virus Résolu

Question

Bonjour, 

j'ai  sur une cession  un message me demandant de payer pour débloquer mon ordi.

Je suis sur windows7 j'ai donc deux cessions la première est bloquée et là j'écris de la deuxième. 

J'ai bien essayé de restaurer le système à un date antérieure mais ça ne fonctionne pas.

Qui peu m'aider à rétablir la première cessions ?
D'avance merci





Configuration: Windows 7 / Firefox 17.0

lilidurhone · Accepted Answer

Hello

Le mieux serait d'attendre un contributeur sécurité 
Car certaines variantes bloquent tout

Bon noël :)

Utilisateur anonyme · Answer

Le mieux c'est de réinstaller le pc

rorovirg · Answer

bonjour est ce le soit disant virus de la gendarmerie?

Utilisateur anonyme · Answer

Mais non arrête de dire des conneries

crac42 · Answer

Oui  c'est ça  virus gendarmerie ou un truc qui y ressemble. 

Je ne peux pas réinstaller le pc.


Que faire ?

Utilisateur anonyme · Answer

Acheter ou télécharger le programme pour réinstaller Windows c'est la seule chose à faire mais le CD coûte quand même dans les 100 € - 200€ et je connais aucun site pour le télécharger

crac42 · Answer

IL doit y avoir une autre solution , ce problème est déjà arrivé et a été résolu ici même...

Utilisateur anonyme · Answer

Alors regarde un autre forum

Utilisateur anonyme · Answer

Bon noël à tous

crac42 · Answer

Oups comment j'ai pu loupe le post de rorovirg ???????  

Je m'y attelle de suite....

crac42 · Answer

C'est  ok  tout fonctionne de nouveau.

Merci

crac42 · Answer

Alors  tout fonctionne........  ou presque.

J'ai un message comme quoi le centre de sécurité  windows n'est pas activé  et quand je veux le faire : impossible.

crac42 · Answer

Je n'ai plus de points de restauration non plus...

crac42 · Answer

OK  mais comment faire ????

crac42 · Answer

OK  je patiente merci.

crac42 · Answer

Qui  veut m'aider ?.

g3n-h@ckm@n · Answer

salut on va lui casser la tronche t'as du te prendre un zeroaccess avec 

(maintenant que le virus est inactif vous pouvez lancer ROGUE KILLER ou ADWCleaner  : je vois pas le rapport entre les deux outils , tu arrives à tuer un rogue avec un anti-adwares ? trop fort ! va falloir que tu m'expliques comment tu fais j'y suis jamais arrivé )

Bref :

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!  
Attention !!! : cet outil peut etre détecté à tort comme virus  
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous  

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.  

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp  

telecharge et enregistre Pre_Scan sur ton bureau :  

https://forums-fec.be/gen-hackman/Pre_Scan.exe  

si le lien ne fonctionne pas :  

http://www.archive-host.com  

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"  

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :  

https://forums-fec.be/gen-hackman/Pre_Scan.pif  

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"  

Il se peut que des fenêtres noires clignotent , laisse-le travailler.  

Laisse l'outil redemarrer ton pc.  

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )  

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)  

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider   
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

crac42 · Answer

OK  c'est parti  je fais tout ça dans l'ordre.

g3n-h@ckm@n · Answer

à te lire :)

crac42 · Answer

Bon  à priori c'est fait mais je ne trouve pas le rapport ...

crac42 · Answer

https://www.cjoint.com/?0AdsbfBpTJr

crac42 · Answer

Je dois m'absenter jusqu'à demain matin.  Si tu veux bien merci de me laisser des instructions.

Merci beaucoup

g3n-h@ckm@n · Answer

bien il semblerait que tu aies un reste d'antivirus qui soit mal desinstallé

relance l'outil , clique sur diag , heberge le rapport pre_diag et donne le lien

crac42 · Answer

voici le lien

https://www.cjoint.com/?0AeiR55x9FB

g3n-h@ckm@n · Answer

pourquoi tu as supprimé 317 lignes du rapport ?

