Problème virus au démarrageRésolu/Fermé

Question

Bonjour, 

Mon PC rencontre un problème après le chargement de Windows XP.

Un écran blanc s'affiche, comme une sorte de page Web sans possibilité de la fermer ou de la réduire. Lorsque je fais Ctrl + Alt + Suppr, j'ai le choix entre mettre en veille, fermer la session, éteindre, et ouvrir le Gestionnaire des tâches, ce que je fais.
À ce moment là, celui-ci s'ouvre mais en tâche de fond, et est caché par cette page.
Impossible de changer de fenêtre avec Alt + Tab, et il ne se passe rien avec la touche Windows.

La page du virus m'explique que mon ordinateur a été bloqué par la gendarmerie nationale, avec quelques fautes d'orthographe, et qu'il faut que je paye 200€ via Ucash ou Paysafecard ou je me fais perquisitionner sous 3 jours. J'ai bien ri.

Bref, j'espère pouvoir remédier à ce problème, je suis obligé d'utiliser mon second PC...

Configuration: 
PC Gaming* de 2008 :

- Windows XP 32 bits / Firefox 10.0.2
- Cooler Master Cosmos
- HIPER 880W HPU-4M880
- Intel Core 2 Extreme QX9770
- Noctua NH-U12P
- Asus Striker II Extreme
- GeForce GTX 280 x2 (en SLI)
- Twin3X 2 x 2 Go 1600C7DHX
- Western Digital 300Go 10000 tr/min x2
- Samsung 1To 7200 tr/min x2
- Creative Sound Blaster X-Fi
- Logitech G15
- Logitech G9
- Belinea o.display 26"
- Logitech Z-5500 Digital 5.1
- Logitech Quickcam Pro 9000
- Steelseries 5H v2

adi0603 · Answer

Bonsoir,
Tu as le virus gendarmerie nationale !
C'est une arnaque qui es apparu récemment.
Fait un scan avec Hijackthis et post le log ci dessous stp

Batwarkov · Answer

Bon, c'est plus grave que ce que je pensais !

En démarrant en "Mode sans échec avec prise en charge réseau", le virus arrive quand même à s'afficher, ainsi qu'en "Mode sans échec".

Seul le mode "Invite de commandes en mode sans échec" fonctionne sans problème.

Avez-vous une solution ?

Batwarkov · Answer

Problème résolu depuis un mois grâce au site Malekal :
https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

Merci quand même. ;)

g3n-h@ckm@n · Answer

salut t'es encore infecté quand meme ^^

Batwarkov · Answer

Tu pourrais proposer une solution ?

Batwarkov · Answer

Personne ?

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Batwarkov · Answer

Suite à une période d'examens j'ai préféré attendre d'être en vacances pour régler ce problème.

J'ai donc fait le scan, mais au bout de presque une heure, le scan répète toujours la même action pendant une bonne dizaine de minutes, sur le logiciel Skype. Il finit par freezer sur le chemin d'accès que voici :

http://image.noelshack.com/fichiers/2012/26/1340810477-IMG_3161.jpg

Je n'ai évidemment pas pu terminer le scan, pas de rapport donc.
Pour revenir poster j'ai simplement créé la tâche "explorer.exe" et quitté le script après avoir essayé de décocher "Script paused" sur celui-ci.
J'espère que ce screen vous permettra de mieux cerner ce dont j'essaye d'expliquer.

D'avance merci pour votre aide.

g3n-h@ckm@n · Answer

? tu entends quoi par freezer ?

t'as pas une sandbox activée ?

Batwarkov · Answer

Je veux dire que le scan s'arrête et je ne peux plus rien faire sauf quitter.

Une sandbox ? Je n'ai installé aucun "mécanisme qui permet l'exécution de logiciel(s) avec moins de risques pour le système d'exploitation" à ma connaissance.

g3n-h@ckm@n · Answer

re

telecharge la version .pif etlance-le en mode sans echec

Batwarkov · Answer

J'ai lancé la version Pre_Scan.pif en Mode sans échec et rebelote :

http://image.noelshack.com/fichiers/2012/28/1341935579-IMG_3269.jpg

J'ai donc redémarré l'ordi, désinstallé Skype, et refait le scan.
Cette fois c'est sous le même chemin d'accès, mais avec le logiciel Daemon Tools qu'il bloque.

