Virus gouvernement avec demande de paiement 100€

Seb -  
 GuillaumeFillon13 -
Bonjour,

Voilà j'ai attrapé ce virus, il y a 2 jours, celui où l'on doit payer 100€ pour redonner l'accès. J'ai éteins tout de suite après, j'ai pas cherché à tester des manip sauf tester le mode sans echec. J'écris via un autre pc sur ce forum.

Je peux me connecter en mode echec avec réseau.

J'ai fait un scan avec spy bot mais il ne voit rien.

Je suis sous win7.

Merci de votre aide.

Seb

9 réponses

  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    hello,

    ---> Télécharge sur le bureau RogueKiller (créé par Tigzy)
    https://www.luanagames.com/index.fr.html

    ---> Après le pre-scan, Lancer un Scan par le bouton Scan à droite.

    ---> Clique sur [Suppression]

    ---> Puis clique sur [Rapport] une fois le scan terminé, et copie/colle le rapport dans ta réponse.

    ---> Redémarre ton ordinateur.

    (le rapport est également sur le bureau)

    * Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe

    A+

    ----------Contributeur Sécurité-----------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  2. Seb
     
    Re-bonjour,

    Merci d'avoir répondu aussi vite, voici le rapport.

    RogueKiller V8.4.1 _x64_ [Dec 24 2012] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : SEB [Droits d'admin]
    Mode : Suppression -- Date : 25/12/2012 09:03:18

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
    --- User ---
    [MBR] 0e997ea79190dd571dfe1a0bbf3ed5e6
    [BSP] 63e249cf9fac671fbc1cb94921a81946 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13319 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27278370 | Size: 101 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27487215 | Size: 237358 Mo
    3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 513599488 | Size: 226158 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_25122012_090318.txt >>
    RKreport[1]_S_25122012_090258.txt ; RKreport[2]_D_25122012_090318.txt

    Merci pour ton aide

    Seb
    0
  3. Utilisateur anonyme
     
    Bonjour

    Pour avancer

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  4. Seb
     
    Merci je vais essayer ça de suite.

    Là j'ai redémarrer le pc en mode normal et ça marche. Par contre, j'avais oublié de le mentionner, j'avais fait au tout début en mode sans echec msconfig/démarrage et j'avais tout inactivé.

    Seb
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Seb
     
    Hello,

    Voilà le rapport. Je pense que maintenant c'est bon.

    Merci à vous deux pour votre aide et joyeux NOËL.

    Seb

    Malwarebytes Anti-Malware (Essai) 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.12.25.04

    Windows 7 x64 NTFS
    Internet Explorer 9.0.8112.16421
    SEB :: SEB-PC [administrateur]

    Protection: Activé

    25/12/2012 09:45:50
    mbam-log-2012-12-25 (09-45-50).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 505603
    Temps écoulé: 1 heure(s), 11 minute(s), 17 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 6
    C:\Users\SEB\wgsdgsdgdsgsd.dll (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\SEB\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\1ede2ede-10c2527b (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    D:\RECORD\LOGICIEL\log zik\ToonTrack.Superior.Drummer.v2.0.VSTi.RTAS.AU.HYBRID.AiRISO\Keygen.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
    D:\RECORD\LOGICIEL\log zik\WaveMachine.Labs.Drumagog.VST.RTAS.v4.02.incl.KeyGen.Fixed-H2O\WaveMachine.Labs.Drumagog.VST.RTAS.v4.02.incl.KeyGen.Fixed-H2O\h-drgogb\h-drgog\Keygendruma.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\SEB\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. Utilisateur anonyme
     
    Re

    Ce n'est pas fini...

    déja si tu continues de jouer avec les cracks tu auras toujours des soucis

    SX Check&Update est un outil développé par Igor51.

    De nombreuses infections se propagent via des failles logiciels tels que FlashPlayer, Adobe Reader et Java. Il est donc indispensable de les maintenir à jour.
    SX Check&Update permet très facilement de mettre à jour ces programmes grâce à son interface simplifiée.
    SX Check&Update est compatible: Windows XP (32 / 64 bit), Vista (32 / 64 bit), 2008, Windows 7 (32 / 64 bit)

    Télécharger SX Check&Update (de igor 51) sur le Bureau.

    Utilisateur d'AVAST : Il vous faut désactiver les agents de protections le temps de l'exécution.

    Désactiver l'Agent WEB pour que l'outil puisse correctement fonctionner.
    Lancer l'outil.
    Il est indispensable que l'ordinateur soit connecté à Internet afin que SX Check&Update puisse vérifier les versions des logiciels à risque.
    Au menu principal, choisir l'option Rapport.
    Poste moi ce rapport ;merci

    @+
    0
  8. Seb
     
    et voici le rapport

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
    ---
    Windows Version : Windows 7 64bits
    Aucun Service Pack
    UserName : SEB
    25/12/2012
    12:07:02
    version = v0.3.0
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.5.502.135
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin FF
    Version : 11.5.502.135
    Flash Player Plugin FF est à jour

    Name : FlashPlayer Plugin
    Version : 11.5.502.135
    Flash Player Plugin est à jour

    Name : Adobe Photoshop Elements 8.0
    Version : 8.0
    Adobe Reader n'est pas à jour!
    Nom : Mozilla Firefox 17.0.1 (x86 fr)
    Version : 17.0.1

    Name : Adobe Photoshop Elements 8.0
    Version : 8.0
    Adobe Reader n'est pas à jour!
    Java Information :
    Nom : Java 7 Update 10
    Version : 7.0.100
    Java 7 Update 10 est à jour

    Nom : Adobe Reader XI - Français
    Version : 11.0.00
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421
    0
  9. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Hello seb, merci Guillaume 5188,

    Il serait bon avant de terminer définitivement de vérifier qu'il ne reste pas quelques indésirables sur ta machine. En général cette infection ne vient pas seule !

    ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées.
    Voici comment faire ici

    * Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
    /!\Il est très important de l'enregistrer sur le bureau / !\
    * Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
    * Maintenant clique sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
    * Clique sur la loupe pour « lancer le diagnostic » .
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
    * Laisse l'outil travailler, il peut être assez long.
    * Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
    * Transmets moi le lien du fichier.
    * Rappel des dépôts : cijoint ou pjoint ou FEC
    0
    1. GuillaumeFillon13
       
      Bonsoir, j ai moi aussi le virus ukasch ministère de linterieur. J ai exécuté le cd de malekal.com, lance le scan de roguekiller (qui ma trouvé une vingtaine de défaillances registre) puis fait supprimé. Mais le virus revient a chaque redémarrage. J ai les rapports sur mon bureau que je vais essayer de mettre sur cle usb. Quelqu un pourrait il m aider?
      0
    2. GuillaumeFillon13
       
      Bonsoir, j ai moi aussi le virus ukasch ministère de linterieur. J ai exécuté le cd de malekal.com, lance le scan de roguekiller (qui ma trouvé une vingtaine de défaillances registre) puis fait supprimé. Mais le virus revient a chaque redémarrage. J ai les rapports sur mon bureau que je vais essayer de mettre sur cle usb. Quelqu un pourrait il m aider?
      0
  10. lucielou53 Messages postés 40 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour, il m'est arrivé la même chose, j'ai réussi à installer RocketPDF, mais désormais, je n'arrive pas à m'en servir et à savoir quoi faire,
    0