> Tous les forums > Forum Sécurité
 virus qui bloque dès démarrage
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
metalnoir
  Posté le 20/01/2012 @ 08:42 
Aller en bas de la page 
Petit astucien

bonjour

quelqu'un m'a demandé de l'aide car son pc est complètement bloqué par un virus (et on lui demande de payer pour débloquer car il aurait commis une infraction, la blague...). A la place du bureau il a une page qui s'affiche lui demandant de payer blabla, on ne peut même pas faire ctrl alt suppr. il a essayé avec le mode démarrage sans echec (avec prise en charge réseau et sans ) et ça ne marche pas non plus. que faire ? merci de votre aide

Publicité
metalnoir
 Posté le 20/01/2012 à 08:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

apparement j'ai trouvé des sujet la dessus, j'aurais du chercher avant, désolé

metalnoir
 Posté le 20/01/2012 à 15:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport de OTLPE, j'espère qu'il ne sera pas tout en vrac

-supprimé-



Modifié par metalnoir le 27/01/2012 22:11
metalnoir
 Posté le 20/01/2012 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

-supprimé-



Modifié par metalnoir le 27/01/2012 22:12
metalnoir
 Posté le 20/01/2012 à 15:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le pc infecté n'a pas internet même en démarrant avec el cd de reatogo, comment faire ??

metalnoir
 Posté le 27/01/2012 à 20:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir

du nouveau, ce n'est pas mon pc alors je n'ai pas eu à m'en occuper vraiment et c'est pour ça que j'ai laissé tomber...mais finalement c'est moi qui m'y (re)colle

j'ai besoin de conseils car j'ai fait une petite "hybridation" c'est la version la plus ennuyeuse du virus gendarmerie donc pas de demarrage sans echec et pas de d'accès au net. j'ai essayé comme indiqué avec OTLPE mais les logiciels de désinfection n'ont pas marché par la suite ou alors je m'y suis mal pris. finalement j'ai rejoint une autre méthode par le biais de otlpe (otple me donne donc accès au fichier WINDOWS) ici :

http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

  • Aller renommer explorer.exe en ce que vous voulez.
  • Chercher le fichier twexx32.dll, le renommer en explorer.exe
  • Redémarre l’ordinateur

je ne sais pas si faire cette procédure depuis otple est acceptable (sans doute que oui)

après redémarrage il a retrouvé son bureau comme si rien n'était arrivé ( je lui ai dis de ne rien toucher). que faut il faire maintenant ? passer un coup de malware bytes, mettre à jour diverses choses( windows xp, flashplayer...), passer l'anti virus j'imagine ? il faut télécharger un nouveau explorer.exe, je l'ai pris sur mon pc et mis sur clé usb. je dois le mettre dans "windows" sur le pc à problèmes après avoir supprimé l'ancien explorer.exe(renommé en ce qu'on veut) et supprimé aussi ce twexx32.dll renommé en explorer.exe ??

merci.



Modifié par metalnoir le 27/01/2012 22:09
metalnoir
 Posté le 27/01/2012 à 20:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

edit



Modifié par metalnoir le 27/01/2012 22:08
Anonyme
 Posté le 28/01/2012 à 10:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

*Télécharge RSIT (merci random/random) sur le Bureau : 32 bits ou 64 bits
Double-clique sur RSIT.exe, il ne nécessite pas d' installation.
Clique Continue à l' écran Disclaimer.
-Si HijackThis est non détecté sur ton Pc, il le téléchargera (autorise son accès et accepte sa licence).
Lorsque l' analyse sera terminée, deux fichiers texte s' ouvriront.
Poste log.txt (celui qui s' ouvre) ainsi qu' info.txt qui est dans la Barre des Tâches > Insérer un rapport, en bas de la page

Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

NB : Ces rapports sont enregistrés dans le dossier C:\rsit

A+

metalnoir
 Posté le 29/01/2012 à 09:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

merci je vais (suggérer de) le faire aujourd'hui . mais j'ai l'impression que la personne que j'aide a déjà recommencé à utiliser son pc sans avoir fini le nettoyage



Modifié par metalnoir le 29/01/2012 13:15
metalnoir
 Posté le 29/01/2012 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RSIT logtext infotext.txt

voilà les deux fichiers demandés. quand j'ai lancé l'analyse sur sa machine on m'a dit que l'accès n'était pas total et q'il pouvait y avoir des manques je crois. je me rappelle plus des termes de l'avertissement

en attendant j'ai mis à jour malwarebytes et j'ai lancé une analyse complète. j'ai aussi essayé de mettre à jour flash player (puisque ce truc s'attrape sur les sites de streaming) mais apparement ça ne s'est pas très bien passé. son windows xp sp3 est à jour, son antivirus l'est aussi.



Modifié par metalnoir le 29/01/2012 13:54
metalnoir
 Posté le 29/01/2012 à 14:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : malwarebytes rapport.txt

le truc qui s'appelle "malware.exe" -> c:\windows\malware.exe (Trojan.VUPX.ON) <- est l'ancien explorer.exe qu'on doit renommer en ce qu'on veut, j'ai mis malware.exe comme dans la vidéo du tutoriel tout bêtement. j'ai pas cliqué sur nettoyer encore



Modifié par metalnoir le 29/01/2012 14:48
Anonyme
 Posté le 29/01/2012 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

télécharge Rkill (merci Grinler) sur ton Bureau : Ici
/!\ Désactive tes protections résidentes : https://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
* Double-clique sur le fichier rkill afin de le lancer (pour les utilisateurs de Vista/7, faire un clic-droit dessus puis choisir Exécuter en tant qu' Administrateur)
* Une fenêtre à fond noir va apparaître brièvement, puis disparaître
* Si rien ne se passe ou si l' outil ne se lance pas, télécharge-le depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative

Lien 1
Lien 2
Lien 3

NB : Si aucun des quatre ne semble fonctionner, ne continue pas et préviens-moi dans ton prochain message.

Le rapport de MBAM indique Aucune action effectuée
Refais la manip', supprime tout ce qu' il trouve et poste le rapport.

A+

metalnoir
 Posté le 29/01/2012 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

oui je n'ai pas demandé à malwarebytes de supprimer en fait, je vais le faire

metalnoir
 Posté le 29/01/2012 à 15:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 29/01/2012 at 15:26:51.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:

Rkill completed on 29/01/2012 at 15:26:54.

voilou

Anonyme
 Posté le 29/01/2012 à 15:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
metalnoir a écrit :

> je vais le faire

Re,

> Alors poste le rapport...

metalnoir
 Posté le 29/01/2012 à 16:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.29.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Propriétaire
ADMIN-52BC2F539 [administrateur]

29/01/2012 13:42:08
mbam-log-2012-01-29 (13-42-08).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 287348
Temps écoulé: 54 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
c:\documents and settings\propriétaire\application data\sun\java\deployment\cache\6.0\37\752a3125-177cc734 (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.
c:\documents and settings\propriétaire\local settings\temp\0.11573766119953399.exe (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.
c:\windows\malware.exe (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.

(fin)

fait

merci de ton aide au fait

Anonyme
 Posté le 29/01/2012 à 16:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

+Télécharge RogueKiller (merci Tigzy) sur ton Bureau : Ici
Ferme tous les programmes en cours et lance-le
Attends la fin du prescan puis clique sur scan
Poste le rapport







Modifié par Anonyme le 18/02/2012 10:48
metalnoir
 Posté le 29/01/2012 à 18:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Propriétaire [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 18:44:43

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost::1 localhost


¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2ef79f922ce396cd159fbac3bf6c71c2
[BSP] a97cdb5f43fffe8c5e73f0c58a9b9f31 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 83889 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 163846935 | Size: 416207 Mo

User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Anonyme
 Posté le 29/01/2012 à 19:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
metalnoir
 Posté le 29/01/2012 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok je vais sur le pc du mossieur (mossieur dîne...). si j'ai mis du temps entre les posts c'est surtout parce que je n'ai pas forcément accès au pc (ou à l'endroit où est le pc) vu qu ce n'est pas ma machine

metalnoir
 Posté le 29/01/2012 à 21:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

SETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a2db70b6d1b9444aac9c3ea13f049992
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-29 07:59:13
# local_time=2012-01-29 08:59:13 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 28123 28123 0 0
# compatibility_mode=5121 16777189 100 75 2703906 28355642 0 0
# compatibility_mode=8192 67108863 100 0 3712 3712 0 0
# scanned=113707
# found=1
# cleaned=0
# scan_time=2974
C:\Documents and Settings\Propriétaire\Application Data\Sun\Java\Deployment\cache\6.0\40\2eaee028-4bac2a69 Java/Exploit.CVE-2011-3544.AB cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I

Anonyme
 Posté le 30/01/2012 à 09:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

il faut mettre à jour Java (faille de sécurité) : http://www.java.com/fr/download/manual.jsp
Clique sur Windows Hors ligne
Décoche Installer la barre d' outils
Adobe : http://www.adobe.com/fr/products/acrobat/readstep2.html
Adobe Reader
Décoche (facultatif)

A+

metalnoir
 Posté le 30/01/2012 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour

mis à jour !

Anonyme
 Posté le 30/01/2012 à 15:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

1) Télécharge :
CCleaner : Ici
Lance-le puis clique sur Options>Avancé et décoche Effacer uniquement les fichiers Temp de Windows datant de plus de 24 heures. Ferme le programme.

2) Lance CCleaner :
Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler) puis sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois.

metalnoir
 Posté le 30/01/2012 à 16:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je viens de le faire (plusieurs fois)

Anonyme
 Posté le 30/01/2012 à 17:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Comment va le Pc?

Poste un dernier rapport RSIT.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
59,99 €Ecouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 3 à 59,99 €
Valable jusqu'au 29 Mai

Boulanger fait une belle promotion sur les écouteurs intra-auriculaires sans fil Bluetooth Jabra Elite 3 qui passent à 59,99 €. On les trouve ailleurs à partir de 79,99 €.

Profitez d'une expérience d'écoute unique grâce aux Jabra Elite 3. Des écouteurs intra-auriculaires True Wireless qui ont été conçus tout spécialement pour donner un nouveau souffle à votre musique. Ils sont aussi capables de vous offrir une qualité d’appel et un son exceptionnel, quel que soit l’endroit où vous allez.


> Voir l'offre
Roland-Garros : profitez du tournoi avec l'essai gratuit Amazon Prime Video
Valable jusqu'au 29 Mai

Grâce à l'essai gratuit d'Amazon Prime, retrouvez l'intégralité des matchs des 10 nouvelles sessions de soirée de Roland Garros, ainsi que tous les matchs du court Simonne-Mathieu qui sont visibles en exclusivité sur Amazon Prime Video. Vous pouvez essayer le service Amazon Prime gratuitement et sans engagement pendant 30 jours. Vous pourrez alors regarder Prime Video et Roland Garros depuis un navigateur Web, ou votre TV connectée.


> Voir l'offre
94,99 €Disque dur Seagate NAS Iron Wolf 4 To à 94,99 €
Valable jusqu'au 29 Mai

Cdiscount propose le disque dur Seagate IronWolf 4 To à 94,99 €. Ce disque dur 3.5 pouces SATA III est adapté aux NAS et ordinateurs qui fonctionnent 24h/24. On le trouve ailleurs à partir de 105 €. Disque CMR.


> Voir l'offre

Sujets relatifs
pc bloque au démarrage windows 7 (virus?)
programme bloqué au démarrage (Vista)
ecran noir, démarrage bloqué sur uefi
Pc bloque complètement au démarrage
virus qui a bloqué internet exp, rapport Adwcleaner
anti virus Ce programme est bloqué par une stratégie de groupe pour plus d’
virus et problème au démarrage
PC qui bloque au démarrage
Pc bloque au démarrage
Démarrage bloqué sur l'écran Windows
Plus de sujets relatifs à virus qui bloque dès démarrage
 > Tous les forums > Forum Sécurité