Posez votre question Signaler

Virus Activité illégale demelée

ZackFair 3Messages postés 31 janvier 2012Date d'inscription 31 janvier 2012Dernière intervention - Dernière réponse le 13 févr. 2012 à 14:06

Bonjour,
J'ai choppé un virus hier soir, une page s'affiche à l'ouverture de la session avec marqué : "activité illégale demelée" et des conneries.
J'ai cherché sur le forum et j'ai fait ce qu'il était recommandé par Electricien 69, c'est à dire passer en mode sans échecs, téléchargé ZHPDiag et héberger le rapport sur Cijoint.
J'aurais donc besoin de quelqu'un pour m'aider à régler ce soucis :)
Merci d'avance.
Voici le lien sur Cijoint : http://cjoint.com/?BAFnfiuPNNr

Virus Activité illégale demelée »

Suggestions

Virus Activité illégale demelée
Trojan Winlock : "Virus Gendarmerie" et "Virus Bundespolizei" » Fiches pratiques
Virus "activité illégale" (Résolu) » Forum
Virus activité illicite demelee (Résolu) » Forum
Infection par virus activite illicite demelee (Résolu) » Forum
Virus activité illégale (Résolu) » Forum

Plus

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 31 janv. 2012 à 13:14

Salut,

[*] Télécharger sur le bureau http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

Ajouter un commentaire - Site web

Afficher les 5 commentaires

ZackFair- 31 janv. 2012 à 13:17

Merci pour la rapidité de la réponse.
Je fais ca tout de suite :)

ZackFair- 31 janv. 2012 à 13:21

RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Erwan [Droits d'admin]
Mode: Suppression -- Date : 31/01/2012 13:19:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] wpbt0.dll.lnk : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\Erwan\LOCALS~1\Temp\wpbt0.dll -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sa.windows.com
127.0.0.1 se.windows.com
127.0.0.1 ie.search.msn.com
127.0.0.1 wustat.windows.com
127.0.0.1 wutrack.windows.com
127.0.0.1 catalog.microsoft.com
127.0.0.1 sls.microsoft.com
127.0.0.1 spynet2.microsoft.com
127.0.0.1 spynettest.microsoft.com

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] da72c05c81c64612bb507dc2db161002
[BSP] f15c8988f8c3750bb51ba32e42dd302d : Whistler MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 102398310 | Size: 236182 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Voila. Est ce normal que le scan ait durée que quelque seconde ? O.o

Kirikou - 6 févr. 2012 à 17:48

Merci pour les infos et bravo à vous de relayer l info

Margel - 12 févr. 2012 à 21:16

Bonjour,

j'ai le même problème que Zackfair si quelqu'un pouvait me dire quoi faire de ça svp.

RogueKiller V7.0.4 [08/02/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: florent_debouzy [Droits d'admin]
Mode: Recherche -- Date : 12/02/2012 21:12:24

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] wpbt0.dll.lnk : C:\Windows\System32\rundll32.exe|C:\Users\FLOREN~1\AppData\Local\Temp\wpbt0.dll -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\SGSDOT~1.SCR) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEKT-08PVMT1 ATA Device +++++
--- User ---
[MBR] d262b5903cd94e027b25baebb79581a4
[BSP] 452356c6d2868e75d2ce7f13d2f8d641 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Merci d'avance.

Malekal_morte-- 13 févr. 2012 à 10:08

En suppression RogueKiller.

Réponse

Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 31 janv. 2012 à 13:24

T'as installé Search Settings.
Désinstalle le

Lire :
Les PUPs/LPIs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

~~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Passe le mot à tes amis !

Ajouter un commentaire - Site web

Tigzy- 13 févr. 2012 à 11:13

Mak, je sais pas si tu as vu ;)

[MBR] da72c05c81c64612bb507dc2db161002  
[BSP] f15c8988f8c3750bb51ba32e42dd302d : Whistler MBR Code!

EDIT: Arf, ça date, mais quand même...

g3n-h@ckm@n- 13 févr. 2012 à 12:22

pis le win est cracké alors....^^

Malekal_morte-- 13 févr. 2012 à 14:06

nope pas vu.
Toute façon, j'avais zappé le topic.

Réponse

ZackFair 3Messages postés 31 janvier 2012Date d'inscription 31 janvier 2012Dernière intervention 31 janv. 2012 à 13:28

D'accord.
Il y a un problème, mon ordi ne veut pas désinstaller search settings parce que je suis en mode sans échecs.
Comment je fais ? O.o

Merci.

Ajouter un commentaire

Malekal_morte-- 31 janv. 2012 à 13:29

Tu vas en mode normal.

ZackFair- 31 janv. 2012 à 13:32

Ah d'accord je peux re accéder au mode normal ...
Merci :)
Je fais tout ca de suite.

Réponse

ZackFair 3Messages postés 31 janvier 2012Date d'inscription 31 janvier 2012Dernière intervention 31 janv. 2012 à 13:42

# AdwCleaner v1.408 - Rapport créé le 31/01/2012 à 13:35:28
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Erwan - ORDINATE-15554D (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Erwan\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Erwan\Application Data\Dealio
Dossier Supprimé : C:\Documents and Settings\Erwan\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Program Files\Object
Fichier Supprimé : C:\Program Files\Mozilla Firefox\.autoreg

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{de4e75d3-60aa-4f02-a0e4-c8a40576574c}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facetheme
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.2180

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v3.6.25 (fr)

Profil : 2nhdn8ta.default
Fichier : C:\Documents and Settings\Erwan\Application Data\Mozilla\Firefox\Profiles\2nhdn8ta.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\Erwan\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2431 octets] - [31/01/2012 13:35:28]

*************************

Dossier Temporaire : 168 dossier(s) et 499 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [2655 octets] ##########

Voila le rapport.
Merci

Ajouter un commentaire

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Virus Activité illégale demelée

Virus Activité illégale demelée »

Passage au tout numérique : quel coût pour les particuliers ?