Virus police [Résolu/Fermé]

Signaler
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019
-
 Utilisateur anonyme -
Bonjour,
En allant voir des vidéos en sur YouTube avec copain, nous avons ramasser le fameux virus police mais même en mode sans échec je ne sais pas m'en débarrasser
Pourriez vous me donner la marche à suivre svp

Merci d'avance
Attention comme j'utilise un autre PC ce n'est pas ma configuration, j'utilise XP avec un processeur de 2,4 mais je sais pas vous endire plus comme je ne sais pas accéder au PC




11 réponses

Messages postés
175404
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 février 2020
19 594
Salut,

Le mode sans échec sur la session infectée est accessible ?
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Bonjour,
non malheureusement
Messages postés
175404
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 février 2020
19 594
Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263

Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.




Si la restauration est impossible :

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Bonjour merci pour ton aide je vais essayer tout cela et je te tiens au courant
Un grand merci
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Comme cela n'avait pas fonctionné avec roguekiller car je soupçonne que c'était une version pour win7.
J'ai fini par faire une restauration de mon systeme avec l'invite en mode sans échec et apparement cela fonctionne, mais je me demandais si je ne devais quand même pas faire un scan du PC ???

Merci de ton aide
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Bonjour,

Pourrait-on me dire si je dois faire un scan du PC et si oui avec qui.

Merci d'avance
Messages postés
175404
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 février 2020
19 594
Pardon j'ai zappé ton sujet.

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


puis :



Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Bonjour et merci pour votre réponse,

Voici les rapports, mais avant toute chose j'aimerai poser une question j'ai sur mon bureau un dossier avec RK_quarantine et j'ai voulu voir ce que c'était dedans mais alors, j'avais l'impression que quelque chose s'installait dans mon PC, possible ???

RK:

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Marc [Droits d'admin]
Mode : Recherche -- Date : 06/05/2013 15:43:05
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\WINDOWSC\WLXPGSS.SCR) [7] -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7A9D554)
SSDT[41] : NtCreateKey @ 0x80578AB4 -> HOOKED (Unknown @ 0xF7A9D50E)
SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7A9D55E)
SSDT[53] : NtCreateThread @ 0x80584D39 -> HOOKED (Unknown @ 0xF7A9D504)
SSDT[63] : NtDeleteKey @ 0x8059A5C9 -> HOOKED (Unknown @ 0xF7A9D513)
SSDT[65] : NtDeleteValueKey @ 0x805991E8 -> HOOKED (Unknown @ 0xF7A9D51D)
SSDT[68] : NtDuplicateObject @ 0x8057F18D -> HOOKED (Unknown @ 0xF7A9D54F)
SSDT[98] : NtLoadKey @ 0x805B8287 -> HOOKED (Unknown @ 0xF7A9D522)
SSDT[122] : NtOpenProcess @ 0x8057F93A -> HOOKED (Unknown @ 0xF7A9D4F0)
SSDT[128] : NtOpenThread @ 0x80596743 -> HOOKED (Unknown @ 0xF7A9D4F5)
SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7A9D577)
SSDT[193] : NtReplaceKey @ 0x806571A8 -> HOOKED (Unknown @ 0xF7A9D52C)
SSDT[200] : NtRequestWaitReplyPort @ 0x8057D13B -> HOOKED (Unknown @ 0xF7A9D568)
SSDT[204] : NtRestoreKey @ 0x80656D3D -> HOOKED (Unknown @ 0xF7A9D527)
SSDT[213] : NtSetContextThread @ 0x80635EFB -> HOOKED (Unknown @ 0xF7A9D563)
SSDT[237] : NtSetSecurityObject @ 0x805E8694 -> HOOKED (Unknown @ 0xF7A9D56D)
SSDT[247] : NtSetValueKey @ 0x80580088 -> HOOKED (Unknown @ 0xF7A9D518)
SSDT[255] : NtSystemDebugControl @ 0x80651A75 -> HOOKED (Unknown @ 0xF7A9D572)
SSDT[257] : NtTerminateProcess @ 0x8058E8B1 -> HOOKED (Unknown @ 0xF7A9D4FF)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7A9D586)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7A9D58B)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWSC\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6Y120L0 +++++
--- User ---
[MBR] 16f9f6a6b43cdbd6c61864e07cd31491
[BSP] f17f3f1c49accc0a7b4e841d3757d1ae : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117232 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST3320620A +++++
--- User ---
[MBR] 56870c2e37137c8203ec26959481a81e
[BSP] ecbdb0eabad3e7d820c43715cd0ba415 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305242 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_06052013_154305.txt >>
RKreport[1]_S_06052013_154305.txt



ADWCleaner:

# AdwCleaner v2.300 - Rapport créé le 06/05/2013 à 15:50:12
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Marc - ALEXANDR-FDF782
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Marc\Mes documents\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\DOCUME~1\Marc\LOCALS~1\Temp\boost_interprocess
Dossier Supprimé : C:\Documents and Settings\Marc\Local Settings\Application Data\PackageAware

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v26.0.1410.64

Fichier : C:\Documents and Settings\Marc\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2103 octets] - [06/05/2013 15:50:12]

########## EOF - C:\AdwCleaner[S1].txt - [2163 octets] ##########
Messages postés
175404
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 février 2020
19 594
Ca semble correct :)


Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Messages postés
15
Date d'inscription
lundi 6 mai 2013
Statut
Membre
Dernière intervention
8 mai 2013
6
Bonjour, souvent ce virus arrive en faisant du streaming, il en existe 3 ou 4 effets différents et même le mode sans-echec ne l'éradique pas la plupart du temps : solution Disposer d'un autre pc propre avec un bon antivirus à jour, démonter le DD vérolé, l'installer dans un boitier externe et faire une analyse complète même si ca prend 24H. En fait c'est le démarrage du Windows du PC infécté qui lance ce virus (qui n'est en fait qu'une fenètre restant en avant-plan (mais trés chiante !!) Bo courage et patience
Bonjour
Pourquoi démonter le DD alors qu'on a des outils pour éradiquer proprement et simplement cette infection?
Virus Hadopi / Virus Ukash / Virus Police
Messages postés
73
Date d'inscription
mercredi 30 mars 2011
Statut
Membre
Dernière intervention
29 août 2019

Ok un grand merci à tous