Virus InterpolRésolu/Fermé

Question

Bonjour, pourriez vous m'aidez svp. J'ai un virus dont je n'arrive pas a me débarrasser il s'agit d 'une fausse page internet d'Interpol me demandant de l'argent et il m'est impossible de quitter cette page une fois l'ordinateur lancé. 
Toute aide sera la bienvenue 
Merci bcp

Doria

Malekal_morte- · Accepted Answer

Salut,

Quelle est la version de Windows du PC infecté?

DORIA93 · Answer

Mon système d'exploitation est windows vista

DORIA93 · Answer

Merci d'avoir répondu aussi vite!

Malekal_morte- · Answer

Salut,

Vérifie qu'en mode sans échec, le virus se lance.
Si c'est pas le cas, dis le nous.

S'il se lance, tente ça :

Si tu es sur Windows Vista ou Windows Seven :
Lance RogueKiller en invite de commandes en mode sans échec : https://www.malekal.com/windows-vistaseven-roguekiller-en-invite-de-commandes-en-mode-sans-echec/


Si ça ne fonctionne pas :


Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.  

Suis la procédure indiqué sur la page :  
- Lance ISO2Disc, indique le dossier où se trouve le fichier ISO du Live CD
- Indique le lecteur CD-Rom ou la clef USB selon si tu veux booter depuis le CD ou la clef USB.
- Mettre le CD / Clef USB sur le PC infecté  
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.  
- Une fois sur le CD Live Malekal - Lance RogueKiller  
- Fais un scan  
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).  
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message. 
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)  
- Redémarre l'ordinateur et vois ce que cela donne.

DORIA93 · Answer

Je suis justement en mode sans echec et le virus ne se lance pas

Malekal_morte- · Answer

sur la session infectée ?


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

DORIA93 · Answer

Malekal_Morte, Voila le rapport que j'ai eu RogueKiller V8.6.12 [Sep 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Cédric [Droits d'admin] Mode : Suppression -- Date : 09/24/2013 15:31:08 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1) [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [BROK VAL] HKCR\[...]\command : () -> CRÉÉ ("%1" %*) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 1 ¤¤¤ [Cédric][SUSP PATH] olibbni.lnk : C:\Users\Cédric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\olibbni.lnk @C:\Windows\System32\rundll32.exe C:\PROGRA~2\inbbilo.plz,GL300 [-][-][-] -> SUPPRIMÉ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0xc000035f] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST9250320AS ATA Device +++++ --- User --- [MBR] 4eef7f11a3316ae472181298e2de574d [BSP] e919ec0aaa6b9b77bb18ac4fe4c7959f : Toshiba MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 227631 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 466190336 | Size: 10840 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_09242013_153108.txt >> RKreport[0]_S_09242013_153052.txt

DORIA93 · Answer

Ah Malekal_Morte est occupé. :-)

DORIA93 · Answer

Malekal_Morte etant occupé est ce qu'une autre âme charitable aurait elle la possibilité de m'aider. 

Merci bcp

Malekal_morte- · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

DORIA93 · Answer

Ok le scan est en cours

DORIA93 · Answer

Voici les liens des deux rapports:

Le premier lien est le OTL:
 https://pjjoint.malekal.com/files.php?id=20130924_x10c6l5d8u8

Le deuxième est un rapport extra:
https://pjjoint.malekal.com/files.php?id=20130924_u6i7j14l15n10

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/09/24 14:36:53 | 095,025,368 | ---- | M] () -- C:\ProgramData\olibbni.pff  
[2013/09/24 14:30:20 | 000,000,000 | ---- | M] () -- C:\ProgramData\olibbni.ctrl 
[2013/09/24 14:25:16 | 000,155,648 | ---- | M] () -- C:\ProgramData\inbbilo.plz  
[2013/07/08 23:10:22 | 000,000,000 | ---D | M] -- C:\Users\Cédric\AppData\Roaming\BabSolution  
[2013/07/08 23:09:25 | 000,000,000 | ---D | M] -- C:\Users\Cédric\AppData\Roaming\Babylon  
[2013/03/18 20:38:37 | 000,000,000 | ---D | M] -- C:\Users\Cédric\AppData\Roaming\OpenCandy  
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}  
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: URL = https://search.safefinder.com/?st=ds&q={searchTerms}
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?st=ds&q={searchTerms}
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?st=ds&q={searchTerms}
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}  
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: URL = https://search.safefinder.com/?st=ds&q={searchTerms}
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: URL = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=55F9002100C1BBA9&affID=119357&tt=040713_ctrl&tsp=4937
 
 
 * poste le rapport ici 


Redémarre en mode normal pouvoir ce que cela donne. 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

DORIA93 · Answer

Voila le dernier rapport:

========= OTL ==========
C:\ProgramData\olibbni.pff moved successfully.
C:\ProgramData\olibbni.ctrl moved successfully.
C:\ProgramData\inbbilo.plz moved successfully.
C:\Users\Cédric\AppData\Roaming\BabSolution\Shared folder moved successfully.
C:\Users\Cédric\AppData\Roaming\BabSolution\CR folder moved successfully.
C:\Users\Cédric\AppData\Roaming\BabSolution folder moved successfully.
C:\Users\Cédric\AppData\Roaming\Babylon folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy\9DF4E4350951497A9811A255068D6A4F folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy\6CA24E6F8660480B9F994EB18D6004EE folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy\37715FB8DCBC49C19CB503664B334C87 folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy\2BE454F259F14D08A22FEFF6E6A753DD folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy\1E34F536495B4DC48610BBA5F5E06C40 folder moved successfully.
C:\Users\Cédric\AppData\Roaming\OpenCandy folder moved successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found.
HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\SOFTWARE\Microsoft\Internet Explorer\Search\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-21-1463366327-2261384506-1679008438-1000\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant| /E : value set successfully!
HKEY_USERS\S-1-5-21-1463366327-2261384506-1679008438-1000\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1463366327-2261384506-1679008438-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found.
Registry key HKEY_USERS\S-1-5-21-1463366327-2261384506-1679008438-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.
Registry key HKEY_USERS\S-1-5-21-1463366327-2261384506-1679008438-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 09242013_214851

J'essaye le démarrage en mode normal

DORIA93 · Answer

Bon plus de fenêtre intempestive.

Merci tu as été vraiment très efficace. 
Que me recommandes tu à l'avenir pour éviter que cela n'arrive de nouveau. Un antispyware et un antivirus particulier?

Malekal_morte- · Answer

Tu as été infecté car java n'est pas à jour.

Désinstalle Spyware Terminator, sert à rien.

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

DORIA93 · Answer

Un grand merci à toi pour ton efficacité!
Bonne soirée. :-)

Virus Interpol

17 réponses

Discussions similaires

Newsletters