Je ne comprends pas d'où vient le problème...

g3n-h@ckm@n · Answer

qs-tu téléchargé la derniere version comme demandé ?

Batwarkov · Answer

Oui j'avais bien la dernière version à chaque fois.

Bon, problème réglé, j'ai en fait dû laisser tourner le PC deux jours et une nuit, en fait le programme n'était pas bloqué.

Voici donc le ficher Pre_Scan_23_04_2012_20_03_23.txt :
https://pjjoint.malekal.com/files.php?id=20120711_v15y10c10c7g10

g3n-h@ckm@n · Answer

mes aïeux quelle poubelle !!! 

bitdefender meme pas desactivé...

====== 

tu n'as jamais fini tes desinfections je vois...en esperant que tu finisses celle-ci jusqu'au bout pour une fois... 

====== 

pourquoi tu n'as jamais fait les mises à jour de windows ? 

====== 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Batwarkov · Answer

Oui je le conçois, ça fait un moment que j'ai négligé un bon nettoyage de tout ce merdier par manque de temps.

Mais justement Bit Defender était désactivé au moment du scan.

======

J'y compte bien, j'aimerais que l'on m'assiste pour nettoyer chaque disque dur d'éventuels malwares, spywares et autres adwares...

Sous Firefox j'ai par exemple deux fenêtres de publicités qui s'affichent quelques fois lorsque j'ouvre une page :
http://image.noelshack.com/fichiers/2012/28/1342060780-Pubintempestives.jpg

======

J'avais déjà fait les mises à jour de Windows il y a quelques mois mais pas récemment, d'ailleurs si j'essaye d'en faire à l'heure actuelle à partir du centre de sécurité on me dit ceci :
http://image.noelshack.com/fichiers/2012/28/1342060053-ErreurmisesjourWindows.jpg

Je crois que c'est depuis que j'ai fait le scan qu'il y a ce problème...

======

Merci d'avance. :(

g3n-h@ckm@n · Answer

re

comme quoi...;bitdefender....pas si terrible que ca...bref !! ^^

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Batwarkov · Answer

Voici le rapport d'ADWcleaner :

# AdwCleaner v1.701 - Rapport créé le 12/07/2012 à 17:54:10
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Admin - PARTICULIER1
# Exécuté depuis : C:\Documents and Settings\Admin\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Admin\Local Settings\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\Admin\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions
iapdbllcanepiiimjjndipklodoedlc
Dossier Supprimé : C:\DOCUME~1\Admin\LOCALS~1\Temp\boost_interprocess
Dossier Supprimé : C:\Documents and Settings\Admin\AppData\LocalLow\bbrs_002.tb
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\advantage
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\BrowserCompanion
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\kujytuo
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\g75sup7h.default\extensions\bbrs_002@blabbers.com
Dossier Supprimé : C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\g75sup7h.default\extensions\plugin@yontoo.com
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Tarma Installer
Dossier Supprimé : C:\Program Files\BrowserCompanion
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\DAEMON Tools Toolbar
Dossier Supprimé : C:\Program Files\webHancer
Dossier Supprimé : C:\Program Files\Yontoo
Fichier Supprimé : C:\Program Files\Mozilla Firefox\components\AdVComponent.dll
Fichier Supprimé : C:\WINDOWS\whAgent.inf
Fichier Supprimé : C:\WINDOWS\whInstaller.exe
Fichier Supprimé : C:\WINDOWS\whInstaller.ini

