Auteur Sujet: Virus ministère de l intérieur  (Lu 17442 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Virus ministère de l intérieur
« le: janvier 28, 2013, 01:57:04 »
Bonjour, quelqu'un pourrait il me guider pour supprimer ce virus de mon ordinateur? Je suis sous vista et à chaque fois que je redémarrel l'ordi, que ce soit en mode normal ou sans échec, j'ai l ecran du virus qui apparaît au bout de 3 ou 4 secondes,il sagit du virus qui dit que le Ministère de l interieur a bloqué mon ordi et que je dois payer 100€ dans les 48h si je souhaite éviter toute poursuite. Si quelqu'un pouvais m aider je lui serai très reconnaissant. Merci

Security-X

Virus ministère de l intérieur
« le: janvier 28, 2013, 01:57:04 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #1 le: janvier 28, 2013, 08:04:20 »
Bonjour Antoine12,

Puisque même en mode sans échec tu es bloqué, nous allons donc faire autrement. et analyser le système depuis un liveCD.

----------------------------------------------------------------------------------------------

1) Préparation du Live CD Reatogo :

  • Depuis un PC sain, peu importe son système d'exploitation, télécharge OTLPENet.exe et enregistre-le sur le Bureau.
    Le téléchargement du fichier (121 Mo) peut prendre du temps selon ton débit Internet
  • Insère un CD vierge dans le lecteur/graveur CD/DVD et double-clique sur OTLPENet.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Valide par Oui à la demande de gravure du CD

  • Patiente le temps de la décompression. ImgBurn se lance et grave le CD automatiquement
  • Un message de réussite doit apparaître. Clique sur OK et referme les fenêtres.
2) Utilisation de OTLPE :

/!\ Verr Num est activé par défaut, penser à le désactiver. Le clavier est configuré en QWERTY /!\

  • Insère le CD Reatogo dans le lecteur du PC infecté et démarre sur le lecteur
  • L'environnement Reatogo démarre

  • Le système d'exploitation du CD se charge en mémoire. Patiente, cela peut prendre plusieurs minutes

Le Bureau REATOGO-X-PE apparaît

  • Si besoin, tu devrais avoir ta connexion Internet active et pouvoir te connecter sur le forum
  • Double-clique sur l'icône OTLPE
  • Clique sur Oui pour Do you wish to load Remote user profile(s) for scanning ?

  • Sélectionne ta session, vérifie que Automatically Load All Remaining Users soit coché et clique sur OK

    Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
  • OTLPE s'ouvre

  • Copie-colle sous Custom Scans/Fixes l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
msconfig
safebootminimal
safebootnetwork
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
  • Clique ensuite sur Run Scan et patiente le temps du scan
  • Le rapport OTL.txt s'affiche
  • Le rapport étant trop long pour le forum, héberge-le sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse.
    Le rapport est sauvegardé sous My Computer -> C:\OTL.txt.
-----------------------------------------------------------------------------------------------------------------

Est attendu le lien du rapport OTL.txt

@+

 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #2 le: janvier 28, 2013, 13:57:51 »
Bonjour chantal11 merci pour ta reponse, j ai gravé le fichier  par contre quand je met le cd dans le PC infecté il ne le lit pas  et le clavier et la souris ne fonctionnent plus. As tu une solution à ce nouveau problème

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #3 le: janvier 28, 2013, 14:11:29 »
Re,

Citer
par contre quand je met le cd dans le PC infecté il ne le lit pas

Tu démarres bien sur le CD ?
Démarrer l’ordinateur sur le lecteur CD/DVD

Le CD se lance-t-il ?
Si oui, tu arrives jusqu'à quel écran ?

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #4 le: janvier 28, 2013, 14:17:46 »
Non le cd ne se lance pas . G l écran qui me demande le mode de démarrage :" sans échec...." Je n ai pas la main dessus car ni la souris ni ne clavier ne répondent. Une fois les 20 ou 25 secondes écoulées, le bureau apparaît avec toutes les dossiers et au bout de 5 secondes le message du ministère de l intérieur. Je ne comprend pas hier le clavier et la souris fonctionnaient. Que dois je faire?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #5 le: janvier 28, 2013, 14:31:14 »
Re,

Non, tu dois démarrer sur le lecteur CD/DVD avant que l'écran des options de démarrage avancées (mode sans échec .....) n'apparaisse.

Donc dès que le PC redémarre, tapote F8 au démarrage et sélectionne ton lecteur.

Si cela ne fonctionne pas, il te faut modifier l'ordre du boot pour démarrer en priorité sur le lecteur comme indiqué dans le tutoriel Démarrer l’ordinateur sur le lecteur CD/DVD

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #6 le: janvier 28, 2013, 15:11:27 »
Voilà mon clavier fonctionne à nouveau. Je ne sait pas ce qu il c est passé .quant je tapote sur f8 au démarrage j qu'une page avec plusieurs choix : mode sans échec , mode SE avec prise en charge réseau , invite de commande en mode SE, inscrire les événements de démarrage dans le journal, activer la vidéo à basse résolution , dernière configuration valide connue, mode restauration Des services d annuaire, mode debobage, désactiver le redémarrage automatique en cas d échec du système, désactiver le contrôle obligatoire  des signatures de pilote et démarrer normalement.     Il ne parlent pas du lecteur cd. Que dois je faire ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #7 le: janvier 28, 2013, 15:17:36 »
Re,

Et en passant directement par le bios pour configurer l'ordre de boot, tu n'y arrives pas ?

C'est un PC constructeur ? quelle référence ?
Portable ou fixe ?

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #8 le: janvier 28, 2013, 15:24:07 »
J'ai essayé mais je n ai pas les même écrans que sur le lien que tu m'as indiqué, j'ai tapé entrer en face la ligne cd CDROM pour le passer en prioritaire puis j ai choisi l option quitter et sauvegarder. Quand je redémarré g l impression que le disque tourne mais il ne se passe rien, la page fu virus apparaît puis plus rien, j ai un ordinateur fixe acer aspire t671   Merci encore de répondre aussi vite je suis complètement perdu!!!

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #9 le: janvier 28, 2013, 15:44:17 »
Alors la je ne comprend plus rien je viens d accéder à mon bureau, je n ai plus le message ministère de l intérieur comment c 'est possible. Qu sexe que je dois faire du coup?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #10 le: janvier 28, 2013, 15:50:30 »
Re,

Ah! .... ça nous arrange finalement  :D

Donc on va analyser le système en mode normal, suis les instructions suivantes :

   OTL :

/!\ Important -> Pour les utilisateurs d'Avast, OTL ne doit pas être lancé en mode Sandbox /!\

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Coche la case Tous les utilisateurs
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
safebootminimal
safebootnetwork
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan



  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont sauvegardés sur le Bureau.
@+

 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #11 le: janvier 28, 2013, 16:29:37 »
http://security-x.fr/up/file.php?h=Rafde072bca5a539751d7db978ffd638c     voici le lien pour le rapport, que dois je faire de plus?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #12 le: janvier 28, 2013, 16:48:01 »
Re,

Oui, ça c'est le rapport Extras.txt.

Tu peux faire la même chose pour le rapport OTL.txt et m'indiquer le lien s'il te plaît ?

@+
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #13 le: janvier 28, 2013, 17:10:06 »
Re,

Tu as trouvé le rapport OTL.txt ?
J'en ai besoin pour nettoyer ton système, même si ton Bureau n'est plus bloqué, le Virus Ministère de l'intérieur est toujours là.

Le rapport OTL.txt est dans ton dossier Téléchargements.

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #14 le: janvier 28, 2013, 21:02:06 »
http://security-x.fr/up/file.php?h=R3ee5619e06096b76b4f221755f8db88f  voila le lien pour otl.txt
tiens moi au courant merci
à + ;)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #15 le: janvier 28, 2013, 22:06:40 »
Bonsoir,

Il faut être vigilant sur ce que tu valides lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec (cases pré-cochées).
Stop la pub !

Tu as été infecté par le Virus Ministère de l'Intérieur parce que des plugins/extensions à risque comme Java ne sont pas à jour.
Nous nous en occuperons par la suite.

---------------------------------------------------------------------------------------------

   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :


Babylon toolbar on IE
Complitly
DealPly
FilesFrog Update Checker
PricePeep for Internet Explorer
IB Updater Service
Outil de notification de cadeaux MSN
IncrediBar


Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

RogueKiller :

  • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Patiente le temps du Prescan, puis clique sur Scan
    Un 1er rapport s'est créé sur le Bureau

  • Clique ensuite sur Suppression, un 2ème rapport est créé sur le Bureau
  •   Poste le contenu de ces 2 rapports par copier/coller dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • RogueKiller
  • AdwCleaner(S).txt
@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #16 le: janvier 29, 2013, 21:58:35 »
C est encore moi, je suis desolé maid je crois qu'on va devout recommencer du debut, l'autre jour ca fonctionnait mais le sour j au eteind mon ordi et quant je l ai rallumé le virus etait tjrs là grrrrrr!!! Par contre maintenant j arrive à allumer l ordinateur avec reatogo. Je te donne le lien du rapport ci- dessous. Peux tu m aider à me débarrasser de ce satané virus? Merci par avance pour ton aide et pour toute les réponses que tu m'as déjà apporté.

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #17 le: janvier 29, 2013, 22:21:57 »
Bonsoir,

Oui, pas de souci, mais indique le lien parce que tu ne l'as pas mis  ;)
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #18 le: janvier 29, 2013, 22:24:26 »
Je vais le mettre mais le scan est toujours en cours, ça ne va plus tarder je pense :-)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #19 le: janvier 29, 2013, 22:26:48 »
OK, en attente du lien alors  :D
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #20 le: janvier 29, 2013, 22:32:11 »
En fait je l ai fait une première fois tout à l heure et ensuite au lieu de copier le rapport j ai voulu télécharger roguekiller et adwcleaner. J ai suivi la procédure pour roguekiller, ça à fonctionné en partie mis à part que je ne pouvais pas supprimer l intégralité des fichiers trouves. Et pour adwcleaner, j ai réussi à le télécharger mais pas a l ouvrir. Après environ 1h de manip, j ai redémarré le Pc pour voir si tout fonctionnait et manque de pot g eu de nouveau le virus à  l écran !!! Grrrr donc maintenant je viens de tout recommencer et cette fois ci je ne fais plus rien sans tes précieux conseils!!!

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #21 le: janvier 29, 2013, 22:36:41 »
Re,

Oui, mais il ne faut pas tout mélanger.

L'indication pour RogueKiller et AdwCleaner était pour un système qui démarrait correctement.
Si tu es de nouveau bloqué, tu fais uniquement l'analyse OTLPE sous Reatogo.

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #22 le: janvier 29, 2013, 22:47:44 »
ok bien recu voici le lien j attend tes instructions merci encore
http://security-x.fr/up/file.php?h=R363ddb123a35cb1438f0de76aebeaf8c

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #23 le: janvier 29, 2013, 23:19:10 »
Re,

Démarre sur le CD Reatogo et relance OTLPE comme indiqué précédemment.

  • sous Custom Scans/Fixes (Personnalisation), copie-colle le contenu du script ci-dessous (Sélectionner -> Clic-droit -> Copier)
:OTL
SRV - [2012/12/18 10:18:24 | 000,188,760 | ---- | M] () [Auto] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV - [2012/11/14 05:56:18 | 001,049,456 | ---- | M] () [Auto] -- C:\Windows\System32\dmwu.exe -- (IBUpdaterService)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll ()
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.8.7.1\bh\incredibar.dll (Montera Technologeis LTD)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (DataMngr) - {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} - C:\Program Files\Search Results Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media Inc)
O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Marina\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} -  File not found
O2 - BHO: (PricePeep) - {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} - C:\Program Files\PricePeep\pricepeep.dll (PricePeep)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} -  File not found
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.8.7.1\incredibarTlbr.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {8E5025C2-8EA3-430D-80B8-A14151068A6D} - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - Startup: C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk =  File not found
O4 - Startup: C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~2\Wincert\WIN32C~1.DLL) - C:\ProgramData\Wincert\win32cert.dll ()
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Search Results Toolbar\Datamngr\datamngr.dll (Bandoo Media Inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Search Results Toolbar\Datamngr\IEBHO.dll (Bandoo Media Inc)
NetSvcs: winmgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
SafeBootMin: WinMgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
SafeBootNet: WinMgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
[2013/01/29 21:37:09 | 000,000,000 | ---D | C] -- C:\Program Files\PriceGong
[2013/01/28 14:54:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Wincert
[2013/01/28 14:54:01 | 000,000,000 | ---D | C] -- C:\Program Files\Search Results Toolbar
[2013/01/28 14:53:47 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Local\iLivid
[2013/01/28 09:49:01 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
[2013/01/28 09:49:00 | 000,000,000 | ---D | C] -- C:\Program Files\FilesFrog Update Checker
[2013/01/28 09:48:49 | 000,000,000 | ---D | C] -- C:\Program Files\PricePeep
[2013/01/28 09:48:41 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\IncrediBar
[2013/01/28 09:48:33 | 000,000,000 | ---D | C] -- C:\Program Files\Incredibar.com
[2013/01/28 09:48:32 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\Incredibar.com
[2013/01/28 09:48:21 | 000,000,000 | ---D | C] -- C:\Windows\System32\WNLT
[2013/01/28 09:48:21 | 000,000,000 | ---D | C] -- C:\Windows\System32\ARFC
[2013/01/28 09:48:18 | 000,000,000 | ---D | C] -- C:\Program Files\IB Updater
[2013/01/29 15:51:14 | 095,023,320 | ---- | M] () -- C:\ProgramData\j2ta0iw.pad
[2013/01/29 15:49:55 | 000,003,229 | ---- | M] () -- C:\ProgramData\j2ta0iw.js
[2013/01/29 15:49:55 | 000,000,919 | ---- | M] () -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/28 14:55:13 | 000,000,841 | ---- | M] () -- C:\Users\Marina\Desktop\iLivid.lnk
[2013/01/28 14:55:13 | 000,000,849 | ---- | C] () -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk
[2013/01/28 09:48:21 | 001,049,456 | ---- | C] () -- C:\Windows\System32\dmwu.exe
[2013/01/28 09:48:21 | 000,028,160 | ---- | C] () -- C:\Windows\System32\ImHttpComm.dll
[2012/02/18 17:23:18 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\Babylon
[2012/02/18 17:23:48 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\Complitly
[2012/10/15 06:12:03 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\OpenCandy
[2012/01/19 14:24:32 | 000,000,000 | ---D | M] -- C:\ProgramData\Ask
[2012/02/18 17:23:18 | 000,000,000 | ---D | M] -- C:\ProgramData\Babylon
[2013/01/28 14:54:04 | 000,000,000 | ---D | M] -- C:\ProgramData\boost_interprocess
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:88050731

:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
  • Clique ensuite sur le bouton Run Fix (Correction) et patiente le temps de la correction
  • Le rapport C:\_OTL\MovedFiles\********_******.log s'affiche. Il est sauvegardé sous My Computer -> C:\_OTL\MovedFiles\********_******.log
  • Poste le rapport dans ta prochaine réponse
Redémarre ensuite ton PC en mode normal Windows.

Est-ce que tu as accès à ta session ?

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #24 le: janvier 30, 2013, 19:53:46 »
voici le rqpport
http://security-x.fr/up/file.php?h=R6b2a3d7d5644c59b588a959455da8ae4 je vais essayer de redemarrer maintenant

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #25 le: janvier 30, 2013, 20:07:35 »
Bonsoir,

Confirme que le système redémarre normalement, et nous pourrons continuer la procédure.

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #26 le: janvier 30, 2013, 20:24:50 »
Chantal, je viens de redémarrer l ordi ça marche g un rapport ouvert sur le bureau otl c est normal?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #27 le: janvier 30, 2013, 20:38:51 »
Re,

C'est quoi comme rapport OTL ?
Tu peux le poster s'il te plaît.

Donc, c'est parfait si le système fonctionne maintenant en mode normal.

Donc on continue.

---------------------------------------------------------------------------------------------

  Malwarebyte's Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • mbam-log[date-heure].txt
  • AdwCleaner(S).txt
@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #28 le: janvier 30, 2013, 21:21:48 »
http://security-x.fr/up/file.php?h=Rdf5073f83ee027a1956426fbb05ff60b  c'est le lien que j'avais sur le bureau
maintenant je vais faire ce que tu m'a indiqué

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #29 le: janvier 30, 2013, 21:26:03 »
Re,

OK ... en attente des rapports mbam-log[date-heure].txt et AdwCleaner(S).txt

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #31 le: janvier 30, 2013, 23:17:40 »

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #32 le: janvier 30, 2013, 23:26:57 »
http://security-x.fr/up/file.php?h=R2c34c076b8ec42f3c443297d37c17d6a  voici le rapport adw cleaner
encore merci pour ton aide precieuse
dois-je faire autre chose?
@+

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #33 le: janvier 30, 2013, 23:36:14 »
Re,

Merci pour les rapports.

On continue, un rootkit, plus coriace, s'est aussi invité sur ton système.

---------------------------------------------------------------------------------------------

  TDSSKiller :

  • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
  • Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
    Il faut le valider en cliquant sur Reboot now.
  • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.
  • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
  • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
  • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :

- Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
- Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
- Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
- Si Suspicious object est indiqué, l'option Skip soit cochée
  • Clique ensuite sur Continue, puis clique sur Reboot computer
  • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
Tutoriel d'utilisation TDSSKiller en images

---------------------------------------------------------------------------------------------

RogueKiller :

  • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Patiente le temps du Prescan, puis clique sur Scan

  • Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • TDSSKiller.Version_Date_Heure_log.txt
  • Roguekiller
@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #34 le: janvier 31, 2013, 19:21:16 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #35 le: janvier 31, 2013, 19:25:00 »
Bonsoir,

Regarde sous C:
Tu devrais trouver un rapport TDSSKiller plus long que celui que tu m'as posté.
Tu peux le poster, s'il te plaît ?

En attente aussi du rapport RogueKiller.

@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #36 le: janvier 31, 2013, 20:36:57 »

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24
Re : Virus ministère de l intérieur
« Réponse #37 le: janvier 31, 2013, 20:42:29 »
http://security-x.fr/up/file.php?h=R06e526fe2cee20ab84d7aece7c15d8c9

voili voilou dis moi cque t'en pense merci
@+

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #38 le: janvier 31, 2013, 20:48:59 »
Re,

OK, tu vas devoir relancer les 2 outils.
Suis bien les instructions indiquées.

---------------------------------------------------------------------------------------------

  TDSSKiller :

  • Relance TDSSKiller comme indiqué précédemment avec les paramètres indiqués
  • En cours d'analyse, pour cette détection TDSS File System, sélectionne l'option Delete

  • Si TDSS.tdl4 (mbr) est détecté, vérifie que l'option Cure soit sélectionnée
  • Clique ensuite sur Continue, puis clique sur Reboot computer
  • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
---------------------------------------------------------------------------------------------

RogueKiller :

  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Patiente le temps du Prescan, puis clique sur Scan
    Un 1er rapport s'est créé sur le Bureau

  • Clique ensuite sur Suppression, un 2ème rapport est créé sur le Bureau
  •   Poste le contenu de ces 2 rapports par copier/coller dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les nouveaux rapports :
  • TDSSKiller
  • RogueKiller en mode suppression
@+
 

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24

Hors ligne Antoine12

  • Membres
  • Members
  • Messages: 24

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #41 le: février 01, 2013, 21:46:40 »
Bonsoir,

C'est OK pour les rapports.

Comment se comporte le système maintenant ?

Tu sais que tu as très peu d'espace disponible sur te partition C ?
10% de libre, ton Vista est en train d'étouffer.
Je t'invite à faire de la place en désinstallant les applications que tu n'utilises plus et en transférant des données personnelles sur un autre support.

Nous allons faire un contrôle avec OTL :

   OTL :

/!\ Important -> Pour les utilisateurs d'Avast, OTL ne doit pas être lancé en mode Sandbox /!\

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Coche la case Tous les utilisateurs
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
safebootminimal
safebootnetwork
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan



  • A la fin de l'analyse, le rapport OTL.txt s'affiche.
  • Héberge-le sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapport est sauvegardé sur le Bureau.
@+

 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23665
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus ministère de l intérieur
« Réponse #42 le: février 08, 2013, 08:30:10 »
Bonjour,

Des soucis pour continuer la désinfection ?

@+
 

Hors ligne paco02

  • Membres
  • Members
  • Messages: 5
Re : Virus ministère de l intérieur
« Réponse #43 le: avril 28, 2013, 11:05:46 »
bonjour, je viens d'effectuer toute la procédure pour réparer mon pc portable, mais le hic maintenant est qu'apres démarrage j'obtiens un écran noir total!!!!
Merci pour votre aide

ps: pc portable HP avec windows Vista pro

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus ministère de l intérieur
« Réponse #44 le: avril 28, 2013, 11:20:10 »
Bonjour paco02,

Merci d'ouvrir votre propre sujet en y expliquant les étapes déjà réalisées et les problèmes rencontré.

 :AAN

Tags: