Votre question

Virus soit disant de la gendarmerie pour action frauduleuse

Tags :
  • Action
  • Virus
  • Streaming
  • Anti malware
  • gendarmerie nationale
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Juillet 2012 11:26:53

Bonjour à tous,

Je me retrouve coincé depuis hier à cause de ce satané virus qui est survenu en regardant une vidéo en streaming. Apparemment je ne suis pas le seul, ce virus est bien répandu. Je suis actuellement en mode sans échec avec prise en charge réseau, le seul moyen où je peux aller sur Internet et tenter des truks sur mon ordi, sans que le virus me bloque.

Je ne pense pas que je vais décrire plus en vue des posts multiples à ce sujet, c'est le même virus ...

En suivant une résolution de ce problème d'un autre utilisateur, j'ai déjà pu faire le début qui est généraliste : j'ai utiliser Rkill puis fait un scan OTL, dont voici les rapports :

http://pjjoint.malekal.com/files.php?read=20120705_o13c...

http://pjjoint.malekal.com/files.php?read=20120705_12g6...

Je peux préciser également que j'ai passé divers scan avec plusieurs logiciels qui m'ont enlevé bon nombre de trojans/spyware et j'en passe avec ces logiciels : Malwarebytes Anti-Malware / Super Anti-spyware / un bon coup de Ccleaner. Malheureusement, ces actions ne m'ont pas aidé à l'éliminer !

Merci pour votre aide future.

Autres pages sur : virus disant gendarmerie action frauduleuse

a b 8 Sécurité
5 Juillet 2012 13:39:03

Bonjour,

Je vais regarder ça ;) 
a b 8 Sécurité
5 Juillet 2012 14:12:30

Re,

Je peux avoir le rapport MBAM ?
Tu as touché au proxy ?

Désinstalle si possible :
SUPERAntispyware, pas utile
Pando Media Booster
AutocompletePro
Web Assistant 2.0.0.445
searchweb

  • Relance OTL.exe
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

    :OTL
    SRV:[b]64bit:[/b] - [2012/05/24 15:23:28 | 000,185,856 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater)
    SRV:[b]64bit:[/b] - [2011/08/12 01:38:04 | 000,140,672 | ---- | M] (SUPERAntiSpyware.com) [Auto | Running] -- C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE -- (!SASCORE)
    DRV:[b]64bit:[/b] - [2011/07/22 18:26:56 | 000,014,928 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Stopped] -- C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS -- (SASDIFSV)
    DRV:[b]64bit:[/b] - [2011/07/12 23:55:18 | 000,012,368 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Stopped] -- C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS -- (SASKUTIL)
    IE - HKU\S-1-5-21-1087647220-443236407-352421928-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb161?a=6OyDLfWWYE&i=26
    IE - HKU\S-1-5-21-1087647220-443236407-352421928-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108988&babsrc=SP_ss&mntrId=26a5f3b6000000000000b482fee892df
    IE - HKU\S-1-5-21-1087647220-443236407-352421928-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6OyDLfWWYE&i=26
    FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb161/?loc=IB_DS&a=6OyDLfWWYE&&i=26&search="
    FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
    FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
    64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012/06/02 22:44:13 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/06/02 22:44:13 | 000,000,000 | ---D | M]
    [2012/06/02 22:44:13 | 000,000,000 | ---D | M] (Web Assistant) -- C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
    [2012/01/15 21:49:44 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    CHR - Extension: Web Assistant = C:\Users\Rocky\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.445_0\
    CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll
    O2:[b]64bit:[/b] - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
    O2:[b]64bit:[/b] - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
    O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
    O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll (SimplyGen)
    O2 - BHO: (TBSB02609 Class) - {C0924543-15FD-4F3D-889C-0B4562A9CB45} - C:\Program Files (x86)\searchweb\tbunsm156A.tmp\tbcore3.dll ()
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (searchweb) - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbunsm156A.tmp\tbcore3.dll ()
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O4 - HKU\.DEFAULT..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe File not found
    O4 - HKU\S-1-5-18..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe File not found
    O4 - HKU\S-1-5-19..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe File not found
    O4 - HKU\S-1-5-20..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe File not found
    O4 - HKU\S-1-5-21-1087647220-443236407-352421928-1001..\Run: [PlayNC Launcher] File not found
    O4 - HKU\S-1-5-21-1087647220-443236407-352421928-1001..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe File not found
    O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: IE = C:\Users\Rocky\AppData\Roaming\Windows\ie.exe
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
    O7 - HKU\S-1-5-21-1087647220-443236407-352421928-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O8:[b]64bit:[/b] - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
    O9 - Extra Button: searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbunsm156A.tmp\tbcore3.dll ()
    O9 - Extra 'Tools' menuitem : searchweb - {CDB982ED-F9D6-4E3B-B94B-96F705D35AD1} - C:\Program Files (x86)\searchweb\tbunsm156A.tmp\tbcore3.dll ()
    O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O33 - MountPoints2\{6bc86632-b5c0-11e1-95fb-002454a9450c}\Shell - "" = AutoRun
    O33 - MountPoints2\{6bc86632-b5c0-11e1-95fb-002454a9450c}\Shell\AutoRun\command - "" = F:\Install.exe
    [2012/06/21 14:55:32 | 000,000,000 | ---D | C] -- C:\Program Files\Babylon
    [2012/05/18 20:01:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TheBestMatch

