Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus police nationale


Invité el-babak
 Share

Messages recommandés

Invité el-babak

Bonjour à tous,

 

Je surfais tranquillement sur la toile (rien d'illégal) lorsque d'un coup d'un seul je me retrouve nez à nez avec une page de la police nationale me condamnant à payer 100 euros à cause de mes actions terroristes, zoophiles et pédophiles. En prime, la webcam qui s'allume toute seule.

 

Remettons tout ça dans son contexte: Cela fait plusieurs jours qu'internet rame anormalement. Quand je mate un film, l'UC tourne à 100% avec adobe. Hier, je me suis tapé toute la soirée un spam de Leclerc au moindre clic que je faisais sur différents sites, me proposant des bons de réduction.

 

Bref, mon pc est bloqué. J'ai lu quelques discussions à ce sujet mais je préfèrerai avoir les conseils d'une personne qualifiée avant de me lancer dans de l'auto-médication, étant une quiche en informatique. Mon pc tourne sous vista efp.

 

Je vous remercie d'avance pour l'aide précieuse que vous m'apporterez.

 

Cordialement,

 

EB

Modifié par el-babak
Lien vers le commentaire
Partager sur d’autres sites

Bonjour

 

En mode sans échec s.t.p

Télécharger sur le bureau<< RogueKiller >> (by tigzy)

Quitter tous les programmes

Lancer RogueKiller.exe.

Attendre que le Prescan ait fini ...

Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad

 

Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

 

Puis en mode normal.

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s

%temp%\smtmp\1\*.* /s

%temp%\smtmp\2\*.* /s

%temp%\smtmp\4\*.* /s

nslookup Google /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

 

 

Bien entendu je parles du principe que le pc démarre sinon ceci: Kaspersky Windows Unlocker suivant ce lein.

Virus Sacem / Police Nationale | malekal's site

Lien vers le commentaire
Partager sur d’autres sites

Invité el-babak

Yop!

 

Merci pour la réponse et les indications.

Voici le log de roguekiller:

 

RogueKiller V8.3.0 [Nov 19 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Olivier! [Droits d'admin]

Mode : Recherche -- Date : 20/11/2012 16:08:31

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rans.Gendarm] HKCU\[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[RUN][Rans.Gendarm] HKUS\S-1-5-21-4229357495-1695096001-690783777-1000[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rans.Gendarm ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: FUJITSU MHX2250BT +++++

--- User ---

[MBR] 2306d8be04969d797ec0a7221d8deeba

[bSP] 21f961e148e9f6b285c501544a50005c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119237 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 247271424 | Size: 117737 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_20112012_160831.txt >>

RKreport[1]_S_20112012_160831.txt

 

et voici le rapport de la suppression:

 

RogueKiller V8.3.0 [Nov 19 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Olivier! [Droits d'admin]

Mode : Recherche -- Date : 20/11/2012 16:08:31

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rans.Gendarm] HKCU\[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[RUN][Rans.Gendarm] HKUS\S-1-5-21-4229357495-1695096001-690783777-1000[...]\Run : svñhîst (C:\Users\Olivier!\0.4093187133385925.exe) -> TROUVÉ

[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rans.Gendarm ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 1001namen.com

127.0.0.1 www.1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 www.100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: FUJITSU MHX2250BT +++++

--- User ---

[MBR] 2306d8be04969d797ec0a7221d8deeba

[bSP] 21f961e148e9f6b285c501544a50005c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119237 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 247271424 | Size: 117737 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_20112012_160831.txt >>

RKreport[1]_S_20112012_160831.txt

Lien vers le commentaire
Partager sur d’autres sites

Invité el-babak

Yop!

 

OTL semble bloquer sur "scanning firefox settings" depuis plus d'une trentaine de minutes.. So what?

 

Merci pour ton aide!

Lien vers le commentaire
Partager sur d’autres sites

ok ceci.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL

DRV - (catchme) -- C:\Users\Olivier!\AppData\Local\Temp\catchme.sys File not found

IE - HKLM\..\SearchScopes,DefaultScope = {4F00A873-76E8-481E-82F7-916A01A5C42F}

IE - HKLM\..\SearchScopes\{4F00A873-76E8-481E-82F7-916A01A5C42F}: "URL" = {searchTerms} - Recherche Google

IE - HKCU\..\SearchScopes,DefaultScope = {4F00A873-76E8-481E-82F7-916A01A5C42F}

IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = {searchTerms} - Bing

IE - HKCU\..\SearchScopes\{4F00A873-76E8-481E-82F7-916A01A5C42F}: "URL" = {searchTerms} - Recherche Google

MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinZip Quick Pick.lnk - - File not found

[2012/11/19 00:15:35 | 000,041,831 | RHS- | M] () -- C:\Users\Olivier!\0.4093187133385925.exe

@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:63238B95

@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:84375770

:Files

C:\Users\Olivier!\0.4093187133385925.exe

:Commands

[emptytemp]

[createrestorepoint]

 

 

* Cliques sur l'icône Correction (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un rapport s'ouvrir "OTL.log"

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

Et ceci.

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

Après dis moi comment va ton pc s.t.p.

Lien vers le commentaire
Partager sur d’autres sites

Invité el-babak

Petite remarque: pendant le scan d'OTL il y a eu une alerte d'avira avec "programme indésirable trouvé dans c:/OTL ... du genre TR.PSW.zbot...

 

Bref, voici le log: © CJoint.com, 2012

 

Je m'occupe de MBAM et je te poste le rapport dés que possible.

 

Merci pour ton aide.

Lien vers le commentaire
Partager sur d’autres sites

Invité el-babak

et voici le log de MBAM:

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P

Options d'examen désactivées:

Elément(s) analysé(s): 432729

Temps écoulé: 3 heure(s), 25 minute(s), 45 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

C:\Users\Olivier!\Desktop\RK_Quarantine\0.4093187133385925.exe.vir (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.

C:\_OTL\MovedFiles\11212012_133229\C_Users\Olivier!\0.4093187133385925.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

Petite remarque: avira s'est manifesté 2 fois pour TR/agent.81920.337 et pour TR/PSW.Zbot.1851. Mais je ne sais pas si c'est utile de le préciser.

 

On m'avait dit que MBAM n'était plus aussi efficace qu'avant face aux infections actuelles mais je te fais entière confiance.

 

Le pc semble tourner correctement. Il ne me reste plus qu'à faire quelques mises à jour, rangeage et nettoyage. D'ailleurs pour le nettoyage, j'utilise spybot et Ccleaner. Y a t'il des programmes plus efficaces que tu pourrais me conseiller?

 

Mon pc est-il clean désormais?

 

Un grand merci pour ton aide et pour le temps que tu y as passé!

 

EB

Lien vers le commentaire
Partager sur d’autres sites

Pour moi spybot est plutôt obsolète: je préfère Malwaresbytes :super:

 

Petite remarque: avira s'est manifesté 2 fois pour TR/agent.81920.337 et pour TR/PSW.Zbot.1851. Mais je ne sais pas si c'est utile de le préciser.

surement la détection du backup de RoqueKiller.

Pour moi tout cela me semble bien. dis moi si pour toi tout va toujours bien :)

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...