[Résolu] Virus police nationale

le 19 novembre 2012

Bonjour à tous,

Je surfais tranquillement sur la toile (rien d'illégal) lorsque d'un coup d'un seul je me retrouve nez à nez avec une page de la police nationale me condamnant à payer 100 euros à cause de mes actions terroristes, zoophiles et pédophiles. En prime, la webcam qui s'allume toute seule.

Remettons tout ça dans son contexte: Cela fait plusieurs jours qu'internet rame anormalement. Quand je mate un film, l'UC tourne à 100% avec adobe. Hier, je me suis tapé toute la soirée un spam de Leclerc au moindre clic que je faisais sur différents sites, me proposant des bons de réduction.

Bref, mon pc est bloqué. J'ai lu quelques discussions à ce sujet mais je préfèrerai avoir les conseils d'une personne qualifiée avant de me lancer dans de l'auto-médication, étant une quiche en informatique. Mon pc tourne sous vista efp.

Je vous remercie d'avance pour l'aide précieuse que vous m'apporterez.

Cordialement,

EB

Modifié le 22 novembre 2012 par el-babak

bernard53 · le 19 novembre 2012

Bonjour

En mode sans échec s.t.p

Télécharger sur le bureau<< RogueKiller >> (by tigzy)

Quitter tous les programmes

Lancer RogueKiller.exe.

Attendre que le Prescan ait fini ...

Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad

Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Puis en mode normal.

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

Bien entendu je parles du principe que le pc démarre sinon ceci: Kaspersky Windows Unlocker suivant ce lein.

Virus Sacem / Police Nationale | malekal's site

le 20 novembre 2012

Yop!

Merci pour la réponse et les indications.

Voici le log de roguekiller:

RogueKiller V8.3.0 [Nov 19 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Olivier! [Droits d'admin]

Mode : Recherche -- Date : 20/11/2012 16:08:31

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rans.Gendarm] HKCU\[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[RUN][Rans.Gendarm] HKUS\S-1-5-21-4229357495-1695096001-690783777-1000[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHX2250BT +++++

--- User ---

[MBR] 2306d8be04969d797ec0a7221d8deeba

[bSP] 21f961e148e9f6b285c501544a50005c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119237 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 247271424 | Size: 117737 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[1]_S_20112012_160831.txt >>

RKreport[1]_S_20112012_160831.txt

et voici le rapport de la suppression:

RogueKiller V8.3.0 [Nov 19 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Olivier! [Droits d'admin]

Mode : Recherche -- Date : 20/11/2012 16:08:31

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rans.Gendarm] HKCU\[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[RUN][Rans.Gendarm] HKUS\S-1-5-21-4229357495-1695096001-690783777-1000[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHX2250BT +++++

--- User ---

[MBR] 2306d8be04969d797ec0a7221d8deeba

[bSP] 21f961e148e9f6b285c501544a50005c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119237 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 247271424 | Size: 117737 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[1]_S_20112012_160831.txt >>

RKreport[1]_S_20112012_160831.txt

le 20 novembre 2012

Yop!

OTL semble bloquer sur "scanning firefox settings" depuis plus d'une trentaine de minutes.. So what?

Merci pour ton aide!

bernard53 · le 20 novembre 2012

dis moi tu as bien valider suppression avec roqueKiller :chpas:

Arrête OTL et relance le s.t.p

le 21 novembre 2012

Oui, il me semble avoir effectué la suppression avec RogueKiller. Veux tu que je recommence à nouveau l'opération?

Après une 2ème tentative, OTL a bien fonctionné:

http://cjoint.com/?0KvlDg1jKcC

http://cjoint.com/?0KvlEoXIAlu

Modifié le 21 novembre 2012 par el-babak

bernard53 · le 21 novembre 2012

ok ceci.

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

DRV - (catchme) -- C:\Users\Olivier!\AppData\Local\Temp\catchme.sys File not found

IE - HKLM\..\SearchScopes,DefaultScope = {4F00A873-76E8-481E-82F7-916A01A5C42F}

IE - HKLM\..\SearchScopes\{4F00A873-76E8-481E-82F7-916A01A5C42F}: "URL" = {searchTerms} - Recherche Google

IE - HKCU\..\SearchScopes,DefaultScope = {4F00A873-76E8-481E-82F7-916A01A5C42F}

IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = {searchTerms} - Bing

IE - HKCU\..\SearchScopes\{4F00A873-76E8-481E-82F7-916A01A5C42F}: "URL" = {searchTerms} - Recherche Google

MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinZip Quick Pick.lnk - - File not found

[2012/11/19 00:15:35 | 000,041,831 | RHS- | M] () -- C:\Users\Olivier!\0.4093187133385925.exe

@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:63238B95

@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:84375770

:Files

C:\Users\Olivier!\0.4093187133385925.exe

:Commands

[emptytemp]

[createrestorepoint]

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

Et ceci.

Installe Malewarebytes' Antimalware,

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

Après dis moi comment va ton pc s.t.p.

le 21 novembre 2012

Petite remarque: pendant le scan d'OTL il y a eu une alerte d'avira avec "programme indésirable trouvé dans c:/OTL ... du genre TR.PSW.zbot...

Je m'occupe de MBAM et je te poste le rapport dés que possible.

Merci pour ton aide.

le 21 novembre 2012

et voici le log de MBAM:

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)

Options d'examen désactivées:

Elément(s) analysé(s): 432729

Temps écoulé: 3 heure(s), 25 minute(s), 45 seconde(s)

Processus mémoire détecté(s): 0