***** [Registre] *****

Clé Supprimée : HKCU\Software\advantage
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID	dataprotocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj
Clé Supprimée : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\base64
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\chrome
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\prox
Clé Supprimée : HKLM\SOFTWARE\Classes	dataprotocol.CTData
Clé Supprimée : HKLM\SOFTWARE\Classes	dataprotocol.CTData.1
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO.2
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions
iapdbllcanepiiimjjndipklodoedlc
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar
Clé Supprimée : HKLM\SOFTWARE\OpenCandy NSIS SDK
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Clé Supprimée : HKLM\SOFTWARE\webHancer
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion [adv_i]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion [adv_i]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C89435B0-CDFE-11D3-976A-00E02913A9E0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C8CB3870-CDFE-11D3-976A-00E02913A9E0}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{D367A4AF-8202-4173-A115-9831108F1E0A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467E-B8D4-7786EDA79AE0}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467E-B8D4-7786EDA79AE0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C900B400-CDFE-11D3-976A-00E02913A9E0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C900B400-CDFE-11D3-976A-00E02913A9E0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\g75sup7h.default\prefs.js

C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\g75sup7h.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v20.0.1132.47

Fichier : C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [11764 octets] - [12/07/2012 17:54:10]

########## EOF - C:\AdwCleaner[S1].txt - [11893 octets] ##########

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Batwarkov · Answer

Voici le rapport de Malwarebytes Anti-Malware :

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.12.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: PARTICULIER1 [administrateur]

Protection: Activé

12/07/2012 18:57:34
mbam-log-2012-07-12 (18-57-34).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|K:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1081761
Temps écoulé: 3 heure(s), 54 minute(s), 2 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 9
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{07B18EA0-A523-4961-B6BB-170DE4475CCA} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{29D67D3C-509A-4544-903F-C8C1B8236554} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{3E720450-B472-4954-B7AA-33069EB53906} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{7473D290-B7BB-4f24-AE82-7E2CE94BB6A9} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{8CA01F0E-987C-49C3-B852-2F1AC4A7094C} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{8E6F1830-9607-4440-8530-13BE7C4B1D14} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{E79DFBC0-5697-4fbd-94E5-5B2A9C7C1612} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Downloads
sli.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Downloads\u95.exe (PUP.UltraSurf) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\0.9700981433271126g8j8.exe.P_S (Trojan.Winlock) -> Mis en quarantaine et supprimé avec succès.
F:\ProgramData\pGONmFwqUnrH.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
F:\Users\Batista\AppData\Local\Temp\EC0B.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
F:\Users\Batista\AppData\Local\Temp\x2loFYhfSNZHYD.exe.tmp (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
F:\Users\Batista\AppData\Local\Temp\zI16FmBqVlg7DC.exe.tmp (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
F:\Users\Batista\AppData\Local\Temp\3F78.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
F:\Users\Batista\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\22198f26-28070dd7 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
G:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

c'est quoi ce disque F:\ ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Batwarkov · Answer

Comme je l'avais précisé dans mon premier post, j'ai 4 disques durs :

- 2 x Western Digital 300 Go 10 000 tr/min .............. C:\ et F:\
- 2 x Samsung 1 To 7 200 tr/min ............................. G:\ et H:\

Regroupés comme ceci :
http://image.noelshack.com/fichiers/2012/28/1342141075-Postedetravail.jpg

Windows XP est installé sur le premier et Windows 7 sur le second. :)

g3n-h@ckm@n · Answer

haaannnn !!!! ok ^^

desolé je bosse mon outil du coup je tarde ^^

des soucis persistent ?

Batwarkov · Answer

Non, il n'y a plus les pubs intempestives, Mozilla ne bug plus, kujituo a été supprimé, etc. La poubelle est-elle réellement nettoyée ou un petit coup de CCleaner s'impose chef ? :P

g3n-h@ckm@n · Answer

oué ^^

https://gen-hackman.kanak.fr/#1037

Batwarkov · Answer

Voilà, je reviens de vacances et j'ai voulu finir toutes les étapes de ton message avant de poster.

Voici donc les rapports :

RaProducts' PureRa v1.7
Log created at 22:02 on 13/07/2012 (Admin)

Total space cleaned: 1178.72 MB

__________________________________________________

Concernant DelFix, le rapport a été supprimé lors de sa désinstallation, et je ne l'avais pas copié, mais les logiciels de désinfection ont bien été supprimés.

__________________________________________________

Tout le reste a été suivi à la lettre.

Mais un problème persiste : les mises à jour automatique refusent de s'activer.

http://image.noelshack.com/fichiers/2012/28/1342060053-ErreurmisesjourWindows.jpg

__________________________________________________

Merci d'avance.

g3n-h@ckm@n · Answer

telecharge windatefix , coche Tous , les services sur demarré et automatique , puis executer

le rapport sera dans C:\

http://general-changelog-team.fr/fr/downloads/view.download/11

Batwarkov · Answer

Ah, parfait, elles se sont activées. :D

Voici le rapport de bdlog.txt :

2012-07-24 05:31:43.296 PROFILE  [Midas stop] [73ms]
2012-07-24 05:31:43.343 PROFILE  [StopProxies] [21ms]
2012-07-24 05:31:46.296 PROFILE  [Stop Drivers] [3s:0ms]
2012-07-24 05:31:46.437 PROFILE  [Unload html] [128ms]
2012-07-24 05:31:46.437 PROFILE  [Registration data] [0ms]
2012-07-24 05:31:46.437 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-07-24 05:31:46.453 PROFILE  [GM unload] [19ms]
2012-07-24 05:31:46.468 PROFILE  [Vulner uninit] [18ms]
2012-07-26 02:12:18.593 PROFILE  [Midas stop] [31ms]
2012-07-26 02:12:18.625 PROFILE  [StopProxies] [0ms]
2012-07-26 02:12:20.515 PROFILE  [Stop Drivers] [1s:929ms]
2012-07-26 02:12:20.609 PROFILE  [Unload html] [90ms]
2012-07-26 02:12:20.609 PROFILE  [Registration data] [0ms]
2012-07-26 02:12:20.609 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-07-26 02:12:20.609 PROFILE  [GM unload] [0ms]
2012-07-26 02:12:20.609 PROFILE  [Vulner uninit] [0ms]
2012-07-26 02:12:23.093 PROFILE  [Parental uninit] [0ms]
2012-07-26 02:12:23.093 PROFILE  [WSACleanup] [0ms]
2012-07-26 02:12:23.171 PROFILE  [Free SF] [72ms]
2012-07-26 02:12:23.171 PROFILE  [UninitializeMultiUserSupport] [0ms]
2012-07-26 02:12:23.171 PROFILE  [AntiPh & AS unload] [0ms]
2012-07-26 02:12:23.265 PROFILE  [LogUnInit] [0ms]
2012-07-26 02:12:36.562 PROFILE  [CM Stop & eventq uninit] [13s:305ms]
2012-07-26 02:12:36.562 PROFILE  [npcomm uninit] [0ms]
2012-07-26 02:12:36.578 PROFILE  [STOP Received - time] [18s:91ms]
2012-07-30 16:08:58.031 PROFILE  [Midas stop] [91ms]
2012-07-30 16:08:58.031 PROFILE  [StopProxies] [0ms]
2012-07-30 16:08:59.453 PROFILE  [Stop Drivers] [1s:426ms]
2012-07-30 16:08:59.687 PROFILE  [Unload html] [237ms]
2012-07-30 16:08:59.687 PROFILE  [Registration data] [0ms]
2012-07-30 16:08:59.687 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-07-30 16:08:59.687 PROFILE  [GM unload] [0ms]
2012-07-30 16:08:59.687 PROFILE  [Vulner uninit] [0ms]
2012-07-30 16:09:01.125 PROFILE  [Parental uninit] [0ms]
2012-07-30 16:09:01.125 PROFILE  [WSACleanup] [0ms]
2012-07-30 16:09:01.296 PROFILE  [Free SF] [170ms]
2012-07-30 16:09:01.296 PROFILE  [UninitializeMultiUserSupport] [0ms]
2012-07-30 16:09:01.390 PROFILE  [AntiPh & AS unload] [87ms]
2012-07-30 16:09:01.546 PROFILE  [LogUnInit] [0ms]
2012-07-31 17:00:40.140 PROFILE  [Midas stop] [18ms]
2012-07-31 17:00:40.140 PROFILE  [StopProxies] [0ms]
2012-07-31 17:00:40.781 PROFILE  [Stop Drivers] [651ms]
2012-07-31 17:00:40.828 PROFILE  [Unload html] [36ms]
2012-07-31 17:00:40.828 PROFILE  [Registration data] [0ms]
2012-07-31 17:00:40.828 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-07-31 17:00:40.828 PROFILE  [GM unload] [0ms]
2012-07-31 17:00:40.828 PROFILE  [Vulner uninit] [0ms]
2012-07-31 17:00:41.421 PROFILE  [Parental uninit] [0ms]
2012-07-31 17:00:41.421 PROFILE  [WSACleanup] [0ms]
2012-07-31 17:00:41.500 PROFILE  [Free SF] [79ms]
2012-07-31 17:00:41.500 PROFILE  [UninitializeMultiUserSupport] [0ms]
2012-07-31 17:00:41.546 PROFILE  [AntiPh & AS unload] [33ms]
2012-07-31 17:00:41.562 PROFILE  [LogUnInit] [0ms]
2012-07-31 17:00:52.093 PROFILE  [CM Stop & eventq uninit] [10s:530ms]
2012-07-31 17:00:52.093 PROFILE  [npcomm uninit] [0ms]
2012-07-31 17:00:52.093 PROFILE  [STOP Received - time] [12s:69ms]
2012-08-01 01:34:43.546 PROFILE  [Midas stop] [54ms]
2012-08-01 01:34:43.546 PROFILE  [StopProxies] [0ms]
2012-08-01 01:34:44.828 PROFILE  [Stop Drivers] [1s:287ms]
2012-08-01 01:34:44.921 PROFILE  [Unload html] [86ms]
2012-08-01 01:34:44.921 PROFILE  [Registration data] [0ms]
2012-08-01 01:34:44.921 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-08-01 01:34:44.921 PROFILE  [GM unload] [8ms]
2012-08-01 01:34:44.921 PROFILE  [Vulner uninit] [0ms]
2012-08-01 01:34:45.921 PROFILE  [Parental uninit] [0ms]
2012-08-01 01:34:45.921 PROFILE  [WSACleanup] [0ms]
2012-08-01 01:34:46.140 PROFILE  [Free SF] [213ms]
2012-08-01 01:34:46.140 PROFILE  [UninitializeMultiUserSupport] [0ms]
2012-08-01 01:34:46.171 PROFILE  [AntiPh & AS unload] [31ms]
2012-08-01 01:34:46.281 PROFILE  [LogUnInit] [0ms]
2012-08-01 01:34:57.828 PROFILE  [CM Stop & eventq uninit] [11s:551ms]
2012-08-01 01:34:57.828 PROFILE  [npcomm uninit] [0ms]
2012-08-01 01:34:57.828 PROFILE  [STOP Received - time] [14s:461ms]
2012-08-05 19:23:47.094 PROFILE  [Midas stop] [185ms]
2012-08-05 19:23:47.094 PROFILE  [StopProxies] [0ms]
2012-08-05 19:23:49.141 PROFILE  [Stop Drivers] [2s:55ms]
2012-08-05 19:23:49.266 PROFILE  [Unload html] [121ms]
2012-08-05 19:23:49.266 PROFILE  [Registration data] [0ms]
2012-08-05 19:23:49.266 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]
2012-08-05 19:23:49.266 PROFILE  [GM unload] [5ms]
2012-08-05 19:23:49.282 PROFILE  [Vulner uninit] [16ms]
2012-08-05 19:23:53.860 PROFILE  [Parental uninit] [0ms]
2012-08-05 19:23:53.860 PROFILE  [WSACleanup] [0ms]
2012-08-05 19:23:53.985 PROFILE  [Free SF] [136ms]
2012-08-05 19:23:53.985 PROFILE  [UninitializeMultiUserSupport] [0ms]
2012-08-05 19:23:54.016 PROFILE  [AntiPh & AS unload] [24ms]
2012-08-05 19:23:54.063 PROFILE  [LogUnInit] [0ms]

__________________________________________________

Encore un petit problème avec Mozilla Firefox...
Il ne garde pas en mémoire les mots de passe des différents sites, et je dois me reconnecter à chaque redémarrage, ce qui devient frustrant.

Avant le nettoyage de CCleaner, je n'avais pas ce problème.

Pourtant je coche bien la case qui permet de mémoriser les login lorsque disponible, plus la petite fenêtre de Mozilla "Enregistrer le mot de passe".

__________________________________________________

Merci d'avance.

g3n-h@ckm@n · Answer

et le jour ou tu es infecté tu te fais piquer tous tes mots de passe...pas mal comme idée mais très risqué

Batwarkov · Answer

Je ne suis pas spécialiste mais j'ai vu que tous mes mots de passe sont enregistrés sous Outils > Options > Sécurité > Mots de passe enregistrés et je peux les voir en non cryptés en cliquant sur Afficher les mots de passe.

Pourquoi ne me connecte-t-il pas instantanément comme au bon vieux temps, si déjà ils sont enregistrés ?

Batwarkov · Answer

D'accord, merci du conseil. :)

En rebootant juste avant je me suis rappelé qu'une fenêtre "Assistant Ajout de nouveau matériel détecté" apparaissait à chaque reboot.

J'avais déjà essayé en débranchant le clavier, la souris et la webcam, toujours la même chose :

http://image.noelshack.com/fichiers/2012/32/1344208887-assistant-ajout-materiel.jpg

Que faire pour qu'elle ne s'affiche plus ?

g3n-h@ckm@n · Answer

finis toue le nettoyage on avisera ensuite

Batwarkov · Answer

C'est fait.

g3n-h@ckm@n · Answer

et ?

Batwarkov · Answer

Toujours cette fenêtre "Assistant Ajout de nouveau matériel détecté" qui s'affiche au démarrage. Rien de vraiment gênant me diras-tu mais je suis curieux de savoir d'où cela provient.

g3n-h@ckm@n · Answer

depuis quand en fait ?

Batwarkov · Answer

Je ne sais plus malheureusement.
Toujours pas trouvé d'où ça vient...

g3n-h@ckm@n · Answer

loooooooooooooooooooool 5 mois après !!!!!!

Batwarkov · Answer

Le problème est de retour...

Mais cette fois, il s'agit de la version Ministère de l'intérieur :
https://www.malekal.com/ransomware-reveton-variante-ministere-de-linterieur/

J'ai essayé tout ce qui est sur la page, rien n'y fait.
À savoir que le virus s'affiche en mode sans échec avec ou sans prise en charge réseau.

En mode invite de commandes, lorsque je veux restaurer, une fenêtre s'affiche en disant "Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système."

Et bien sûr cela survient en plein milieu des soldes Steam...

g3n-h@ckm@n · Answer

salut

tu dois vraiment faire n'importe quoi avec ton ordi je pense !

 mets Pre_scan sur une clé usb , et en invité de commande tu le lances

tu tapes :

X:\Winlogon.exe

(X = lettre de la clé) pour savoir la lettre de ta clé tu tapes 

Dir D:\ , dir E: , dir F: etc ...jusqu"à ce que Pre_Scan(Winlogon) s'affiche dans le menu

Batwarkov · Answer

J'ai essayé "dir " de A à Z et il n'a rien trouvé, pourtant j'ai bien mis la clé avec le logiciel dessus. Il ne trouve que les dossiers de C:\ F:\ G:\ et H:\.

Y a-t-il d'autres solutions ?

g3n-h@ckm@n · Answer

salut faut t'ouvrir un nouveau sujet

et c'est dir <la lettre> et ":" sans le "\"

Batwarkov · Answer

Même sans le "\" il continue de marquer "Le périphérique n'est pas prêt." ou "Le chemin d'accès spécifié est introuvable."

J'ouvre un nouveau sujet.

Problème virus au démarrage

43 réponses

Discussions similaires

Newsletters