× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Virus Police Judiciare UKASH écran blancSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
totoch68
  Posté le 13/02/2013 @ 12:15 
Aller en bas de la page 
Nouvel astucien

Bonjour à toutes et tous

Hier soir un ami a vu son bureau remplacé par une page "POLICE JUDICIAIRE ...." avec demande de paiement par ukash. Il n'a rien fait et tout coupé.

son ordi est sous WIDOWS 7 avec Avira (je ne sais pas plus, je ne connais pas l'ordi en question et je n'ai pas voulu trop fouiller dedans pour le moment !)

Ce matin en regardant le pc, je n'ai pas vu cette page, je n'ai eu le droit qu'à un écran blanc. Impossible de démarrer en mode sans echec, j'ai du faire une restauration système en date de ce matin...

Pas de page "Police Judiciaire" mais un message d'avira "L'exception unknow software exception (0xc0000417) s'est produite dans l'application à l'emplacement 0x73be7256, cliquez ok pour terminer le programme", j'ai l'impression que l'anti virus a pris un coup !!

J'ai suivi la procédure indiqué sur le forum et je poste les rapports dans les messages suivants ! Concernant adwcleaner j'ai cliqué par erreur sur suppression avant recherche, j'ai donc fait la manoeuvre à l'envers, mais je mets quand même les rapports !

Pour le ZHP DIAG il était tellement lourd que j'ai du le couper en morceaux, je les postes dans l'ordre !

Merci d'avance pour l'aide que quelqu'un pourra m'apporter !!!



Modifié par totoch68 le 13/02/2013 12:21
Publicité
totoch68
 Posté le 13/02/2013 à 12:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag.txt

totoch68
 Posté le 13/02/2013 à 12:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : zhp diag suite.txt

totoch68
 Posté le 13/02/2013 à 12:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHP fin.txt

totoch68
 Posté le 13/02/2013 à 12:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Les autres rapports :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.13.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
CHRISTIAN
CHRISTIAN-PC [administrateur]

Protection: Activé

13/02/2013 11:02:17
mbam-log-2013-02-13 (11-02-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 288195
Temps écoulé: 21 minute(s), 52 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\CHRISTIAN\AppData\Roaming\skype.dat (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.

(fin)

# AdwCleaner v2.112 - Rapport créé le 13/02/2013 à 11:33:53
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : CHRISTIAN - CHRISTIAN-PC
# Mode de démarrage : Normal
# Exécuté depuis : E:\PC CHRISTIAN\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Partner

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\CHRISTIAN\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1040 octets] - [13/02/2013 11:33:53]

########## EOF - C:\AdwCleaner[S1].txt - [1100 octets] ##########

# AdwCleaner v2.112 - Rapport créé le 13/02/2013 à 11:39:38
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : CHRISTIAN - CHRISTIAN-PC
# Mode de démarrage : Normal
# Exécuté depuis : E:\PC CHRISTIAN\adwcleaner0.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\CHRISTIAN\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [953 octets] - [13/02/2013 11:37:34]
AdwCleaner[R2].txt - [1012 octets] - [13/02/2013 11:39:06]
AdwCleaner[R3].txt - [885 octets] - [13/02/2013 11:39:38]
AdwCleaner[S1].txt - [1169 octets] - [13/02/2013 11:33:53]

########## EOF - C:\AdwCleaner[R3].txt - [1004 octets] ##########





Evasion60
 Posté le 13/02/2013 à 13:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

En plus il me faudrait =>

* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

* Attendre la fin du Prescan ...
* Cliquer sur Scan

* Dans l'onglet Registre, décocher les éventuels faux positifs.
* Cliquer sur le bouton Suppression.
A l'inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.



* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.

Quand j'ai ce rapport, je regarde l'ensemble des autres

totoch68
 Posté le 13/02/2013 à 14:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut EVASION60 et surtout merci de ton aide !!

J'ai eu deux rapports, donc les voilà :

RogueKiller V8.5.1 _x64_ [Feb 12 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : CHRISTIAN [Droits d'admin]
Mode : Recherche -- Date : 13/02/2013 14:15:15
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD64 00AAKS-22A7B SCSI Disk Device +++++
--- User ---
[MBR] 2531796477b4c02034ab7cf3ee2aae3f
[BSP] 2fed521f4c2b229c78ab14a802382535 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 593994 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive3: SanDisk Cruzer Blade USB Device +++++
--- User ---
[MBR] ef4a0f76771f5368879efaa93bdab2ae
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 16065 | Size: 7624 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_13022013_141515.txt >>
RKreport[1]_S_13022013_141515.txt

RogueKiller V8.5.1 _x64_ [Feb 12 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : CHRISTIAN [Droits d'admin]
Mode : Suppression -- Date : 13/02/2013 14:17:17
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD64 00AAKS-22A7B SCSI Disk Device +++++
--- User ---
[MBR] 2531796477b4c02034ab7cf3ee2aae3f
[BSP] 2fed521f4c2b229c78ab14a802382535 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16384 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 33556480 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 33761280 | Size: 593994 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive3: SanDisk Cruzer Blade USB Device +++++
--- User ---
[MBR] ef4a0f76771f5368879efaa93bdab2ae
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 16065 | Size: 7624 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_13022013_141717.txt >>
RKreport[1]_S_13022013_141515.txt ; RKreport[2]_D_13022013_141717.txt







Evasion60
 Posté le 13/02/2013 à 17:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Relance ZHPDiag, et héberge l'intégralité de son rapport sur www.Cjoint.com
Je ne peux analyser un rapport découpé !

Sinon, pour le moment => Ok avec MBAM et AdwCleaner et RogueKiller



Modifié par Evasion60 le 13/02/2013 17:59
totoch68
 Posté le 13/02/2013 à 17:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Publicité
Evasion60
 Posté le 13/02/2013 à 18:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Nickel, plus d'infection

A faire dans cet ordre

1/
Télécharge
http://www.piriform.com/ccleaner/builds
Laisse le dans sa configuration dorigine
Lance le "Nettoyage"

2/
Suppression des outils utilisés

image DelFix (d'Xplode)

Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.



  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"


    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

    Le rapport ressemblera à ceci....

    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########

Vous pouvez maintenant l'enregistrer et poster son contenu.

3/

Tu peux mettre son sujet en "Résolu"
Bonne continuation

totoch68
 Posté le 14/02/2013 à 14:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut et merci 1000 x pour ton aide !

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
99,99 €SSD Interne M.2 NVMe Silicon Power 1 To à 99,99 €
Valable jusqu'au 22 Septembre

Amazon fait une promotion sur le SSD Interne M.2 NVMe Silicon Power 1 To qui passe à 99,99 € livré gratuitement. Ce SSD offre des taux de transfert de 2200 Mo /s en lecture et 1600 Mo/s en écriture. Une excellente affaire pour ce SSD 3D Nand garanti 5 ans.


> Voir l'offre
489,99 €Disque dur externe Western Digital My Book Duo 24 To USB 3.1 à 489,99 €
Valable jusqu'au 28 Septembre

Amazon propose actuellement le disque dur externe Western Digital My Book 24 To USB 3.1 à 489,99 € livré gratuitement. On le trouve ailleurs à partir de 700 €. Le My Book Duo est une solution de stockage RAID de bureau d’une très grande capacité, idéale pour stocker des photos, des vidéos, des documents et de la musique. Vous pourrez l'utiliser en mode RAID 0 pour des perfomances ultrarapides (vitesse de lecture séquentielle pouvant atteindre 360 Mo/s) ou bien en mode RAID 1 pour bénéficier d’une redondance et mettre vos données en miroir sur les disques durs installés dans le boîtier. Ce dernier comporte en effet 2 disques durs Western Digital RED de 12 To adaptés aux NAS et qui peuvent être récupérés pour être utilisés ailleurs. Sachant qu'un disque dur RED 12 To coûte au moins 400 €, l'achat du Western Digital My Book Duo 24 To peut aussi être une solution économique si vous avez besoin de 2 disques durs 12 To pour votre NAS.


> Voir l'offre
199,99 €Disque dur Seagate NAS IronWolf 8 To à 199,99 €
Valable jusqu'au 22 Septembre

Cdiscount propose actuellement le disque dur Seagate Iron Wolf 8 To à 199,99 € livré gratuitement. Ce disque dur 3.5 pouces SATA III est adapté aux NAS et ordinateurs qui fonctionnent 24h/24. On le trouve ailleurs à partir de 260 €.


> Voir l'offre

Sujets relatifs
Ecran blanc bande noire resolution ecran modifiee VIRUS
Infection virus ukash police nationale
virus police nationale
virus "félicitations... + écran vidéo en bas à droite" ?
Ecran bleu sous XP + virus?
virus de la police
Virus : Pub + Fonds d'écran noir
Ami infecté par virus police....
virus police nationale
Ecran bleu toutes les 30 min apres virus
Plus de sujets relatifs à Virus Police Judiciare UKASH écran blanc
 > Tous les forums > Forum Sécurité