Problème virus ministère de l'intérieur

DavidN83 Messages postés 9 Statut Membre -  
DavidN83 Messages postés 9 Statut Membre -
Bonjour à tous, nouveau sur le site. je viens d'avoir ce problème, j'ai lu toutes les solutions que vous apportez mais rien n'y fait que se soit en mode normal ou en mode sans échec, 2 secondes après le démarrage de l'ordinateur le fake se met à l'écran et ce que je peux faire est Ctrl/Alt/Sup => fermer la session: fonctionne, fin de tâches: fonctionne pas. Que faire.... Je suis sous Vista. Merci à vous

6 réponses

  1.
    kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Est ce que tu peux démarrer en mode sans échec avec l'invite de commande ?

    A +
    0
  2. DavidN83 Messages postés 9 Statut Membre
     
    Bonjour et merci de te pencher sur mon problème, donc oui j'ai pu lancer mon pc en mode sans échec et invité de commande. je suis actuellement au mot de passe de ma session
    A+
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Dans l'invite de commande, tu écris rstrui, valide par Entrée
      Suivant et tu choisis un point de restauration antérieur au blocage.
      Ensuite tu reviens sur le forum, car ce n'est pas fini.

      A+
      0
    2. DavidN83 Messages postés 9 Statut Membre
       
      je viens de choisir un point de restauration qui est du 9 janvier. Doit je lancé la restauration ?
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Oui, tu laisses le processus de restauration se faire et quand tu auras accès à nouveau au bureau, on fera une analyse du système pour voir si des actions sont nécessaires.

      A +
      0
    4. DavidN83 Messages postés 9 Statut Membre
       
      Il vient de terminer la restauration et de se relancer. Pour le moment plus de problème sur le bureau. Je viens de lancer un scan avec Malwarebytes (anti-malware) mis a jour biensur et une mise a jour de mon antivirus. Si tu a autre chose a faire, je suis preneur.

      A+
      0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Laisse le scan de Malwarebytes se terminer, puis poste le rapport obtenu stp

    Si l'infection a pu s'installer, c'est qu'elle a trouvé un terrain favorable.
    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

    msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://security-x.fr/up/
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
    1. DavidN83 Messages postés 9 Statut Membre
       
      je te poste le rapport de Malwarebytes :

      Protection: Activé

      13/01/2013 14:42:55
      mbam-log-2013-01-13 (14-42-55).txt

      Type d'examen: Examen complet (C:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 355406
      Temps écoulé: 53 minute(s), 6 seconde(s)
      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)
      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)
      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)
      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)
      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)
      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)
      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)
      Et je lance OTL
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      ok, parce que MBAM a rien trouvé :)
      0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Désinstalle si possible ce logiciel indésirable : 

    Babylon Toolbar on IE

    Aide : Comment désinstaller un programme

    == == == == == == == == == == == == == == == == == == == == == ==
    Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
    Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
    == == == == == == == == == == == == == == == == == == == == == ==

    2. Relance OTL

    Désactive temporairement Malwarebytes par clic-droit "Quitter" sur son icône prés de l'heure.

    ● Dans la partie "Personnalisation", copie/colle les instructions suivantes : 

    :instructions
:OTL
SRV - [2012/12/14 15:05:23 | 002,469,992 | ---- | M] () [Auto | Running] -- C:\ProgramData\BrowserProtect\2.5.1005.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe -- (BrowserProtect) 
IE - HKU\S-1-5-21-510304544-664913552-2757851478-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}     
IE - HKU\S-1-5-21-510304544-664913552-2757851478-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}     
IE - HKU\S-1-5-21-510304544-664913552-2757851478-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourc     
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\BrowserProtect\2.5.1005.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2012/12/24 12:26:32 | 000,000,000 | ---D | M] 
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\bh\BabylonToolbar.dll (Babylon BHO)        
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O4 - HKLM\..\Run: [NPSStartup]  File not found
O20 - AppInit_DLLs: (c:\progra~2\browse~1\251005~1.80\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.5.1005.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () 
[2012/12/24 12:26:33 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins 
[2012/12/24 12:26:33 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions 
[2012/12/24 12:26:33 | 000,000,000 | ---D | C] -- C:\Users\David et Gwen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect     
[2012/12/24 12:26:23 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserProtect     
[2012/12/24 12:22:54 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar       
[2012/12/24 12:20:59 | 000,000,000 | ---D | C] -- C:\Users\David et Gwen\AppData\Roaming\Babylon     
[2012/12/24 12:20:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon     
[2012/12/24 12:20:50 | 000,000,000 | ---D | C] -- C:\Users\David et Gwen\AppData\Roaming\GoforFiles 
[2012/12/24 12:20:50 | 000,000,000 | ---D | C] -- C:\Program Files\GoforFiles 
[2013/01/13 12:17:06 | 095,023,320 | ---- | M] () -- C:\ProgramData\0tbpw.pad 
[2012/12/24 12:20:59 | 000,000,000 | ---D | M] -- C:\Users\David et Gwen\AppData\Roaming\Babylon     
[2012/12/24 12:27:05 | 000,000,000 | ---D | M] -- C:\Users\David et Gwen\AppData\Roaming\GoforFiles 
[2012/12/04 11:38:42 | 000,000,000 | ---D | M] -- C:\Users\David et Gwen\AppData\Roaming\OpenCandy     
[245 C:\Users\DAVIDE~1\AppData\Local\Temp\*.tmp files -> C:\Users\DAVIDE~1\AppData\Local\Temp\*.tmp -> ] 
[2 C:\Users\DAVIDE~1\AppData\Local\Temp\Low\Google Toolbar\*.tmp files -> C:\Users\DAVIDE~1\AppData\Local\Temp\Low\Google Toolbar\*.tmp -> ] 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{50EE6837-702E-42AE-B020-35C3448F4D49}"=-
"{5FAEE443-A279-4940-ACE5-9DE2616D6942}"=-
"{87F24BD0-8805-4974-AA25-F0758BFE59E4}"=-
"{BC364D14-9241-4664-942A-7D02598432ED}"=-
:Files
C:\Users\David et Gwen\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph
ipconfig /flushdns /c
:Commands 
[emptytemp]

    Ferme impérativement les applications en cours.
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ▸ Sous XP double-clic sur l'icône pour lancer l'outil.
    ▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    Ferme impérativement le navigateur ainsi que les applications en cours.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    4. Héberge les rapports et poste les liens, A +
    0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Vérifions si tout est ok

    Relance OTL

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
    ● Héberge le rapport et donne moi le lien.

    A +
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Relance AdwCleaner en tant qu'administrateur
    ● Clique sur Désinstallation

    2. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle : 

    :commands
[clearallrestorepoints]

    ● Clique sur le bouton Correction.

    3. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    == == == == == == == == == MISES A JOUR == == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent : Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    Désactive Java, tant qu'un correctif n'est pas trouvé : http://obsession.nouvelobs.com/hacker-ouvert/20130111.OBS5167/java-victime-d-une-importante-faille-de-securite.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne soirée
    0
    1. DavidN83 Messages postés 9 Statut Membre
       
      Encore un grand merci pour ton aide. Une très bonne soirée à toi. Merci
      0

Discussions similaires

Chrome://newtab
Nova -
snoopy35_ -

14 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Intérieur de l'écran du téléphone cassé
RAYANOL29 -
Lulu99 -

8 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Erreur 0x800700E1
Didiervd -
Viktimz -

11 réponses