===============================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/c/CAepyJJja7j

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

crac42 · Answer

Je vais faire ce que tu dis.  Je n'ai pas supprimé 317 lignes....  je n'y connais pas assez pour m'amuser à ça !

crac42 · Answer

c'est fait 

https://www.cjoint.com/c/CAepWjnia33

g3n-h@ckm@n · Answer

ben il manque 317 lignes au rapport....

====================

 fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

crac42 · Answer

Voila le rapport

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.04.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Philippe :: PHILPC [administrateur]

04/01/2013 16:17:38
mbam-log-2013-01-04 (16-17-38).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386184
Temps écoulé: 31 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Philippe\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

crac42 · Answer

Comme tu le prévoyais il a fallu redémarrer l'ordi.

crac42 · Answer

Quand je rallume l'ordi l'antivirus me dit que je ne suis pas protégé. Il faut que j'aille dans l'interface d'AVG et que je clique sur corriger pour que la partie protection web se mette en route.     

Je ne sais pas si ça peut  t'aider.  Le centre de sécurité windows  est toujours désactivé et quand le je veux le mettre en route ça dit :   

Impossible de démarrer le centre de sécurité windows.

Et  hop  il faut que je parte , laisse moi tes instructions si tu veux bien.

Merci

g3n-h@ckm@n · Answer

repasse l'option scan|kill en mode sans echec à tous les coups AVG l'a bloqué pour travailler convenablement

crac42 · Answer

Je ne crois pas car à chaque fois je déconnecte AVG ( avec l'option désactiver jusqu'au prochain démarrage).

g3n-h@ckm@n · Answer

desinstalle et reinstalle AVG dans ce cas , y a un composant qui a du morfler

crac42 · Answer

C'est fait  j'ai supprimé et réinstaller  AVGet j'ai relancé un scan kill. 

Le problème c'est que l'ordi redémarre à un moment, donc l'anti viruS pour le coup se réactive et demande à bloquer winlogon. J'autorise le programme sur la console AVG. Ce dernier se remet en route et bloque sur  

 restauring auto restart shell  
 C:_user \philippe\appdata\roaming\vlc\vlcrc  

Pour l'instant c'est bloqué comme ça. Je laisse quand même au cas ou...

crac42 · Answer

Re télécharger quoi ?   J'ai supprimé AVG,  puis je l'ai re téléchargé et ré installé , je l'ai ensuite désactivé AVG jusqu'au re démarrage.  La suite est dans mon post précédent. 

Que dois-je faire ?

crac42 · Answer

Peut être supprimer de nouveau AVG et lancer winlogon ?

crac42 · Answer

Alors  je l'ai fait aussi pour info...

g3n-h@ckm@n · Answer

ok fais l options diag voir ?

crac42 · Answer

hop  c'est en route.

crac42 · Answer

voila le nouveau rapport

https://www.cjoint.com/c/CAhlm5vdliU

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
desinstalle esobi

 =====================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/c/CAhlCFCTHA0

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

crac42 · Answer

C'est quoi esobi ?   je ne le trouve pas dans la liste des programmes  et idem pour adobe 9   j'ai la version 11 d'installée.

g3n-h@ckm@n · Answer

clé de demarrage :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Adobe Reader Speed Launcher] : "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"     

 ==

clé de desinstallation :

[HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\{AC76BA86-7AD7-FFFF-7B44-A91000000001}] -> Adobe Reader 9.5.2 MUI (Adobe Systems Incorporated) -> MsiExec.exe /I{AC76BA86-7AD7-FFFF-7B44-A91000000001}

crac42 · Answer

Mince  tu me parles en javanais là !!!!    Je ne suis pas assez féru d'informatique pour cmprendre. 

comment je m'en sert de la clé de désinstallation ?

g3n-h@ckm@n · Answer

dans programmes  et fonctionnalités dans le panneau de config tu verras ecrit sur une des icones ce qui est en gras au dessus

crac42 · Answer

en fait il y a cela d'écrit :

adobe flash player 11 active x

adobe flash palet 11 plugin

adobe raider x (10.1.4) - francais


c'est ça que je dois supprimer ?

crac42 · Answer

je cherche et ne trouve pas cet adobe reader 9.... Même dans le fichier adobe 

c: programme /adobe  il y a le 10 mais pas le 9....

crac42 · Answer

Que fais-je ?

crac42 · Answer

??????????????? 

plus personne ?

g3n-h@ckm@n · Answer

re

ok fais le script

crac42 · Answer

excuse  moi  je suis un boulet  c'est quoi le script ? 

ET je dois m'absenter de nouveau , à demain...

g3n-h@ckm@n · Answer

https://forums.commentcamarche.net/forum/affich-26733735-virus?page=3#52

crac42 · Answer

Voila  c'est fait  


https://www.cjoint.com/c/CAjivfdPD0s

juju666 · Answer

Salut pour avancer

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration
Note : si l'option "Avec analyses 64 bits" apparaît, coche la.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

crac42 · Answer

Bonjour,

dois-je désactiver mon anti virus ?

juju666 · Answer

hello

si tu as une sandbox oui c'est préférable :) 

pour rappel : 

1/ tu ne fais que ce que je te dis , tu ignores les autres propositions sauf accord de ma part [g3n et moi on travaille ensemble donc pas de soucis ^^]

2/ si je ne te demande pas d'utiliser un logiciel de desinfection , tu ne l'utilises pas

3/ si je te demande de desinstaller un logiciel c'est qu'il est nefaste ou ne sert à rien,donc tu le desinstalles à moins d'avoir une bonne raison pour refuser

4/ si je te demande un rapport , tu me le donnes si l'outil a travaillé , donc si présent

et tu n'utilises rien d'autre que ce que je te demande

5/ tu ne prends pas d'initiatives sans mon accord car ca chamboulerait la désinfection

6/ tu ne postes pas sur d'autres forums et si tu t'y fais deja aider ailleurs , signale-le

7/ si tu n arrives pas à faire quelque chose ou telecharger un programme , ne le cherche pas ailleurs je le chercherai pour toi ou te donnerai une solution

8/ si tu ne comprends pas , pose des questions , je suis là pour essayer d'y repondre au mieux

9/ tu desactives toutes tes protections pare-feu windows compris pour l'utilisation de chaque outil utilisé sinon il sera bloqué et il faudra recommencer

10/ si ton antivirus possède une sandbox tu la desactives, que ce soit Avast , comodo , bitdefender , GDATA , ou autre , car sinon les outils seront inefficaces et risquent :

soit :

- de ne fournir aucun rapport
- de ne rien supprimer car ils sont detectés comme malwares par les antivirus

11/ tu lis bien toute la procedure donnée avant de commencer , pour chaque outil utilisé et execute exactement ce qui est demandé afin que :

le topic soit comprehensible 
l'on ne passe pas 4h sur un outil,ce qui te fera perdre du temps et moi aussi , puis l'infection gagner du terrain

si je ne reponds pas de suite , c'est que je ne suis pas 24/24 devant le pc , (quoi que.....^^) je ne t ai pas abandonné donc , sois patient(e) , etant bénévole je fais ce que je peux

crac42 · Answer

voila les liens

https://forums-fec.be/upload/www/?action=d&id=7739257013


https://forums-fec.be/upload/www/?action=d&id=3852409413

g3n-h@ckm@n · Answer

hello le script a été fait 10 fois non ?^^

crac42 · Answer

Non  une seule !!!!!   

J'ai neutralisé l'anti virus et lancé le script .....    

Je suis perdu là, je ne comprends plus grand chose....

crac42 · Answer

Bon  je peux verrouiller ce sujet ?  Tout est bon ?

g3n-h@ckm@n · Answer

hello attends julien a peut etre un autre script à te faire faire , s'il t'a demandé OTL...

juju666 · Answer

coucou je t'avais perdu en route

c'est bon tu peux passer au ménage : https://gen-hackman.kanak.fr/

@+

crac42 · Answer

Heuuuu  ou est passé mon post précédent  avec le rapport d'avant ???  

Voici le rapport de purea 

RaProducts' PureRa v1.7 
Log created at 14:39 on 15/01/2013 (Philippe) 

C:\Config.MSI emptied. 
C:\Users\Philippe\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied. 
C:\Users\Philippe\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied. 
C:\Windows\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable.  
Recycle bin emptied. 
C:\Windows\SoftwareDistribution\DataStore\Logs emptied. 
C:\Windows\SoftwareDistribution\Download emptied. 
C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied. 
C:\Windows\SoftwareDistribution\WuRedir emptied. 
C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.  
C:\Users\Philippe\AppData\Local\Temp emptied. 
C:\Windows\TEMP emptied. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_1024.db <- Accès refusé.  
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_256.db <- Accès refusé.  
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_32.db <- Accès refusé.  
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_96.db <- Accès refusé.  
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_idx.db <- Accès refusé.  
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_sr.db <- Accès refusé.  

Total space cleaned: 0 bytes 

Total space cleaned: 0 bytes 

Total space cleaned: 0 bytes 

-=E.O.F=-

juju666 · Answer

Il a certainement été mangé par le robot de modération, sûrement un mot qui est dans la blacklist.
Je demande restauration de ton message ne pouvant le faire moi-même.

As-tu lancé PureRa avec le clic droit => exécuter en tant qu'admin ? 
J'en doute :)

crac42 · Answer

Oups  en effet  j'ai du oublié ....

juju666 · Answer

A refaire donc :o)

crac42 · Answer

voila


RaProducts' PureRa v1.7
Log created at 15:55 on 15/01/2013 (Philippe)

C:\Config.MSI emptied.
C:\Users\Philippe\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
C:\Users\Philippe\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
C:\Windows\system32\FNTCACHE.DAT <- Successfully deleted.
Recycle bin emptied.
C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
C:\Windows\SoftwareDistribution\Download emptied.
C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
C:\Windows\SoftwareDistribution\WuRedir emptied.
C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. 
C:\Users\Philippe\AppData\Local\Temp emptied.
C:\Windows\TEMP emptied.
C:\Users\Philippe\AppData\Local\IconCache.db <- Successfully deleted.
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_1024.db <- Accès refusé. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_256.db <- Accès refusé. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_32.db <- Accès refusé. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_96.db <- Accès refusé. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_idx.db <- Accès refusé. 
C:\Users\Philippe\AppData\Local\Microsoft\Windows\Explorer	humbcache_sr.db <- Accès refusé. 

Total space cleaned: 19.27 MB

-=E.O.F=-

juju666 · Answer

Voilà qui est mieux ^^

La suite :)

crac42 · Answer

J'ai presque fini.  Je lance une défragmentation et le tour est joué ;)

juju666 · Answer

ça roule dans ce cas :o)

Je passe le sujet en résolu mais si soucis, tu sais où me trouver.
Tu up ce sujet.

@+

crac42 · Answer

Merci  beaucoup.

crac42 · Answer

Juste  pour info,  un des programme de nettoyage à désactive un des application de mon modem. Ne me demande pas quoi  car je n'en sais rien !!!!

juju666 · Answer

Si tu n'en dis pas plus on ne peux pas t'aider ....

Quand tu vas chez le médecin tu dis "ça va pas" ? 
Et ça marche ? 

^^

crac42 · Answer

Ce n'est pas une critique loin de là !!!!   En fait je ne sais pas ce qui c'est désactivé comme je te l'ai marqué.  Un collègue qui passait me voir l'a réactivé et depuis tout marche bien.  Je n'ai pas eu le temps de voir ce qu'il a fait ....  

merci de ton aide.

juju666 · Answer

Je ne l'ai pas pris comme une critique mais nous ne saurons du coup jamais ce qu'il a pu se passer :/

Virus - Page 3

Discussions similaires

Newsletters