · Answer

non ^^

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

colac13 · Answer

Excuse-moi j'ai un peu tardé et le logiciel Pre_Scan est en maintenance. 

Je surveille le moment où il sera fonctionnel.

g3n-h@ckm@n · Answer

desolé mais il est encore en maintenance j'ai perdu les originaux du programme donc ca prend un peu plus de temps que prevu pour le remettre d'aplomb.

colac13 · Answer

Ok

g3n-h@ckm@n · Answer

c'est bon tu peux y aller :)

colac13 · Answer

Bon voilà, j'espère avoir bien suivi la procédure je donne donc le lien du rapport: 


http://pjjoint.malekal.com/files.php?id=20120913_p12k8m6u12f14.


Je reste a ton écoute ^^

g3n-h@ckm@n · Answer

sisi c 'est bon j'etudie ca :)  

relance l'outil , clique sur diag et poste le rapport Pre_Diag du bureau par le meme biais
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

colac13 · Answer

Hello,

voilà j'ai suivi tes recommandations:

http://pjjoint.malekal.com/files.php?id=20120915_j12f15s10z8g10

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
desinstalle babylon
desinstalle offerbox
desinstalle mediaGet
desinstalle spybot search and destroy rien du tout

======================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BIpoKkjPoAJ

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

colac13 · Answer

J'ai pu désinstaller spybot et adobe reader 9  

mais pas babylon, offerbox et mediaget 

je ne les ai pas trouvés dans le Panneau de config ( programmes et fonctionnalités). 

Tu peux m'indiquer où les chercher et comment les supprimer stp ?

g3n-h@ckm@n · Answer

pas grave fais la suite ils sauteront quand meme :)

colac13 · Answer

Voilà je poste Pre_script: 








¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0913 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

nicolas : Windows Vista (TM) Home Premium (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 17:32:40

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 45650867  Not actif



¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Users^nicolas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Notification de cadeaux MSN.lnk
Key Deleted : HKU\S-1-5-21-2315687599-2092362023-4058052746-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-2315687599-2092362023-4058052746-1000\Software\Safer Networking Limited
Key Deleted : HKLM\Software\Babylon    
Key Deleted : HKLM\Software\BrowserChoice    

¤

C:\Program Files\OfferBox  : Not Found !
Folder Deleted : |D| - C:\fixwareout        
Folder Deleted : |D| - C:\Users
icolas\AppData\Roaming\Babylon     
File Deleted :  |A| - C:\Users
icolas\AppData\Roaming\msconfig.ini 
Folder Deleted : |D| - C:\Users
icolas\AppData\Roaming\WebPlayerBdd 
Folder Deleted : |D| - C:\ProgramData\Babylon     
Folder Deleted : |D| - C:\ProgramData\Spybot - Search & Destroy     
Folder Deleted : |D| - C:\Program Files\MediaGet     
Folder Deleted : |D| - C:\Program Files\Spybot - Search & Destroy     
File Deleted :  |A| - C:\Windows\System32\Tasks\{1E5EB794-2DC7-4C56-85AD-6662CEABCFDB}         

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Packard Bell BV
BIOS Manufacturer:		Phoenix Technologies, LTD
System Manufacturer:		Packard Bell BV
System Product Name:		APL00
Logical Drives Mask:		0x000001f4

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 17:34:39

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

colac13 · Answer

salut je me suis emmêlé les pinceaux j'ai téléchargé adwcleaner 

je l'ai enregistré, je l 'ai  lancé 

le script est apparu mais mon antivirus est intervenu, 

je sais plus trop ce que j'ai fait, j'ai placé une menace en quarantaine puis j'ai  

désactivé mon antivirus croyant bien faire j ai voulu relancé le logiciel 
 
résultat je n'arrive plus a retrouvé le script ni le logiciel ....

g3n-h@ckm@n · Answer

C:\Adwcleaner[Sx].txt

colac13 · Answer

# AdwCleaner v2.003 - Rapport créé le 27/09/2012 à 18:56:56
# Mis à jour le 23/09/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : nicolas - PC-DE-NICOLAS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users
icolas\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421


-\ Mozilla Firefox v15.0 (fr)

Nom du profil : default 
Fichier : C:\Users
icolas\AppData\Roaming\Mozilla\Firefox\Profiles\lw9vftrb.default\prefs.js

Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.id", "18be93660000000000000015832cd14d");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15576");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://www.google.com/search?babsrc=TB_ggl&q=");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.6.4.6");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.6.4.6");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=111020&tt=3412_1");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.6.4.612:01:54");

Nom du profil : default 
Fichier : C:\Users\kikou\AppData\Roaming\Mozilla\Firefox\Profiles\lehipe9d.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Usersoger\AppData\Roaming\Mozilla\Firefox\Profiles\w2uyi678.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users
icolas\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Opera v [Impossible d'obtenir la version]

Fichier : C:\Users
icolas\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R3].txt - [2956 octets] - [27/09/2012 18:56:31]
AdwCleaner[S1].txt - [2851 octets] - [27/09/2012 18:56:56]

########## EOF - C:\AdwCleaner[S1].txt - [2911 octets] ##########

g3n-h@ckm@n · Answer

le vista est d'origine ou c'est toi qui l'as installé dans la machine ?

colac13 · Answer

non il est d'origine, après j'ai déjà confié mon ordi a un réparateur pour d'autres virus

g3n-h@ckm@n · Answer

va savoir ce que t'a fait le reparateur.....tu peux l'expliquer ? il te l'a dit ?
 
================

bien....;encore des soucis ?

colac13 · Answer

ben non je ne peux l 'expliquer,

je n'ai plus de souci, 

si tu penses que l'on a fait ce qu'il fallait alors je te remercie infiniment.

colac.

g3n-h@ckm@n · Answer

fais le menage :

https://gen-hackman.kanak.fr/

Virus office central / sous vista

32 réponses

Votre réponse

Discussions similaires

Newsletters