Virus interpol

Résolu/Fermé
mindart Messages postés 20 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 19 juin 2022 - 9 juin 2014 à 22:50
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 juin 2014 à 21:55
Bonjour,
Ayant attrapé le virus Interpol, qui me rançonne de 150 francs suisse, il me bloque en mettant sa page après mon démarrage et je ne peux plus utiliser mon ordinateur en mode normal
Je suis passé en mode sans échec pour vous écrire.
J'ai malwarebytes payant mais il n'a pas blqué le virus:
J'ai téléchargé adwcleaner en précaution. Je ne sais pas si ce sera suffisant mais je vais tenter un premier nettoyage car j'ai besoin de mon pc tous les jours mais comme je veux bien tout nettoyer, je demande de l'aide pour bien faire.
D'avance je vous remercie: j'ai un pc portable asus, sans lecteur CD

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
9 juin 2014 à 22:51
Salut,


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 21:55
Ca a l'air good :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

1
mindart Messages postés 20 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 19 juin 2022
10 juin 2014 à 00:00
Merci pour ta réponse hyper rapide:) voici le scan (après suppression): et bonne nuit.

RogueKiller V9.0.2.0 (x64) [Jun 3 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 8.1 (6.3.9600 ) 64 bits version
Démarrage : Mode sans echec avec prise en charge reseau
Utilisateur : oogii [Droits d'admin]
Mode : Suppression -- Date : 06/09/2014 23:54:26

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 4 ¤¤¤
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 1 ¤¤¤
[Rans.Gendarm][Fichier] explorer.lnk -- C:\Users\oogii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [LNK@] C:\Windows\System32\rundll32.exe C:\PROGRA~3\E1AF87~1\2gfdo2t7.cpp,work -> SUPPRIMÉ

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 7 ¤¤¤
[EAT:Addr] (explorer.exe) Syncreg.dll - CscNetApiGetInterface : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e1530
[EAT:Addr] (explorer.exe) Syncreg.dll - CscSearchApiGetInterface : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e3cb8
[EAT:Addr] (explorer.exe) Syncreg.dll - OfflineFilesEnable : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e6fa0
[EAT:Addr] (explorer.exe) Syncreg.dll - OfflineFilesGetShareCachingMode : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e7434
[EAT:Addr] (explorer.exe) Syncreg.dll - OfflineFilesQueryStatus : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e2f50
[EAT:Addr] (explorer.exe) Syncreg.dll - OfflineFilesQueryStatusEx : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e2d50
[EAT:Addr] (explorer.exe) Syncreg.dll - OfflineFilesStart : C:\WINDOWS\SYSTEM32\cscapi.dll @ 0x7ffd566e74f0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 80a3f926a2b03f97010481a0f085c2bf
[BSP] ea83e08ef8b5dcdb0fc9795f1fb6d3a9 : Unknown MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 476940 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_06092014_235323.log
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 09:14
y a du mieux si tu redémarres en mode normal ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mindart Messages postés 20 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 19 juin 2022
10 juin 2014 à 17:53
Bonjour Malekal_morte,
Le PC refonctionne parfaitement. Je ne sais pas s'il y a des restes, car après l'allumage, avant le win8 vert, il y a pendant une fraction de seconde, une des images, comme un arc-en-ciel, qui est venu, comme lorsque il était infecté. Mais à par ça, tout va bien.:) Merci beaucoup!
0
L'image d'arc-en-ciel est une des images par défaut de l'écran de lock. Pour une raison que j'ignore elle apparait pendant une fraction de seconde au démarrage. Depuis que je suis passé à Windows 8.1 (le faisait pas dans 8), ça me le fait systématiquement à chaque jour, depuis le premier jour.
0
Oui c'est juste. Je suis également passé a 8.1 ce weekend. Mais je ne l'avais pas remarqué jusqu'a l'incident du virus.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
10 juin 2014 à 17:54
Je crois pas que l'arc en ciel soit malicieux, histoire de vérifier :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



0
mindart Messages postés 20 Date d'inscription mardi 12 février 2008 Statut Membre Dernière intervention 19 juin 2022
10 juin 2014 à 18:48
0