Vrai police ou virus et arnaque ?Résolu/Fermé

Question

Bonjour, 

Je suis en totale panique !
J'étais sur mon PC avec Word ouvert et connectée à internet sur le site des pages jaunes.
Tout d'un coup, l'écran est devenu tout blanc avec une seule inscription en haut à gauche de l'écran : Qcqqhitbpxx.
Aucune touche de l'ordi ne fonctionnant, je l'ai redémarré plusieurs fois..
À chaque fois, je vois les icônes du bureau une fraction de seconde puis encore écran blanc et l'inscription en haut à gauche qui change : Pnqqus yke, etc...
N'y connaissant rien en informatique, j'ai tenté de petits trucs : déconnection et reconnection de la ligne internet, débranchement de la prise de courant, enlever la batterie...
J'ai redémarré en F8 avec prise en charge réseau : résultat identique, vue du bureau 2 seconde puis écran blanc avec nouveau numéro en haut à gauche.

On ne rigole pas mais a ce moment j'étais si désespérée que je me suis misé à pleurer devant mon écran ! Et la, pendant que je fixais l'écran blanc à travers mes larmes pendant quelques minutes, il y a eu du changement !
Tout d'un coup, une page angoissante est apparue. Il s'agit de "l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication". 
On me dit que j'ai violé la loi sur le droit d'auteur et les droits contigus et que donc mon ordinateur est bloqué, que je risque amande et prison ! Je ne vous dis pas la panique. 

On me demande de payer 100€ sous 72 heures puis il faut que je règle l'infraction. 

Le problème c'est que je n'ai rien fait de mal, tout est en règle sur mon ordinateur et je n'ai jamais rien téléchargé d'illégal. 

Je dois payer cette somme par Ukash. Et il semble que ce message vienne de Hadopi. 

Est ce une arnaque ? Si oui, comment supprimer ce virus et retrouver un Pc normal ?

Cette page reste affichée quelques minutes puis l'écran redevient blanc quelques secondes avec toujours un nouveau numéro en haut à gauche et la même page revient. Je précise que je suis toujours en F8 avec prise en charge réseau. 

Merci d'avance de votre aide, je suis en totale panique.

antoine29 · Answer

Bonjour,  

Oui, c'est une arnaque, il ne faut pas payer !! 

Je vous conseille d'aller voir votre gendarmerie, pour porter plainte.

sullydu11 · Answer

Oui c'est une arnaque démarre en mode sans échec , puis supprime le fichier suspect

antoine29 · Answer

Je vous conseille de regarder ce lien.

http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne.html

murdooc · Answer

Merci sullydu11 mais redémarrer en mode sans échec ne change rien. Le Pc est bloqué, je n'ai accès à rien. 
De toutes façons, comment savoir quel est le fichier à supprimer, où le chercher ?
Je suis assez nulle en informatique. 

Merci Antoine29, je vais lire ce que tu m.as donné, en espérant y trouver la marche à suivre pour supprimer ce virus.

Utilisateur anonyme · Answer

bonjour,

ceci est une infection de type ransomware !

dis moi à quoi as tu accès exactement ?

mode sans echec ?
mode sans echec en invite de commande ?

quelle vérsion de windows est installée sur le pc infecté ?

antoine29 · Answer

Bonjour,

Dans le cas de Kaspersky, ils offrent aussi une solution de disque (CD ROM) sur lequel vous pouvez démarrer l'ordinateur pour réaliser le nettoyage:
https://support.kaspersky.com/viruses/krd18?level=2
Il faut graver le disque avec un logiciel de gravure de CD à partir du fichier ISO téléchargé

Cordialement,

Utilisateur anonyme · Answer

tout dépend du système d'exploitation installé sur le pc !

j'attends d'avoir des réponses à ceci avant de te proposer une solution :

https://forums.commentcamarche.net/forum/affich-27211125-vrai-police-ou-virus-et-arnaque#8

murdooc · Answer

A Electricien 69 : merci de ton aide (et désolée de la lenteur de la réponse mais mon Pc étant bloqué, je vous écris depuis mon IPad et du coup, je tape avec un seul doigt....)

Je suis sous Windows7. 
Mon Pc est un Toshiba Qosmio.

Je n'ai pas accès à grand chose. En mode normal ou sans échec avec prise en charge réseau, je vois le bureau 1 ou 2 secondes quand je redémarre (et parfois je ne le vois même pas). 

Quand j'ai l'écran tout blanc ou que j'ai la page du virus, je peux faire Ctrl+Alt+Suppr. 
J.arrive alors sur le " pré-bureau " (je ne sais pas comment s'appelle cette page) mais j'ai :
- verrouiller cet ordinateur
- changer d.utilisateur
- fermer la session
- modifier un mot de passe
- ouvrir le gestionnaire des tâches

Cette page reste affichée 1 mn puis retour à la page virus

Mais peu importé sur quelle action je clique, je retombe toujours sur la page du virus.

murdooc · Answer

Au redémarrage, j'ai le choix entre :
Mode sans échec
Mode sans échec avec prise en charge réseau
Invite de commandes en mode sans échec
Inscrire les événements de démarrage dans le journal
Activer la vidéo basse résolution
Dernière configuration valide connue (option avancée)
Mode restauration des services d'annuaire
Mode déboggage
Désactiver le redémarrage automatique en cas d'échec du système
Désactiver le contrôle obligatoire des signatures de pilotes
Démarrer Windows normalement

Utilisateur anonyme · Answer

ok,

est ce que tu peux lancer le gestionnaire de tache, puis clique sur fichier, nouvelle tache, puis tappe explorer.exe 

ton bureau va apparaitre.

si tu n'y arrives pas, n'insiste pas,

il faut trouver un autre pc pour craver un CDlive et télécharger un outil, je t'indiquerai la démarche à suivre.

j'attends de tes nouvelles  :D

murdooc · Answer

J'ai fait un redémarrage sans échec avec invité de commande. 

J'obtiens une fenêtre "Administrateur : cmd.exe"
Il est marqué :

C\windows\system32>

Je dois écrire quoi après le 32 pour avoir le gestionnaire de tâches, stp ?

antoine29 · Answer

c'est pas taskmgr.exe ?

murdooc · Answer

Merci ! C'est bien ça !
Je vais continuer la procédure.

Utilisateur anonyme · Answer

tu peux lancer une restauration système tout simplement en invite de commande  :D

 https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

murdooc · Answer

Bon, j'ai donc tapé taskmgr.exe

Puis j'ai suivi la procédure d'Electricien mais hélas, après avoir tapé explorer.exe, rien ne s'est passé.

Je suis donc retournée sur la fenêtre d.invite de commandes et la, sous la ligne
C:\windows\system32>taskmgr.exe, j'avais une autre ligne C:\windows\system32>

J'ai donc rajouté à tout hasard (toujours peur de faire la bêtise qui va aggraver le problème) "explorer.exe" et là, le bureau s'est affiché !!

Je suis trop contente. On avance on dirait.

Utilisateur anonyme · Answer

si tu vois ton bureau, allons y vite :


* [*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si RogueKiller ne se lance pas, change son nom en Winlogon. 

Tuto :
http://tigzyrk.blogspot.fr/2012/10/fr-roguekiller-tutoriel-officiel.html

murdooc · Answer

Le problème est que j'ai eu accès au bureau grâce au mode "invite de commandes en mode sans échec" donc pas d'accès au réseau pour télécharger Roguekiller...

Est-il possible de démarrer en mode sans échec avec prise en charge réseau puis d.obtenir l'invité de commandes ?

Utilisateur anonyme · Answer

ok, 
dans ce cas, restaure ton pc à hier, regarde voir les dates qui se trouvent dans la restauration système  :D

https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

une fois le pc restauré, redémarre ton pc en mode normal ou sans echec avec la prise en charge du réseau, puis passe par Roguekiller

Utilisateur anonyme · Answer

pas de soucis  :-)

murdooc · Answer

La restauration s'est bien passée, si bien qu'on dirait que le virus à disparu puisque je retrouve mon Pc comme il était avant !!! Trop contente !

Du coup, je me demande s'il est utile de passer par RogueKiller. 
Mais bon, si tu me le conseilles, je le fais car jusqu'à présent, tes conseils sont plutôt très bons !

murdooc · Answer

RogueKiller téléchargé mais en version X64. J'espère avoir bien fait... Suite au scan, RogueKiller a ouvert une page m'informant qu'il avait trouvé ça : [Rootkit] ZeroAccess (Max++) et me propose une vidéo qui montre comment s'en débarrasser. Pour l'instant, je ne fais rien, je préfère attendre tes conseils. Voici donc le rapport complet : RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : murdoocnat [Droits d'admin] Mode : Recherche -- Date : 24/02/2013 12:01:30 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\n [-] --> TROUVÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\@ [-] --> TROUVÉ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\L --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++ --- User --- [MBR] dc6a0e5f4bb74eb6ab5f65409c9592a2 [BSP] 3ccadfbcbaaff5479696df5fe72e2187 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 466933 Mo 2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 959352832 | Size: 8506 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_24022013_120130.txt >> RKreport[1]_S_24022013_120130.txt

FanTomY · Answer

oui ne t'inquiète pas, sa me la déjà fait et j'ai du changer mon iexplorer.exe par un autre en mode sans échec et sa a marcher :)

Utilisateur anonyme · Answer

l'infection t'a filé au passage un Zeroaccess !!!



relance roguekiller,

Clique sur Supprimer,

poste son rapport

murdooc · Answer

C'est fait ! Durant la suppression, la bibliotheque de mon PC s'est ouverte toute seule et RogueKiller m'a à nouveau ouvert une page menant aux infos pour suppression de ZeroAccess. Voici le nouveau rapport : RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : murdoocnat [Droits d'admin] Mode : Suppression -- Date : 24/02/2013 12:26:15 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\n [-] --> SUPPRIMÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\00000001.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\80000000.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U\800000cb.@ [-] --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3906526679-3360387878-1663768799-1000\$8b8a8fd078a6121bb323d6213c7afc15\L --> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++ --- User --- [MBR] dc6a0e5f4bb74eb6ab5f65409c9592a2 [BSP] 3ccadfbcbaaff5479696df5fe72e2187 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 466933 Mo 2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 959352832 | Size: 8506 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_24022013_122615.txt >> RKreport[1]_S_24022013_120130.txt ; RKreport[2]_D_24022013_122615.txt

Utilisateur anonyme · Answer

c'est normal, je te l'avais dit, tout dépend de la version du système d'exploitation et la variante de l'infection !

ce n'est pas parce que l'infection ne s'affiche plus qu'elle est supprimée !

on va voir l'étendu des dégats , mais en général, cette infection arrive jamais seule !!!


* Télécharge ZHPDiag sur ton bureau :
	
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag (l'icône est sous forme de parchemin), « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

murdooc · Answer

Whaou....! Moi qui pensais être presque tirée d'affaire, quand je vois tout ce qu'il y a encore à faire, je perds courage. Ca a l'air trés grave tout d'un coup !

Bon, je m'y mets tout de suite. Merci de ton aide !!!

Utilisateur anonyme · Answer

relaxe, on sait traiter cette infection, mais il faut aller jusqu'au bout pour qu'elle ne revienne pas  ;-)

murdooc · Answer

Tes dernières recommandations semblaient trop compliquées à réaliser pour la néophyte que je suis mais heureusement tu as pris la peine de tout bien détailler. Merci infiniment car je pense m'en être bien sortie alors que ce n'était pas gagné.

Voila le lien : 

http://cjoint.com/?3BymV1pd3ad

Utilisateur anonyme · Answer

heuuu, il se trouve ou ton antivirus ?

