Virus ukash ministère de l'interieur
Résolu/Fermé
gradille57
Messages postés
5
Date d'inscription
mardi 6 novembre 2012
Statut
Membre
Dernière intervention
8 novembre 2012
-
6 nov. 2012 à 12:58
Jane90 Messages postés 3 Date d'inscription jeudi 27 décembre 2012 Statut Membre Dernière intervention 29 décembre 2012 - 29 déc. 2012 à 10:25
Jane90 Messages postés 3 Date d'inscription jeudi 27 décembre 2012 Statut Membre Dernière intervention 29 décembre 2012 - 29 déc. 2012 à 10:25
A voir également:
- Virus ukash ministère de l'interieur
- Logiciel agencement interieur - Guide
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Softonic virus ✓ - Forum Virus
9 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
Modifié par Smart91 le 6/11/2012 à 13:00
Modifié par Smart91 le 6/11/2012 à 13:00
Bonjour,
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
gradille57
Messages postés
5
Date d'inscription
mardi 6 novembre 2012
Statut
Membre
Dernière intervention
8 novembre 2012
6 nov. 2012 à 13:06
6 nov. 2012 à 13:06
Merci pour la réponse,
Voici le rapport du scan :
RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierre et Rachèle [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 13:05:02
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 47926d9fbef4f8d14dd568f01faa2f17
[BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1]_S_06112012_130502.txt >>
RKreport[1]_S_06112012_130502.txt
Voici le rapport du scan :
RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierre et Rachèle [Droits d'admin]
Mode : Recherche -- Date : 06/11/2012 13:05:02
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 47926d9fbef4f8d14dd568f01faa2f17
[BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1]_S_06112012_130502.txt >>
RKreport[1]_S_06112012_130502.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
6 nov. 2012 à 13:09
6 nov. 2012 à 13:09
Si Roguekiller est toujours ouvert clique sur surpression puis sur rapport et poste le rapport
Sinon:
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
Sinon:
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
gradille57
Messages postés
5
Date d'inscription
mardi 6 novembre 2012
Statut
Membre
Dernière intervention
8 novembre 2012
6 nov. 2012 à 13:50
6 nov. 2012 à 13:50
Voici le rapport
RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierre et Rachèle [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 13:48:57
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> REMPLACÉ (C:\Windows\system32\logon.scr)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 47926d9fbef4f8d14dd568f01faa2f17
[BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_06112012_134857.txt >>
RKreport[1]_S_06112012_130502.txt ; RKreport[2]_S_06112012_134851.txt ; RKreport[3]_D_06112012_134857.txt
RogueKiller V8.2.2 [03/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierre et Rachèle [Droits d'admin]
Mode : Suppression -- Date : 06/11/2012 13:48:57
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> REMPLACÉ (C:\Windows\system32\logon.scr)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> SUPPRIMÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 47926d9fbef4f8d14dd568f01faa2f17
[BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3]_D_06112012_134857.txt >>
RKreport[1]_S_06112012_130502.txt ; RKreport[2]_S_06112012_134851.txt ; RKreport[3]_D_06112012_134857.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
6 nov. 2012 à 14:17
6 nov. 2012 à 14:17
Redémarre le PC en mode normal et fais ceci:
* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
Jane90
Messages postés
3
Date d'inscription
jeudi 27 décembre 2012
Statut
Membre
Dernière intervention
29 décembre 2012
27 déc. 2012 à 21:18
27 déc. 2012 à 21:18
Bonsoir:
snif, mon ordi est aussi infecté et je ne peux plus rien faire! heureusement que j'ai une cession d'invité sur mon poste!
J'ai lancé un scan et là, j'attends...déjà 27 fichiers d'infectés!
Ce qui est marrant c'est qu'une espece de cam est visible et en mouvement sur ladite page mais tout est flou, comme une échographie.
J'espère vivement qu'avec MLB ca va fonctionner:
Je vous enverrais le rapport à la fin.
En tout cas merci poir ce tuto:
snif, mon ordi est aussi infecté et je ne peux plus rien faire! heureusement que j'ai une cession d'invité sur mon poste!
J'ai lancé un scan et là, j'attends...déjà 27 fichiers d'infectés!
Ce qui est marrant c'est qu'une espece de cam est visible et en mouvement sur ladite page mais tout est flou, comme une échographie.
J'espère vivement qu'avec MLB ca va fonctionner:
Je vous enverrais le rapport à la fin.
En tout cas merci poir ce tuto:
Jane90
Messages postés
3
Date d'inscription
jeudi 27 décembre 2012
Statut
Membre
Dernière intervention
29 décembre 2012
27 déc. 2012 à 22:23
27 déc. 2012 à 22:23
voiçi le rapport, please help me
RogueKiller V8.4.1 [Dec 27 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Pipou Lapin [Droits d'admin]
Mode : Recherche -- Date : 27/12/2012 22:21:11
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] tcbhn.exe -- C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][SUSP PATH] tcbhn.lnk @Pipou Lapin : C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4e2aefd6d98403ae8e5b58b2535ed7e1
[BSP] 7f1fb1433a1a95b85e218560a8ffa956 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_27122012_222111.txt >>
RKreport[1]_S_27122012_222111.txt
RogueKiller V8.4.1 [Dec 27 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Pipou Lapin [Droits d'admin]
Mode : Recherche -- Date : 27/12/2012 22:21:11
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] tcbhn.exe -- C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][SUSP PATH] tcbhn.lnk @Pipou Lapin : C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4e2aefd6d98403ae8e5b58b2535ed7e1
[BSP] 7f1fb1433a1a95b85e218560a8ffa956 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_27122012_222111.txt >>
RKreport[1]_S_27122012_222111.txt
Jane90
Messages postés
3
Date d'inscription
jeudi 27 décembre 2012
Statut
Membre
Dernière intervention
29 décembre 2012
29 déc. 2012 à 10:25
29 déc. 2012 à 10:25
Coucouuuuuu!bah je l'ai copié! Merciii ca a fonctionné avant hier! Jespere il
Reviendra plus :((! En tout cas vois etes au top! Kisssss merciiii
Reviendra plus :((! En tout cas vois etes au top! Kisssss merciiii
gradille57
Messages postés
5
Date d'inscription
mardi 6 novembre 2012
Statut
Membre
Dernière intervention
8 novembre 2012
8 nov. 2012 à 10:09
8 nov. 2012 à 10:09
Bonjour
Après quelques galères d'installation voici le rapport
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.07.04
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Pierre et Rachèle :: PC-DE-PIERREETR [administrateur]
07/11/2012 14:04:25
mbam-log-2012-11-07 (14-04-25).txt
Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 475814
Temps écoulé: 3 heure(s), 53 minute(s), 25 seconde(s)
Processus mémoire détecté(s): 1
C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> 1840 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinUsr (Adware.Gibmedia) -> Données: C:\Program Files\Winsudate\gibusr.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> Suppression au redémarrage.
C:\Users\Pierre et Rachèle\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.
(fin)
Après quelques galères d'installation voici le rapport
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.07.04
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Pierre et Rachèle :: PC-DE-PIERREETR [administrateur]
07/11/2012 14:04:25
mbam-log-2012-11-07 (14-04-25).txt
Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 475814
Temps écoulé: 3 heure(s), 53 minute(s), 25 seconde(s)
Processus mémoire détecté(s): 1
C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> 1840 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinUsr (Adware.Gibmedia) -> Données: C:\Program Files\Winsudate\gibusr.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> Suppression au redémarrage.
C:\Users\Pierre et Rachèle\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.
(fin)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
8 nov. 2012 à 10:49
8 nov. 2012 à 10:49
Redémarre le PC. Relance MBAM et vide la quarantaine.
Normalement ti ne devrais plus avoir le Virus "ministère de l'Intérieur.
On va quand même faire un diagnostic du PC afin de voir s'il y a des restes ou d'autres infections.
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.forums-fec.be/ZHP/ZHPDiag2.exe
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.
Smart
Normalement ti ne devrais plus avoir le Virus "ministère de l'Intérieur.
On va quand même faire un diagnostic du PC afin de voir s'il y a des restes ou d'autres infections.
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.forums-fec.be/ZHP/ZHPDiag2.exe
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.
Smart
gradille57
Messages postés
5
Date d'inscription
mardi 6 novembre 2012
Statut
Membre
Dernière intervention
8 novembre 2012
8 nov. 2012 à 17:18
8 nov. 2012 à 17:18
Voici le rapport
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121108_g7d6r5l8k5
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121108_g7d6r5l8k5
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
8 nov. 2012 à 17:53
8 nov. 2012 à 17:53
Tu ne m'as pas dit si tu avais toujours le virus Ministère de lintérieur ?
Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Tu vas faire ceci:
Tout d'abord je voudrais vérifier une clé de registre
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
HKEY_CURRENT_USER\Software\HKEY_LOCAL_MACHINE
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via ce lien: http://pjjoint.malekal.com/
- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt
Cela fait deux rapports à poster
Smart
Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Tu vas faire ceci:
Tout d'abord je voudrais vérifier une clé de registre
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
HKEY_CURRENT_USER\Software\HKEY_LOCAL_MACHINE
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via ce lien: http://pjjoint.malekal.com/
- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt
Cela fait deux rapports à poster
Smart
