Virus office centrale de lutte contre la criminalité

clem3191 -  
 Utilisateur anonyme -
Bonjour,

voila j'ai ce virus qui me bloque l'ordinateur et j'aimerais que l'on m'aide svp

j'ai suivit des instructions que j'ai pu trouver sur des forum et je vous envois le rapport que j'ai eu.

le voici :

RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Anne-Lyse [Droits restreints]
Mode : Recherche -- Date : 05/11/2012 18:01:28

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$06873f2cbc1acd5e9351ef76a2c6a20e\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$06873f2cbc1acd5e9351ef76a2c6a20e\n.) -> TROUVÉ
[HOSTS] HKLM\[...]\Parameters : DataBasePath () -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[1]_S_05112012_180128.txt >>
RKreport[1]_S_05112012_180128.txt

13 réponses

  1. Utilisateur anonyme
     
    Bonjour

    * ReLancer RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Cliquer sur Scan.
    * A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

    * Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
    * Cliquer sur Suppression.
    * Cliquer sur Rapport et copier coller le contenu du notepad


    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
    0
  2. clem3191
     
    RogueKiller V8.2.2 [03/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Anne-Lyse [Droits restreints]
    Mode : Recherche -- Date : 05/11/2012 18:29:29

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 1 ¤¤¤
    [HOSTS] HKLM\[...]\Parameters : DataBasePath () -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    Termine : << RKreport[4]_S_05112012_182929.txt >>
    RKreport[1]_S_05112012_180128.txt ; RKreport[2]_S_05112012_181846.txt ; RKreport[3]_D_05112012_182001.txt ; RKreport[4]_S_05112012_182929.txt

    après la suppression que dois je faire?
    0
  3. clem3191
     
    voici mon rapport après la suppression
    RogueKiller V8.2.2 [03/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Anne-Lyse [Droits restreints]
    Mode : Suppression -- Date : 05/11/2012 18:32:27

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 1 ¤¤¤
    [HOSTS] HKLM\[...]\Parameters : DataBasePath () -> NON SUPPRIMÉ, UTILISER HOSTS RAZ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_32\Desktop.ini --> ERROR [0x5]
    [ZeroAccess][FILE] Desktop.ini : C:\windows\Assembly\GAC_64\Desktop.ini --> ERROR [0x5]

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    Termine : << RKreport[5]_D_05112012_183227.txt >>
    RKreport[1]_S_05112012_180128.txt ; RKreport[2]_S_05112012_181846.txt ; RKreport[3]_D_05112012_182001.txt ; RKreport[4]_S_05112012_182929.txt ; RKreport[5]_D_05112012_183227.txt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : Tuto Combofix
    0
  6. clem3191
     
    j'ai essayer tout ça mais le problème c'est que sur mon ordi il y a trois sessions et c'est la mienne qui est bloqué la je suis sur la session de mon amie et n'étant pas administrateur je ne peu installer ce dernier logiciel donc je ne sais comment faire
    0
  7. Utilisateur anonyme
     
    Fais le en mode sans echec avec prise en charge réseau.

    Démarrer Windows en « mode sans échec »

    Avec la touche F8
    - Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.
    - Vous naviguez dans le menu jusqu'à l'option « Mode sans échec avec prise en charge réseau» grâce aux flèches de direction.
    - Validez avec la touche Entrée.
    Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
    0
  8. invitée
     
    Super nanard4700 tu expliques bien.
    Je suis cette procédure sans la faire.
    0
  9. clem3191
     
    j'ai suivi cette procédure mais le problème perciste ma session admin est toujours bloqué. dès que je l'ouvre je vois le bureau 1 seconde puis la page du virus apparait
    0
  10. Utilisateur anonyme
     
    Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

    Étape 1: OTLPE (de OldTimer), préparation
    Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

    Notez qu'il est possible d'installer OTLPE sur une clef USB via PetoUSB, voir cette page : https://forum.malekal.com/viewtopic.php?t=24701&start=
    ou avec WintoFlash : https://forum.malekal.com/viewtopic.php?t=35312&start=

    Graver un CD à partir de ce fichier.
    Inutile d'utiliser un logiciel de gravure. L'exécutable intègre un utilitaire pour la gravure.

    Insère un CD vierge dans le PC
    Lance l'exécutable téléchargé et suis les invites.

    Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
    Sélectionner toutes les lignes en gras ci-dessous.

    netsvcs
    Drivers32
    msconfig
    activex
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    winlogon.exe
    explorer.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    consrv.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles


    Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
    Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
    Enregistrer le fichier sous le nom OTLPE-1.txt
    Fermer le Bloc-notes.

    Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.

    Étape 2: OTLPE (de OldTimer), analyse

    Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en français)

    Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
    Faire un double clic sur l'icône OTLPE.
    Si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
    A la demande "Do you wish to load the remote registry", répondre Yes
    A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
    Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

    L'écran principal de OTLPE s'affiche:

    Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

    Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
    Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

    Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" et choisir Coller.

    Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

    Puis cliquer sur le bouton Run Scan:

    Laisser l'outil travailler sans l'interrompre.
    Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
    Fermer le Bloc-notes.
    Fermer la fenêtre de OTLPE.

    Le fichier rapport est sauvegardé dans C:\OTL.txt

    Héberges ton rapport sur le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.
    0
  11. clem3191
     
    merci beaucoup
    je vais essayer de faire tout ça
    0
  12. clem3191
     
    bonjour,

    lorsque j'ouvre le notepad je ne sais pas ou trouver les lignes a selectionner
    0
    1. clem3191
       
      je n'ai qu'une page vier qui s'ouvre
      0
  13. Utilisateur anonyme
     
    Quand tu ouvres le bloc note tu dois copier/coller les lignes suivantes.

    netsvcs
    Drivers32
    msconfig
    activex
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    winlogon.exe
    explorer.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    consrv.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    0