Se connecter / S'enregistrer
Votre question

virus codeur de windows

Tags :
  • Windows
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Juillet 2012 21:33:40

bonjour,
Mon PC est infecté par un virus " codeur de windows" qui me demande de payer 100 € pour m'en débarasser.
J'ai vu sur le forum que certains avaient réussi a s'en défaire grace a vous.
Si quelqu'un peut m'aider car je ne suis pas un pro en informatique.
Merci d'avance.

Autres pages sur : virus codeur windows

a b 8 Sécurité
13 Juillet 2012 21:57:07

Bonjour,

Tu arrives à accéder au mode sans échec ?
14 Juillet 2012 00:29:56

oui, j'y arrive.
Contenus similaires
a b 8 Sécurité
14 Juillet 2012 23:49:44

Oki on va voir ça.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    a b 8 Sécurité
    16 Juillet 2012 20:51:07

    Re,

    Il y a quelques traces d'infections. On va s'occuper des adwares et on verra après ce que va trouver MBAM.

    Désinstalle si possible :
    DealPly
    I Want This
    StartNow Toolbar
    Iminent

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    &

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1
      IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=cc4771f80000000000000ceee6df61dc&tlver=1.4.23.10&affID=100607
      IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
      IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
      IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}
      IE - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW4&o=16795&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=3O&apn_dtid=VIN009YYFR&apn_uid=EA41E427-4080-44A1-8A3C-518C760B0D65&apn_sauid=403155D2-3A59-48CF-A4A7-02C3824C5FBE
      IE - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=cc4771f80000000000000ceee6df61dc&tlver=1.4.23.10&affID=100607
      IE - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}
      [2011/07/27 23:49:58 | 000,002,424 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
      CHR - Extension: DealPly = C:\Users\OLIVIER DROUIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\gaiilaahiahdejapggenmdmafpmbipje\3.0.7.2_0\
      CHR - Extension: Iminent = C:\Users\OLIVIER DROUIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl\4.43.0_0\
      CHR - Extension: I Want This = C:\Users\OLIVIER DROUIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk\1.15.26_0\
      O2 - BHO: (I Want This) - {11111111-1111-1111-1111-110011221158} - C:\Program Files\I Want This\I Want This.dll (215 Apps)
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
      O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll ()
      O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
      O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
      O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll ()
      O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
      O3 - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
      O3 - HKU\S-1-5-21-1131658597-4005637612-88016806-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
      O4 - HKLM..\Run: [] File not found
      O4 - HKLM..\Run: [Iminent] C:\Program Files\Iminent\Iminent.exe (Iminent)
      O4 - HKLM..\Run: [IminentMessenger] C:\Program Files\Iminent\Iminent.Messengers.exe (Iminent)
      O4 - HKLM..\Run: [StartNowToolbarHelper] "C:\Program Files\StartNow Toolbar\ToolbarHelper.exe" File not found
      O4 - HKU\S-1-5-21-1131658597-4005637612-88016806-1001..\Run: [defpepack] C:\Users\OLIVIER DROUIN\AppData\Roaming\defpepack.exe ()
      O4 - HKU\S-1-5-21-1131658597-4005637612-88016806-1001..\Run: [rrxbbkun] C:\Users\OLIVIER DROUIN\AppData\Roaming\Tttggjjp\kkkzzbkun.exe ( " ")
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      [2012/07/12 19:09:27 | 000,000,000 | ---D | C] -- C:\Users\OLIVIER DROUIN\Buuujjj
      [2012/07/11 23:56:49 | 000,000,000 | ---D | C] -- C:\Users\OLIVIER DROUIN\AppData\Roaming\Tttggjjp
      [2012/07/11 23:56:49 | 000,000,000 | ---D | M] -- C:\Users\OLIVIER DROUIN\AppData\Roaming\Tttggjjp
      @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:CE0A077E

      :Files
      C:\Program Files\Iminent
      C:\Program Files\StartNow Toolbar
      C:\Program Files\DealPly
      C:\Program Files\I Want This

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    24 Juillet 2012 20:35:47

    salut,
    t'es plus la ???
    a c 548 8 Sécurité
    a b 9 Windows
    25 Juillet 2012 11:02:20

    Bonjour jackas31,

    En l'absence temporaire d'AngelDark, je vais assurer le relai.

    Est-ce que le pc a été redémarré après le passage du script d'OTL ?
    Il redémarrait normalement ensuite ?

    Est-ce que tu peux démarrer en mode sans échec ?
    25 Juillet 2012 13:04:11

    Bonjour, merci de prendre le relais !!
    J'ai redémarer apres MalwareByte's Anti-Malware mais pas apres OTL ( sauf si il me l'a proposé).
    J'ai toujours accès au mode sans echec!
    a c 548 8 Sécurité
    a b 9 Windows
    25 Juillet 2012 14:26:53

    Re,

    Refais ceci en mode sans échec s'il te plait :

    Relance OTL :

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 548 8 Sécurité
    a b 9 Windows
    26 Juillet 2012 14:06:46

    Re,

    je ne vois pas dans ce nouveau rapport, ni dans les correction effectuée avant une raison "infectieuses" pour que le pc ne démarre pas en mode normal.

    On va tester ceci :

    Tapote F8 (ou f5), comme pour démarrer en mode sans échec
    Dans l'écran de choix, au lieu de mode sans échec, choisi "réparer l'ordinateur"

    Tu devrais arriver au bout d'un moment sur ce menu :


    Choisi alors "réparation du démarrage"

    Suis la procédure et laisse redémarrer le pc.

    Regarde s'il y a du mieux
    26 Juillet 2012 23:25:54

    tu as raison le pc redémarre nirmalement mais très lentement !!
    As tu une astuce pour le faire tourner un peu plus vite ??
    Merci pour ton aide.
    a c 548 8 Sécurité
    a b 9 Windows
    27 Juillet 2012 11:08:43

    Re,

    Mis à part ce démarrage lent, il y a encore d'autre soucis / symptômes ?

    Il démarré beaucoup plus rapidement avant ?
    27 Juillet 2012 13:55:14

    Bonjour,
    Ca y est la vitesse de démarage est normale.
    Par contre j'ai tous mes fichiers photos qui sont illisibes !!!
    a c 548 8 Sécurité
    a b 9 Windows
    27 Juillet 2012 13:59:11

    Re,

    Les fichiers sont renommé de quelle manière ? suite de lettre en minuscule/majuscule ?
    28 Juillet 2012 14:15:26

    oui, c'est ça !!!!
    a c 548 8 Sécurité
    a b 9 Windows
    28 Juillet 2012 19:46:04

    Re,

    Alors j'ai une mauvaise nouvelle à t'annoncer, tu as contracté la variante à laquelle il n'existe à ce jour aucun moyen de décrypter les fichiers.

    Aucun éditeur de logiciel de sécurité n'a encore trouvé de solution de décryptage.
    Si cela venait à changer, nous vous en avertirions, mais il y a peu d'espoir vu les données récoltées à ce jour sur le type de cryptage utilisé (clé unique aléatoire)

    Tout ce que je peux faire à présent c'est nettoyer les outils utilisés et conclure.

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    4) Mise à jour du système et des logiciels :

    Met à jour ton système vers le service pack 1 et fais l'ensemble des mises à jours proposées au besoin :
    Démarrer -> tous les programmes -> Windows Update

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS