Prob Virus federal computer crime unit [Résolu/Fermé]
Tinou -
30 avril 2012 à 22:40 - Dernière réponse : jemis3
Messages postés dimanche 5 mai 2013Date d'inscription
5 mai 2013
Dernière intervention
- 5 mai 2013 à 02:27
Snifff, mon ordi portable a chopé un gros caca.
federal computer crime unit
Je n'ai plus accès à mon bureau. Ni à quoi que ce soit.
Qqu peut il me consacrer un peu de temps.
Je ne suis pas tres douée ...
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
[*] Télécharger sur le bureau http://www.sur-la-toile.com/RogueKiller/ (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
Cette réponse vous a-t-elle aidé ?Merci pour votre retour.
N'oubliez pas de prendre quelques secondes pour remercier l'auteur : Merci pour votre retour.
Nous sommes désolés. Notre objectif est de vous donner la meilleure réponse possible.
-) puis je enregistrer mes photos et les sortir un DD portable ? ou risquent elles d'infecter ce qui s'y trouve ?
-) Je télécharge depuis le pc infecté ou l'autre le Rogue Killer ?
SI je mets Mode Sans echec avec prise en charge réseaux je saurait me connecter sans problème pour télécharger Roguekiller? Car de mon coté, mon pc est infecté par le virus, mais il ne bloque le pc que qd le Wifi est détecté. Si j'eteins la bbox je sais tout faire sur le PC.
J'ai également essayé avec le Widows defender (démarrer le pc par la clef USB qui lance le scan auto) que le site de polfed propose mais après 4 scan complet (on n'est jamais trop prudent) il ne détecte pas le virus et au redemarrage je suis tjrs infecté.
Bienvenu au club... j'ai le même problème.... widows defender ne détecte pas alors que je suis toujous infecté? par contre si j'ouvre sur une autre cession alors là pas de problème ????
je tire mon chapeau au maestro ! super j'ai utilisé roggekiller après avoir enregistré le fichier sur un disque dur externe, puis j'ai enregistré le fichier de Kapersky virus removal toolkit gratuit. Redémarrer le pc en mode sans échecs avec connection réseau puis aller sur le disque dur copier les fichiers sur le bureau du pc infecté. déconnecter le disque externe et lancer roogkiller puis préscan, scan; j'ai ensuite lancé les autres liens dns, proxy, et ensuite j'ai lancé Kapersky puis j'ai redémarré mon pc et MIRACLE ! tout baigne.
Un tout tout tout grand merci ; mon pc était infecté par ce sida informatique. Grâce Cher Maître à votre procédé que j'ai suivi à la lettre,il fonctionne maintenant comme auparavant. Chapeau bas
super, j'ai eu le même problème... j'avais une deuxième session sur mon ordi et en executant ce programme( roggekiller ) sur cette session non infectée, ça a marché sans problème, ça a viré le virus et la session infectée n'avait de problème :)
Quelle poisse ce virus ... mais un GRAND GRAND MERCI ! 3 minutes de recherche sur mon smartphone, et 3 minutes pour résoudre le problème grace à RogueKiller, FANTASTIQUE !
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: maron [Droits d'admin]
Mode: Recherche -- Date: 22/07/2012 21:57:15
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[Rans.Gendarm] HKUS\S-1-5-21-2498885961-1113603681-1510163614-1000[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
+++++ PhysicalDrive0: ST9320325AS ATA Device +++++
--- User ---
[MBR] 9c030a3776d49d9618744dbcbd9e709a
[BSP] 982adbdc771ad803d64edb52b92a6deb : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305243 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: maron [Droits d'admin]
Mode: Recherche -- Date: 22/07/2012 21:57:15
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[Rans.Gendarm] HKUS\S-1-5-21-2498885961-1113603681-1510163614-1000[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: maron [Droits d'admin]
Mode: Recherche -- Date: 22/07/2012 21:57:15
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[Rans.Gendarm] HKUS\S-1-5-21-2498885961-1113603681-1510163614-1000[...]\Run : Update (C:\Users\maron\AppData\Roaming\rool0_pk.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: maron [Droits d'admin]
Mode: Suppression -- Date: 22/07/2012 21:58:54
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Véronique [Droits d'admin]
Mode : Recherche -- Date : 01/09/2012 16:49:41
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Véronique [Droits d'admin]
Mode : Suppression -- Date : 01/09/2012 16:50:35
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : nadja [Droits d'admin]
Mode : Suppression -- Date : 14/09/2012 10:37:09
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : SuperBang [Droits d'admin]
Mode : Suppression -- Date : 22/09/2012 17:34:29
J'ai un problème, j'ai suivi tes instruction mais je bloque pour télécharger RogueKiller, le pc de ma soeur est infecté et comme dis si dessus je n'arrive pas à télécherger le programme. Elle est en vista et les différents messages disent, que ce n'est pas un programme souvent télécharger, etc... et que ce n'est pas une application Win32 valide.
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : alice [Droits d'admin]
Mode : Recherche -- Date : 07/10/2012 12:54:28
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Véronique [Droits d'admin]
Mode : Recherche -- Date : 20/10/2012 17:44:52
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Véronique [Droits d'admin]
Mode : Suppression -- Date : 20/10/2012 17:45:04
RogueKiller V8.4.0 [Dec 18 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Fizz Consulting [Droits d'admin]
Mode : Suppression -- Date : 19/12/2012 17:36:41
jacques.gache33475
Messages postés mardi 13 novembre 2007Date d'inscriptionContributeur sécuritéStatut
25 janvier 2016
Dernière intervention -19 déc. 2012 à 18:56
bonjour aude , comme le fait remarquer gen tu as un problème gen tu est un peu sexiste !!!
merci de d'aider de ce lien pour essayer de le régler !!
RogueKiller V8.4.0 [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Fizz Consulting [Droits d'admin]
Mode : Suppression -- Date : 21/12/2012 19:52:11
Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : JASON [Droits d'admin]
Mode : Suppression -- Date : 30/12/2012 10:32:38
ptiteceline4
Messages postés dimanche 30 décembre 2012Date d'inscription
30 décembre 2012
Dernière intervention -30 déc. 2012 à 11:14
Bon bin moi ca marche pas ca revient tout le temps :'( j'ai fais scan et puis cocher les deux suppression et il met qu'il supprime et l'autre il met remplacé :S que faire ???
jacques.gache33475
Messages postés mardi 13 novembre 2007Date d'inscriptionContributeur sécuritéStatut
25 janvier 2016
Dernière intervention -30 déc. 2012 à 14:54
ptiteceline bonjour, ouvres toi un sujet si tu veux vraiment de l'aide , c'est pas bon de poster sur un sujet qui est pas le tien et en plus marqué résolu !!!
Je viens d'être également victime de cette tentative d'escroquerie, bizarement après avoir changé d'anti-virus, mais cela n'est peut-être pas lié bien-sûr. J'ai aussi essayé en mode sans échec, mais cela ne fonctionnait pas. J'ai alors restauré mon PC à une date précédente et ça marche maintenant
RogueKiller V8.4.3 [Jan 8 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : André [Droits d'admin]
Mode : Recherche -- Date : 09/01/2013 15:37:13
RogueKiller V8.4.4 [Feb 1 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Recherche -- Date : 02/02/2013 22:17:37
| ARK || MBR |
ogueKiller V8.4.4 [Feb 1 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Suppression -- Date : 02/02/2013 22:18:02
| ARK || MBR |
RogueKiller V8.4.4 [Feb 1 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Recherche -- Date : 02/02/2013 22:18:14
| ARK || MBR |
RogueKiller V8.4.4 [Feb 1 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Suppression -- Date : 02/02/2013 22:18:23
| ARK || MBR |
Un énorme merci, j'ai vraiment eu peur quand j'ai eu ce virus, par chance je me suis souvenu que mon frère avait eu ce virus mais lui avait payer 50 euros à un informaticien.. Heureusement, je me suis connecté avec mon gsm pour trouver une solution moi même et j'ai touvé ma réponse ici.. Et c'est un vrai soulagement, c'est tellement rapide et soulageant pour le moral ! Encore un énorme merci, c'est génial :) !
Solution alternative que je viens de tester, alors que comme dans un cas cité, même en mode sans échec, l'écran se figeait avec l'écran "federal computer crime unit..." où j'étais complètement bloqué, dans l'impossibilté de télécharger ou de faire fonctionner quoi que ce soit. Il restait peut-être la solution de booter avec une clé usb chargée de "windows defender offline" que je n'ai pas su tester car sous xp, il faut être sous sp3 (alors que j'étais sous sp 2...). Solution expliquée dans la fiche informative en pdf de la vraie Federal Computer Crime Unit - http://www.rtbf.be/info/medias/detail_comment-reagir-si-votre-ordinateurs-est-bloque-par-un-ransomeware?id=7874531
Ce que j'ai fait, c'est démonter physiquement mon disque dur, et je l'ai branché sur un autre pc dans un boîtier de disque dur externe. L'exécutable du ransomware se trouvait simplement sur le bureau du "user x" et s'appelait "wgsdgsdgdsgsd.exe", et je l'ai supprimé avec "FileAssassin" inclus dans les "Autres Outils" de Malwrebytes version gratuite.
J'ai ensuite rebranché mon disque dur dans sa tour d'origine, et Windows s'est chargé normalement, avec seulement un message d'erreur qui disait "wgsdgsdgdsgsd.exe" introuvable. J'ai scanné avec Malwarebytes qui m'a détecté le cheval de troie, et qui l'a éradiqué. Après redémarrage, tout va bien...
Une demi-heure en tout et pour tout pour cette solution... Bonne chance.
* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs * Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Malekal_morte-149851
Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut
19 avril 2018
Dernière intervention - 1 mai 2012 à 00:04
0
Utile
Bcp de programmes pourris.
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
A désinstaller :
Babylon Toolbar
Complitly
Conduit Engine
DVDVideoSoftTB Toolbar
Fun4IM
Imesh Toolbar / DataMngr
Is Cool
Searchqu Toolbar
searchweb
Softonic_France Toolbar
Wincore Mediabar
Zynga Toolbar
A virer de Firefox aussi : Menu Outils / Modules Complémentaires et Extension
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
Pour le virus gendarmerie :
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
Je n'arrive pas à redémarrer sans échec. Seul le mode "redémarrer normalement" fonctionne.
Avec le mode sans échec, il revient toujours à l'écran de démarrage que j'ai eu en appuyant sur F8 mais ne va pas plus loin.
jacques.gache33475
Messages postés mardi 13 novembre 2007Date d'inscriptionContributeur sécuritéStatut
25 janvier 2016
Dernière intervention - 3 sept. 2012 à 18:13
markaju bonjour, ouvre toi un sujet pour avoir de l'aide !!
quand t'es dans l'écran après F8, choisit alors RESTAURATION .... à la place et accepte le système OS proposé. Tu rentres alors en mode sans échec forcé. Bonne merde.
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : vincent [Droits d'admin]
Mode : Suppression -- Date : 05/09/2012 14:15:24
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : nous [Droits d'admin]
Mode : Recherche -- Date : 31/10/2012 01:21:24
jacques.gache33475
Messages postés mardi 13 novembre 2007Date d'inscriptionContributeur sécuritéStatut
25 janvier 2016
Dernière intervention -31 oct. 2012 à 17:46
Antoine79 bonjour tu devrais ouvrir un sujet , cela en bout de ligne dans ton rapport TROUVÉ prouve qu'il y a des choses mais pour supprimer il faut relancer roguekiller et faire suppression
Je vais essayer ta méthode avec Malwarebytes, mais j'aimerais savoir comment se nomme le fichier qui infecte le PC, car tant Roguekiller que OTL, n'ont rien changé, dès que je rédemarre la session admin, avast détecte le virus et écran "virus", je ne sais pas démarrer en mode sans échec.
Une restauration n'est pas possible non plus vu que session invité de la où je vous parle.
Je ne vois qu'un moyen, essayer de repérer le fichier via malwarebytes et tenter de retourner sur la session admin vite faire une restauration système pour l'effacer par la suite.
Le programme ne me permet pas de l'installer vu que session invité!!!
Pouvez vous m'aider? En attendant, j'utilise ma session invité. Chose bizarre également, le bios est inutilisable, j'ai voulu formater et donc booter sur le cd mais la impossible, même avec raccourci.
jemis3
Messages postés dimanche 5 mai 2013Date d'inscription
5 mai 2013
Dernière intervention - 5 mai 2013 à 01:05
0
Utile
Scan effectué à l'instant, sur le site en ligne "bitdefender", il me dit que je n'ai aucun fichier infecté. Scanne t il la session ou le disque dur dans son entièreté, j'aimerais savoir? Cela me parait bizarre.
J'ai réessayé de relancer ma session admin, de suite bloqué après 30sec, avast détecte l'infection et le ransomware apparait, je viens de trouver des infos sur ce nouveau virus qui supprime le safeboot, complètement.
Ensuite détecter le Trojan avec malwarebytes, puis je l'ai supprimé et refait un scan, il n'apparait plus.
Après cela, j'ai vidé mon cache etc avec CCleaner.
J'ai voulu suivre le tutos et utiliser:
Roguetiller: supprime les ransomware, je présume, cependant, mon pc était toujours infecté puisque malwarebytes a détecté un Trojan par la suite
OTL: Rien à supprimer? me dit il?
Adwcleaner: nettoyage de certains programmes adware, toolbars etc.
Que font OTL et Roguekiller svp? Pouvez vous me tuyauter la dessus.
Il me reste à remettre le safemode (mode sans échec) avec "Safebootkeyrepair".
J'ai lu plusieurs tutos et fais un mix de tout.
J'ai également refait un scan malwarebytes, trojan disparu.
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : André [Droits d'admin]
Mode : Recherche -- Date : 09/01/2013 15:37:13
¤¤¤ Processus malicieux : 2 ¤¤¤
[SUSP PATH] presetup.exe -- C:\Users\André\AppData\Local\Temp\RarSFX0\presetup.exe -> TUÉ [TermProc]
[SUSP PATH] presetup.exe -- C:\Users\André\AppData\Local\Temp\RarSFX1\presetup.exe -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\André\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[RUN][Rans.Gendarm] HKUS\S-1-5-21-3804468037-561487619-2255016173-1000[...]\Run : Update (C:\Users\André\AppData\Roaming\wgsdgsdgdsgsd.exe) -> TROUVÉ
[STARTUP][SUSP PATH] mjt0uikj.exe.lnk @André : C:\Windows\System32\rundll32.exe|C:\Users\ANDR~1\AppData\Local\Temp\mjt0uikj.exe,H9922 -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3804468037-561487619-2255016173-1000\$04db20cc8e384b6fb867f1cc533a1bf5\n.) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3804468037-561487619-2255016173-1000\$04db20cc8e384b6fb867f1cc533a1bf5\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3804468037-561487619-2255016173-1000\$04db20cc8e384b6fb867f1cc533a1bf5\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3804468037-561487619-2255016173-1000\$04db20cc8e384b6fb867f1cc533a1bf5\L --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721680PLA380 ATA Device +++++
--- User ---
[MBR] b64bb60f2817ad2fb3b4aed21a498d7b
[BSP] 03be62b33f41d5d05419c173e1dc4183 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20466810 | Size: 33298 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 88662735 | Size: 33024 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_09012013_153713.txt >>
RKreport[1]_S_09012013_153713.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Recherche -- Date : 02/02/2013 22:17:37
| ARK || MBR |
¤¤¤ Processus malicieux : 2 ¤¤¤
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9200827AS ATA Device +++++
--- User ---
[MBR] 0e76fc662d28cf52c906580b030cdda9
[BSP] 2f24e6c97774a1a70c29166aaa4801e2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 158629 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 324874240 | Size: 32150 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_02022013_221737.txt >>
RKreport[1]_S_02022013_221737.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Suppression -- Date : 02/02/2013 22:18:02
| ARK || MBR |
¤¤¤ Processus malicieux : 2 ¤¤¤
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9200827AS ATA Device +++++
--- User ---
[MBR] 0e76fc662d28cf52c906580b030cdda9
[BSP] 2f24e6c97774a1a70c29166aaa4801e2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 158629 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 324874240 | Size: 32150 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_02022013_221802.txt >>
RKreport[1]_S_02022013_221737.txt ; RKreport[2]_D_02022013_221802.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Recherche -- Date : 02/02/2013 22:18:14
| ARK || MBR |
¤¤¤ Processus malicieux : 2 ¤¤¤
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9200827AS ATA Device +++++
--- User ---
[MBR] 0e76fc662d28cf52c906580b030cdda9
[BSP] 2f24e6c97774a1a70c29166aaa4801e2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 158629 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 324874240 | Size: 32150 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_S_02022013_221814.txt >>
RKreport[1]_S_02022013_221737.txt ; RKreport[2]_D_02022013_221802.txt ; RKreport[3]_S_02022013_221814.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : vero [Droits d'admin]
Mode : Suppression -- Date : 02/02/2013 22:18:23
| ARK || MBR |
¤¤¤ Processus malicieux : 2 ¤¤¤
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
[DLL] explorer.exe -- C:\Windows\explorer.exe : C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Hook\rndlchrome10browserrecordhelper.dll -> DECHARGÉE
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9200827AS ATA Device +++++
--- User ---
[MBR] 0e76fc662d28cf52c906580b030cdda9
[BSP] 2f24e6c97774a1a70c29166aaa4801e2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 158629 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 324874240 | Size: 32150 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4]_D_02022013_221823.txt >>
RKreport[1]_S_02022013_221737.txt ; RKreport[2]_D_02022013_221802.txt ; RKreport[3]_S_02022013_221814.txt ; RKreport[4]_D_02022013_221823.txt