    :reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{16D1CFE5-18F2-4697-9416-E547C06B9AA1}" =-
    "{67496878-9154-416F-B0DC-DA00FB4D3940}" =-
    {757C92F9-1E3B-40D5-8DCA-8D6E7E980461}" =-
    {8681327E-FD2F-4B25-A3D0-8E03E64707A9}" =-
    {8AAB0038-5148-4C8C-96EF-F56AA1A890D9}" =-
    {E03A9289-4FA2-471F-89A5-FF252EAFE8A6}" =-

    :Files
    C:\Program Files\SUPERAntiSpyware
    C:\Program Files (x86)\Pando Networks
    C:\Program Files\Web Assistant
    C:\Program Files (x86)\AutocompletePro
    C:\Program Files (x86)\searchweb

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche.
  • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
  • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    Contenus similaires
    5 Juillet 2012 15:31:02

    Bonjour !

    Tout d'abord merci beaucoup de t'occuper de mon cas ! ;) 

    Pour le proxy, je crois juste qu'il est désactivé ^^

    Donc voici le rapport MBAM :

    http://pjjoint.malekal.com/files.php?id=20120705_n6x8k1...

    J'ai désinstallé ce que tu m'as conseillé.

    Je vais faire la seconde manip avec OTL et j'édite ma réponse d'ici 10 minutes avec le rapport de suppression !

    **EDIT**

    Voici le rapport de suppression :

    http://pjjoint.malekal.com/files.php?id=20120705_u10i12...

    Si non, un message est apparu au démarrage (et ce à chaque démarrage) : Problème lors du démarrage de C:\..........\0_0u_l.exe (le module spécifié est introuvable).

    J'viens aussi de remarquer que le contrôle de compte d'utilisateur a été réactivé (Vista et W7 => la demande d'autorisation de lancement du programme, si tu vois ce que je veux dire ^^).

    Enfin, je suis maintenant en mode normal de Windows et plus en mode sans échec, la page qui me bloquait tout n'est pas apparue :) 

    ***EDIT 2***

    J'ai passé une suppression avec Adwcleaner et voici son rapport :

    http://pjjoint.malekal.com/files.php?id=20120705_r15j5l...

    Merci beaucoup ! Je peux déjà avoir accès à l'ordinateur tranquillement =)
    J'attends la suite, s'il y en a une !
    a b 8 Sécurité
    5 Juillet 2012 16:06:55

    Citation :
    C:\Users\Rocky\Desktop\keygen.exe (Riskware.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

    Il ne faut pas s'étonner d'avoir des infections après :x

    On a fait un bon petit ménage. Refais une analyse OTL stp.
    a b 8 Sécurité
    5 Juillet 2012 16:52:07

    Re,

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
      IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <-loopback>;<local>
      IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877
      IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
      IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <-loopback>;<local>
      IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877
      IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
      IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" =
      IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
      IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" =
      IE - HKU\S-1-5-21-1087647220-443236407-352421928-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 4C 4C F1 F9 8E D0 CC 01 [binary data]
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4 - HKU\S-1-5-21-1087647220-443236407-352421928-1006..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    On va sécuriser le pc maintenant. Parce que si tu avais maintenu à jour ton pc et Java/Adobe, tu n'aurais pas eu ce prob.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    5 Juillet 2012 18:19:37

    Re,

    J'ai fait la correction sur OTL, voici le rapport de suppression :

    http://pjjoint.malekal.com/files.php?id=20120705_v10e13...

    Et voici le rapport avec SX :


    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Rocky
    05/07/2012
    18:15:52
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.3.300.257
    Flash Player ActiveX n'est pas à jour! (11.3.300.262)

    Name : FlashPlayer Plugin
    Version : 11.3.300.262
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 13.0.1 (x86 fr)
    Version : 13.0.1

    Nom : Mozilla Maintenance Service
    Version : 13.0.1

    Java Information :
    Nom : Java(TM) 7 Update 5
    Version : 7.0.50
    Java(TM) 7 Update 5 est à jour

    Name : Adobe Reader 9.5.1 - Français
    Version : 9.5.1
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421


    Je ne comprends pas pourquoi certains softwares n'étaient pas à jour, pourtant ils sont "configurés" pour les mises à jour automatiques. Merci.
    a b 8 Sécurité
    5 Juillet 2012 18:33:06

    Pour l'Active X c'est juste une erreur de logiciel qui sera corrigé.
    Bah elles sont config mais il faut accepter l'install, parfois on oublie ;) 

    Tu as des questions ou problèmes ?