à part Windows defender et un restant de MAcafric, je ne vois d'autre !

si, tu as tenté d'installer  ceci :

O43 - CFD: 10/02/2013 - 23:22:32 - [0] ----D C:\Users\murdoocnat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional

installe la dernière evrsion de java depuyis son site dédié !


attention à l'installation des barres d'outils !!!



*	/!\ Avertissement /!\
*	ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

*	Lance ZHPFix via le raccourci sur ton Bureau (icone sous forme de seringue)

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »



*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[HKLM\Software\Classes\RoboForm.ToolBand.1]    
[HKLM\Software\Wow6432Node\Classes\RoboForm.ToolBand.1]    
O43 - CFD: 20/06/2010 - 10:51:47 - [0,001] ----D C:\ProgramData\Partner   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}]  )
C:\ProgramData\Partner    
Emptytemp
EmptyClsid


---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

murdooc · Answer

C'est que tu n'as pas idée combien ça peut être difficile pour moi de faire ce que tu me conseilles :-)
A chaque installation de programme, chaque manip, je ne suis sure de rien, je ne comprends pas la moitié des termes, je fais toujours avec la crainte d'aggraver les choses.
Bref, je suis en stress.
Mais merci, tu expliques bien et tu es très patient !

murdooc · Answer

Je n'ai pas d'antivirus. Normal que tu ne le voies pas !
McAfee était installé d'office à l'achat du PC, en version d'essai.
C'était insupportable, il me bloquait plein de sites, j'avais toujours des alertes, je ne pouvais rien faire. Ca m'a gonflée, je l'ai supprimé, surement très mal puisque tu en as trouvé la trace.

J'ai horreur de ces entraves au surf (car je n'ai jamais su paramétrer un antivirus pour avoir la liberté que je souhaite tout en ayant une protection normale).

Ce que tu as retrouvé : Windows Defender, je ne sais pas ce que c'est.

Disk Antivirus Professionnal, ce n'est pas un antivirus, C'EST UN VIRUS !
Il y a quelques jours, il s'était incrusté d'office dans mon PC et me demandait de l'argent pour débloquer l'ordi. Avec de l'aide, j'ai réussi à l'enlever mais là encore, je pensais avoir tout nettoyé mais on dirait qu'il reste des résidus...

Utilisateur anonyme · Answer

je sais qu'il est parfois difficile de suivre, mais tu es le seul à manipuler ton pc, 

si le cas s'aggrave et au pire des cas, on fait une restauration système et on recommence :-)

donc relaxe,

si tu rencontres des difficultés, n'hésite par de m'en parler, je t'indiquer comment avancer  ;-)

murdooc · Answer

Mise à jour JAVA effectuée !

Je continue.

murdooc · Answer

Problème : sur le bureau, outre l'icone ZHPDiag utilisée précédemment, j'ai : 

 1°) une icone ZHPFix avec un rond rouge (même icone que pour ZHPDiag) 

 2°) une icone ZHPDiag2 avec une seringue 

mais pas de ZHPFix avec icone de seringue ! 

Je lance laquelle, stp ?

Utilisateur anonyme · Answer

les icones ont changé d'apparence suite à une mise à jour d'hier soir  :P

désolé  !



utiliser zhpfix  :D

Utilisateur anonyme · Answer

pour java, passe à la version, 7.15  ;-)

poste moi le rapport de zhpfix suite à cette manip :

 https://forums.commentcamarche.net/forum/affich-27211125-vrai-police-ou-virus-et-arnaque?page=2#37

pour l'antivirus, on verra vers la fin  :-)

murdooc · Answer

Résumé et précisions, stp :

1°) Mise à jour Java 7.15 effectuée.

2°) Quand j'ouvre ZHPFix, dans la zone où je dois coller les lignes que tu m'as indiquées, il y a déjà ça : 

http://cjoint.com/?3BymV1pd3ad 

C'est le lien de mon scan. 
Je le laisse ou je le supprime avant de copier-coller tes lignes ?

3°) Dans les lignes que tu me demandes de copier-coller, je vois que certaines sont en rapport avec Roboform.
Il s'agit d'un logiciel que j'ai acheté volontairement. J'y tiens et je ne voudrais pas qu'il soit supprimé. Si je colle les lignes dont tu m'as parlé, il risque de sauter, non ?

Utilisateur anonyme · Answer

1/   ok pour la mise à jour de java


2/ ferme zhpfix,

relance le


* Lance ZHPFix via le raccourci sur ton Bureau

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 



* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
 --------------------------------------------------------- 


O43 - CFD: 20/06/2010 - 10:51:47 - [0,001] ----D C:\ProgramData\Partner 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}]
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] )
 C:\ProgramData\Partner 
Emptytemp 
EmptyClsid 


---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)
 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Copie/colle la totalité du rapport dans ta prochaine réponse 
Tuto : 

http://www.premiumorange.com/zeb-help-process/zhpfix.html 
 


3/ Boboform t'a filé la barre d'outil, je l'ai enlevé du script, mais sache qu'elle va ralentir ta navigation !

murdooc · Answer

1°) Merci pour Roboform.  
Je m'en sers beaucoup et même s'il me ralentit, sa barre d'outil m'est très utile et ce, régulièrement. 
Pour le moment, j'y trouve plus d'avantages à la conserver qu'à la supprimer. 

2°) ZHPFIX 
Dans tes explications, tu me dis de confirmer le nettoyage.  
Mais une fois le scan terminé, il s'est affiché directement. On ne m'a pas demandé de confirmation et je n'ai pas trouvé de bouton à cet effet. 

J'ai raté quelque chose ? 

En tout cas, voilà le résultat (si j'ai mal fait, dis-le moi, je recommencerai. Merci) 

Dernière info : dans le résultat du scan, la rubrique "Autre" était en bleu, tout le reste en noir. Ca doit surement avoir une importance, non ? 

Rapport de ZHPFix 1.3.19 par Nicolas Coolman, Update du 21/02/2013 
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-24-02-2013-15-40-40.txt 
Run by murdoocnat at 24/02/2013 15:40:39 
High Elevated Privileges : OK 
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) 

Corbeille vidée 

========== Clé(s) du Registre ========== 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} 
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} 

========== Dossier(s) ========== 
Aucun dossiers CLSID Local utilisateur vide 

========== Fichier(s) ========== 
ABSENT Folder/File: c:\programdata\partner 
SUPPRIME Temporaires Windows 

========== Autre ========== 
NON TRAITE [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] ) 


========== Récapitulatif ========== 
3 : Clé(s) du Registre 
1 : Dossier(s) 
2 : Fichier(s) 
1 : Autre 


End of clean in 00mn 03s 

========== Chemin de fichier rapport ========== 
C:\ZHP\ZHPFix[R1].txt - 24/02/2013 15:40:40 [1162]

Utilisateur anonyme · Answer

super,

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
 
/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

murdooc · Answer

J'ai téléchargé Malwarebytes.
Pour le scan, il m'a proposé la version express, rapide ou complet.
Le complet était pré-coché, j'ai laissé ainsi. Mais on dirait que cette recherche va prendre un bon moment. Donc ne t'inquiète pas si je ne réponds pas dessuite, c'est que le scan est toujours en cours.

En attendant, si tu as le temps (et l'envie...), pourrais-tu me dire pourquoi il faut que je télécharge autant de programmes différents ?
Car avec mon inculture informatique, je me disais que RogueKiller allait nous dire quoi faire et comment réparer, d'où vient le problème, etc...
Pareil avec ZHPDiag.
Mais on dirait que ce n'est jamais suffisant.
Ou est-ce qu'à chaque fois, un autre problème surgit et il faut tout refaire ?
J'ai l'impression que c'est sans fin, que ce virus prend des formes différentes et que plus on cherche, plus on en trouve.
Bref, ça fait très peur !

C'est normal cette procédure ou j'ai droit à un virus particulièrement virulent ? Tu crois qu'on va arriver à l'éjecter définitivement ?

Utilisateur anonyme · Answer

pour répondre à toutes tes questions en une seule fois :

cette infection a changé de forme et miode opératoir depuis 1 ans et demi !

on est à quelque chose près à sa 20 ème variante !

certaine variante changait juste la page d edémarrage et bloquait tout accès, d'autre cryptait les 100 Ko des données des internautes !

bref ,

pour en faire court, chaque outil traite un type d'infections, 
chaque infection est à traiter selon ce qu'on repère sur les rapports de diagnostic.


d'ou la multiple utilisation des outils.

il y a des choses qu'on ne peut par repèrer sur les rapports, mais avec un nettoyeur de fond en fin de désinfection comme MBAM, on arrive à presque tout virer.

on va tout désinstaller à la fin du nettoyage.

ceci dit qu'il faut que tu réflechisses pour l'antivirus que tu auras à installer sur ton pc,

à part windows defender, tu n'as rien d'autre comme protection !

murdooc · Answer

Merci pour tes infos ! C'est gentil d'avoir pris le temps de m'expliquer tout ça.

53 mn après, le scan Malwarebytes vient de finir.
Il a trouvé 3 problèmes (Trojan.FakeMS, Rogue.Fakealert et Rogue.FakeAV).

Je vais poursuivre ta procédure indiquée plus haut et je reviens te poster tout ça.
Encore merci, tu me sauves !

murdooc · Answer

Le rapport de Malwarebytes : 

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.24.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
murdoocnat :: QOSMIOROUGE [administrateur]

24/02/2013 16:13:07
mbam-log-2013-02-24 (16-13-07).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 380774
Temps écoulé: 53 minute(s), 6 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\murdoocnat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 2
C:\Users\murdoocnat\AppData\Roaming\ldr.mcb (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\murdoocnat\Downloads\Office 2010 portable\Data\P_MO14_M_FR\%Common AppData%\30495D2C8EEBAAAD000030492CECB3FF\30495D2C8EEBAAAD000030492CECB3FF.exe (Rogue.Fakealert) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

super,

redémarre le pc et donne moi des nouvelles de son fonctionnement avant de continuer

murdooc · Answer

Redémarrage effectué ! 

De prime abord, ça semble bien fonctionner (j'ai un peu peur de sauter de joie trop tôt...). 

Windows Live Mail s'est ouvert rapidement, ma connection internet a été rétablie aussi vite. 

Pour IE, ça a été un peu plus long. L'ordi a mouliné un moment avant d'afficher la page de Google pour la 1ère fois. Maintenant, ça semble tourner comme avant. 
On dirait que tout va bien :-) 

Par contre, j'ai remarqué que sur le bureau, certaines icones sont apparues. 
Evidemment, il y a toutes celles relatives à la réparation (Malwarebytes, RogueKiller, etc, etc...). Ca, ça va, je sais pourquoi, ça ne m'inquiète pas. 
Mais j'en ai 3 dont je ne sais pas quoi faire (et encore peur de faire une bétise en les supprimant) : 

1°) Une icone représentant un dossier ouvert avec des feuilles blanches qui s'en échappent. Il s'appelle "RK_Quarantine". 

2°) Une icone en forme de PC, nommé simplement "Ordinateur". 
Quand je clique dessus, j'arrive sur l'explorateur Windows, à la rubrique Ordinateur. 

3°) Une icone en forme de dossier ouvert avec un petit bonhomme devant. Nommé "murdoocnat", mon nom d'adminstrateur. Et en cliquant dessus, ça ouvre encore l'Explorateur Windows, sur une page où il y pleins de dossiers : AppData, Bureau, Contacts, Favoris, MesDocs, Mes Images, Téléchargements, etc, etc... 

Pour le 2 et le 3, j'ai peur de les supprimer car on ne dirait pas des raccourcis et je crains en les enlevant de virer aussi leurs contenus. 

A part ça, on dirait bien que tu as fait un miracle !!!

Utilisateur anonyme · Answer

ne supprime rien pour le moment, laisse moi te guider  :D

Télecharge Delfix sur ton bureau : 

ICI

ou
	
 

	Coche les cases suivantes :
	=> Réactive l'Uac (juste pour Vista, Seven et W8)
	=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système 
=> Réinitialisation des paramètres système
	

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

murdooc · Answer

Voilà le rapport :

# DelFix v10.1 - Rapport créé le 24/02/2013 à 18:53:45
# Mis à jour le 23/02/2013 par Xplode
# Nom d'utilisateur : murdoocnat - QOSMIOROUGE

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\murdoocnat\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\murdoocnat\Desktop\RKreport[1]_S_24022013_120130.txt
Supprimé : C:\Users\murdoocnat\Desktop\RKreport[2]_D_24022013_122615.txt
Supprimé : C:\Users\murdoocnat\Desktop\RogueKillerX64.exe
Supprimé : C:\Users\murdoocnat\Desktop\ZHPDiag résultat
Supprimé : C:\Users\murdoocnat\Desktop\ZHPDiag.txt
Supprimé : C:\Users\murdoocnat\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\murdoocnat\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #161 [Windows Update | 02/01/2013 10:57:47]
Supprimé : RP #162 [Sauvegarde Windows | 02/04/2013 11:40:23]
Supprimé : RP #163 [Windows Update | 02/05/2013 09:46:28]
Supprimé : RP #164 [Windows Update | 02/09/2013 17:19:54]
Supprimé : RP #165 [Removed SpyHunter | 02/10/2013 22:23:48]
Supprimé : RP #166 [Sauvegarde Windows | 02/18/2013 11:41:26]
Supprimé : RP #167 [Windows Update | 02/18/2013 13:01:02]
Supprimé : RP #168 [Windows Update | 02/23/2013 19:23:36]
Supprimé : RP #169 [Removed Java(TM) 6 Update 14 | 02/24/2013 12:32:06]
Supprimé : RP #170 [Installed Java 7 Update 15 | 02/24/2013 12:33:55]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Utilisateur anonyme · Answer

- mbam setup ==> Executable d'installation de MBAM

- malwayrebyte ==> l'icone de lancement de MBAM


- l'icone représentant l'ordinateur dont je t'ai parlé plus haut 

ceci est un raccourci pour accès rapide de ton ordinateur, au lieu de passer par le manu démarrer.  ==> je ne sais pas quel logiciel l'a générée !



- l'icone du dosier système "murdoocnat" (celle du dossier avec le bonhomme devant) ==> aucune idée de ce que c'est,

fais moi une impression d'ecran pour voir ce que c'est !

murdooc · Answer

J'ai trouvé comment faire la capture d'écran !
La voilà : 
http://cjoint.com/?3Byt3MneYyl

Utilisateur anonyme · Answer

ok, je confirme,

l'icone sous forme d''ordinateur est un raccourcis vers ordinateur, tu trouveras la même dans le menu démarrer.

l'autre ressemble à tes documents ! 

regarde voir ce qu'il y à l'intérieur du répertoire !

murdooc · Answer

Oui, pour l'icone ordinateur, c'est bien ça. 
Pour l'autre, comme je te le disais plus haut, ça mène vers mes dossiers personnels : images, téléchargements, mes docs, favoris, etc... 

Puisque ces 2 icones sont déjà dans Démarrer, puis-je les supprimer du bureau sans risquer de supprimer avec tous les fichiers que ça contient (alors que ces icones ne semblent pas être des raccourcis) ?

Et comment puis-je désinstaller Malwarebytes proprement, stp ?

(après ça, je crois qu'on pourra dire que c'est gagné, non ???)

Utilisateur anonyme · Answer

oui, mais ne vide pas la corbeille pour le moment, au pire, tu pourras les restaurer  :D


il est temps d'installer un antivirus et finaliser ton problème  :D

est ce que tu as eu le temps d'en choisir un ?

murdooc · Answer

Super ! J'ai supprimé les 2 icones et j'ai accès à mes docs et tout le reste par le chemin habituel.
Je me sens à nouveau chez moi ! :-)

Tu n'as pas du voir ma question pour Malwarebytes (puisque j'ai édité mon message un peu après). Comment puis-je le désinstaller proprement, stp ?
Mais s'il doit rester, ce n'est pas grave.

Quant à l'antivirus, j'y ai pensé mais pas encore décidée. Ca ne me plait pas trop d'en mettre un. Je sais déjà ce que tu vas me dire :-)

Tu réalises que tu m'aides depuis 11 h ce matin ?
C'est impressionnant le temps que tu as passé à m'assister. Je suis épatée !
Tu es employé par le site pour aider les gens ou tu fais ça par pure gentillesse ?
En tout cas, un très très gros merci !

Utilisateur anonyme · Answer

pour MBAM, tu peux le désinstaller depuis le panneau de configuration, programmes et fonctionnalité, mais je te conseille vivement de le conserver et lancer une mise à jour de temps en temps et passer un scan (preventif)


les antivirus, on peut s'en passer, mais ça filtre certaines choses, donc en avoir, c'est pas mal, si tu en cherches un léger, j'en connais, mais la décision t'appartient  :D


pour répondre à ta question, je suis bénévole parmis tant d'autres ici et ailleur  ;D

non, je ne suis pas employé du site, je le fais pour le Fun !

dans ce monde, je pense que dans le monde ou tout est devenu individualiste et que les gens sont de plus en plus égoiste, il faut savoir s'entraider pour s'en sortire.

je contribue à ma manière, à chacun d'en faire autant pour avoir un monde meilleur  ;-)

murdooc · Answer

Pour MBAM, je pensais en effet que ça serait pas mal de le conserver.
Mais alors, l'installer correctement, pas sur le bureau je veux dire.
Je vais surement le désinstaller et le remettre comme il faut.

Pour l'antivirus, je vais y réfléchir encore un peu.
Si tu as un nom à me donner, je prends :-)
Ca sera pour le jour où je voudrai franchir le pas. Mais juste le nom, pas la peine de t'embêter à m'expliquer la procédure d'installation, je t'en ai déjà assez demandé pour aujourd'hui.

C'est abmirable que tu aides les gens juste pour rendre service.
Rien que pour moi, tu as passé ta journée à l'ordi. Moi j'ai la grippe, je n'avais pas le choix ;-)
Je te dirai bien que c'est à charge de revanche, mais vu mon niveau, je ne risque pas de pouvoir t'aider un jour...

Je peux juste te remercier beaucoup, beaucoup, beaucoup !!

Une dernière chose : j'aimerais écrire "Résolu" après le titre de mon post mais puis-je le faire ou est-ce à un modérateur de procéder ?

Utilisateur anonyme · Answer

MBAM est installé correctement, sur ton bureau, tu ne vois que l'executable et le raccourcis, le reste est dans les programmes  :D


pour antivirus, je te propose Comodo, il est aussi bien l'antivirus que parfeu, très léger, je m'en sers depuis 1 ans et tout est nikel, ça ne prend pas trop de ressources  :D


pour le reste, ce fût un plaisir  :D

pour mettre ton poste en résolu, il faut que tu sois connecté avec ton compte, en haut de la page, cliquer sur "marquer comme résolu" !

je m'en charge  ;-)

sur ce, bonne guérison et bon surf  ;-)

murdooc · Answer

Bon, ben si en plus tu te charges de tout, que demande le peuple ?!
Tu es formidable.

Pour MBAM, je souhaitais que le mbam-setup.exe soit caché, dans Téléchargements par exemple. Mais pas grave, je laisse comme ça :-)

Merci pour l'antivirus, je garde précieusement.

Bonne soirée et je ne peux pas m'en empêcher, encore MERCI !!

Utilisateur anonyme · Answer

tu peux supprimer l'installeur de MBAM  ;-)

bonne continuation  ;-)

Vrai police ou virus et arnaque ?

59 réponses

Discussions similaires

Newsletters