Metropolitan British Police virus [Résolu/Fermé]

Signaler
Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016
-
blibloue
Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016
-
Bonjour,

Voila j'ai un ami qui a eu un problème avec son pc, et qui maintenant est contaminé avec le virus Metropolitan British Police virus, comment faire sachant que j'ai essayé de démarrer en mode sans échec mais dés qu'il démarre, la session se ferme directement et il redémarre seul de nouveau. Alors comment faire pour se débarrasser de ce virus.

7 réponses

Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 257
Salut,

Quelle version de Windows ?
Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016

Re,

Windows xp 32bit.
Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 257
Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Lance ISO2Disc, indique le dossier où se trouve le fichier ISO du Live CD
- Indique le lecteur CD-Rom ou la clef USB selon si tu veux booter depuis le CD ou la clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.

Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016

Re,

Ok, je me lance et je vous tiendra au courant. Merci.
Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016

Bonjour,

Veuillez trouver ci-joint le rapport de RougeKiller.

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 06/28/2014 15:00:15
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 16 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFCA671809DDCE6ED0772F2052857\syjdoe1.cpp [-]) -> TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFCA671809DDCE6ED0772F2052857\syjdoe1.cpp [-]) -> TROUVÉ
[EXT RUN][SUSP PATH] HKCU\user_ON_C:\[...]\Run : SearchProtection ("C:\Documents and Settings\user\Application Data\Search Protection\SearchProtection.EXE" /autostart [7]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[user][SUSP PATH] autostart.lnk : C:\Documents and Settings\user\Start Menu\Programs\Startup\autostart.lnk @X:\Windows\System32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFC~1\syjdoe1.cpp,start [-][-][-] -> TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SOFTWARE
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SECURITY
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SAM
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\DEFAULT
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\Documents and Settings\80001052\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\Documents and Settings\80001053\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\80001053\Start Menu\Programs\Startup
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
-> C:\Documents and Settings\Local-Admin\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Local-Admin\Start Menu\Programs\Startup
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\LocalService\Start Menu\Programs\Startup
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup
-> C:\Documents and Settings\user\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\user\Start Menu\Programs\Startup

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ee6e1185a2d9a342892cd8d0e84d206f
[BSP] f9e588908d01f51c009cfdb9061cd17c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 159041 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 325717875 | Size: 146200 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] e87c52ed79b8a2d9decad82a4eadd25d
[BSP] 542b1c9950b67d6fe021c7990e059f6f : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 44 | Size: 7655 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_06282014_150015.txt >>


ET



RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 06/28/2014 15:03:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 16 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFCA671809DDCE6ED0772F2052857\syjdoe1.cpp [-]) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFCA671809DDCE6ED0772F2052857\syjdoe1.cpp [-]) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[EXT RUN][SUSP PATH] HKCU\user_ON_C:\[...]\Run : SearchProtection ("C:\Documents and Settings\user\Application Data\Search Protection\SearchProtection.EXE" /autostart [7]) -> SUPPRIMÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[user][SUSP PATH] autostart.lnk : C:\Documents and Settings\user\Start Menu\Programs\Startup\autostart.lnk @X:\Windows\System32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\7D5EFC~1\syjdoe1.cpp,start [-][-][-] -> SUPPRIMÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SOFTWARE
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SECURITY
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\SAM
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\windows\system32\config\DEFAULT
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\Documents and Settings\80001052\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\80001052\Start Menu\Programs\Startup
-> C:\Documents and Settings\80001053\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\80001053\Start Menu\Programs\Startup
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
-> C:\Documents and Settings\Local-Admin\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Local-Admin\Start Menu\Programs\Startup
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\LocalService\Start Menu\Programs\Startup
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup
-> C:\Documents and Settings\user\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\user\Start Menu\Programs\Startup

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ee6e1185a2d9a342892cd8d0e84d206f
[BSP] f9e588908d01f51c009cfdb9061cd17c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 159041 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 325717875 | Size: 146200 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] e87c52ed79b8a2d9decad82a4eadd25d
[BSP] 542b1c9950b67d6fe021c7990e059f6f : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 44 | Size: 7655 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_06282014_150306.txt >>
RKreport[0]_S_06282014_150015.txt








J'ai redémarré le PC et tout est nickel.

Merci.
Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 257
nice :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

~~


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Messages postés
80
Date d'inscription
jeudi 31 octobre 2013
Statut
Membre
Dernière intervention
16 février 2016

Bonjour,

Je vous remercie pour votre aide précieuse.

Salutations distinguées.