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • /!\ Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection /!\
    5 Juillet 2012 18:53:00

    C'est fait ! Voici le rapport :


    # DelFix v8.8 - Rapport créé le 05/07/2012 à 18:50:54
    # Mis à jour le 12/02/12 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Rocky - ROCKY-PC (Administrateur)
    # Exécuté depuis : C:\Users\Rocky\Desktop\delfix.exe
    # Option [Suppression]


    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\_OTL

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\rkill.log
    Supprimé : C:\TDSSKiller.2.6.21.0_01.05.2012_15.07.43_log.txt

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [699 octets] - [05/07/2012 18:50:54]

    ########## EOF - C:\DelFix[S1].txt - [822 octets] ##########


    Et oui j'ai juste une question : est-ce normal qu'à chaque démarrage de l'ordinateur j'ai ce message d'erreur : Problème lors du démarrage de C:\..........\0_0u_l.exe (le module spécifié est introuvable). ?

    Ce sera tout niveau questions/remarques ;) 
    a b 8 Sécurité
    5 Juillet 2012 18:59:01

    Ca vient de l'infection, enfin un reste.

    Démarrer / MSConfig / Démarrage, tu as une ligne qui pointe vers ce fichier ?
    5 Juillet 2012 19:07:39

    Le chemin d'accès du module tu veux dire ?
    a b 8 Sécurité
    5 Juillet 2012 20:45:04

    Il y a des lignes avec des cases devant, y a t il le fichier dedans tout simplement ?
    5 Juillet 2012 21:18:14

    Non il n'y a rien :o 
    a b 8 Sécurité
    5 Juillet 2012 21:40:37

    On va essayer un truc.

    • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne l'option Recherche
    • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse
    5 Juillet 2012 21:47:09

    Fait, voici le rapport :


    RogueKiller V7.6.2 [02/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Rocky [Droits d'admin]
    Mode: Recherche -- Date: 05/07/2012 21:45:54

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [SUSP PATH] {31F63047-C557-4336-8030-811EBCBD0160}.job @ : C:\Users\Rocky\Desktop\28_11_2011_Insanity_Flyff.exe -> FOUND
    [SUSP PATH] {486EF470-E7F2-4933-B54A-7668B7827B9F}.job @ : C:\Users\Rocky\Desktop\iExplorer_Setup.exe -> FOUND
    [SUSP PATH] ctfmon.lnk @Rocky : C:\Windows\System32\rundll32.exe|C:\Users\Rocky\AppData\Local\Temp\0_0u_l.exe -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HM500JI +++++
    --- User ---
    [MBR] 61c2d15ef6fa83469e8bd79a6d7be6ce
    [BSP] f070316b0aec6be6581c02c7e74094ee : KIWI Image system MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 230738 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 504215552 | Size: 230740 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    a b 8 Sécurité
    5 Juillet 2012 21:50:16

    • Relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • Normalement ça devrait être ok.
    5 Juillet 2012 22:16:59

    Voili voilou :


    RogueKiller V7.6.2 [02/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Rocky [Droits d'admin]
    Mode: Suppression -- Date: 05/07/2012 22:15:40

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [SUSP PATH] {31F63047-C557-4336-8030-811EBCBD0160}.job @ : C:\Users\Rocky\Desktop\28_11_2011_Insanity_Flyff.exe -> DELETED
    [SUSP PATH] {486EF470-E7F2-4933-B54A-7668B7827B9F}.job @ : C:\Users\Rocky\Desktop\iExplorer_Setup.exe -> DELETED
    [SUSP PATH] ctfmon.lnk @Rocky : C:\Windows\System32\rundll32.exe|C:\Users\Rocky\AppData\Local\Temp\0_0u_l.exe -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HM500JI +++++
    --- User ---
    [MBR] 61c2d15ef6fa83469e8bd79a6d7be6ce
    [BSP] f070316b0aec6be6581c02c7e74094ee : KIWI Image system MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 230738 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 504215552 | Size: 230740 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    6 Juillet 2012 21:36:59

    N'ayant plus de nouvelles, je up le sujet ! :p  Dis-le moi s'il reste des démarches à faire ;) 

    Cordialement.
    a b 8 Sécurité
    7 Juillet 2012 11:58:01

    Pas eu le temps hier désolé. Même problème au démarrage alors ?
    7 Juillet 2012 20:51:39

    Coucou !

    Non, y'a plus de message :) 
    a b 8 Sécurité
    8 Juillet 2012 14:19:30

    Tu peux virer RogueKiller :)  lis bien le dossier protection/prévention. Tu as d'autres questions maintenant ?
    8 Juillet 2012 15:33:25

    Coucou !

    Euh non j'ai plus de question ! :)  Y aurait-il possibilité de te MP si jamais y'a une question qui me vient ? ;) 

    Enfin, quoi que, juste quelque chose ! Maintenant que j'ai Java et tout le tralala à jour, je risque toujours de le rechopper ce virus ? =x

    PS : Dis-moi si tout est fini et si j'en suis débarrassé afin que je passe le sujet en "résolu". Merci !

    Cordialement.
    a b 8 Sécurité
    9 Juillet 2012 10:33:53

    Je préfère un nouveau sujet à un MP :) 
    Normalement nan mais les infections évoluent plus vites que les mises à jour donc évite tout comportement à risques : streaming, dl, P2P, XXX et cie.
    Je m'occupe du résolu :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS