bonjour

quelqu'un m'a demandé de l'aide car son pc est complètement bloqué par un virus (et on lui demande de payer pour débloquer car il aurait commis une infraction, la blague...). A la place du bureau il a une page qui s'affiche lui demandant de payer blabla, on ne peut même pas faire ctrl alt suppr. il a essayé avec le mode démarrage sans echec (avec prise en charge réseau et sans ) et ça ne marche pas non plus. que faire ? merci de votre aide

apparement j'ai trouvé des sujet la dessus, j'aurais du chercher avant, désolé

voici le rapport de OTLPE, j'espère qu'il ne sera pas tout en vrac

-supprimé-

-supprimé-

le pc infecté n'a pas internet même en démarrant avec el cd de reatogo, comment faire ??

Bonsoir

du nouveau, ce n'est pas mon pc alors je n'ai pas eu à m'en occuper vraiment et c'est pour ça que j'ai laissé tomber...mais finalement c'est moi qui m'y (re)colle

j'ai besoin de conseils car j'ai fait une petite "hybridation" c'est la version la plus ennuyeuse du virus gendarmerie donc pas de demarrage sans echec et pas de d'accès au net. j'ai essayé comme indiqué avec OTLPE mais les logiciels de désinfection n'ont pas marché par la suite ou alors je m'y suis mal pris. finalement j'ai rejoint une autre méthode par le biais de otlpe (otple me donne donc accès au fichier WINDOWS) ici :

http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

• Aller renommer explorer.exe en ce que vous voulez.
• Chercher le fichier twexx32.dll, le renommer en explorer.exe
• Redémarre l’ordinateur

je ne sais pas si faire cette procédure depuis otple est acceptable (sans doute que oui)

après redémarrage il a retrouvé son bureau comme si rien n'était arrivé ( je lui ai dis de ne rien toucher). que faut il faire maintenant ? passer un coup de malware bytes, mettre à jour diverses choses( windows xp, flashplayer...), passer l'anti virus j'imagine ? il faut télécharger un nouveau explorer.exe, je l'ai pris sur mon pc et mis sur clé usb. je dois le mettre dans "windows" sur le pc à problèmes après avoir supprimé l'ancien explorer.exe(renommé en ce qu'on veut) et supprimé aussi ce twexx32.dll renommé en explorer.exe ??

merci.

edit

Bonjour,

*Télécharge RSIT (merci random/random) sur le Bureau : 32 bits ou 64 bits
Double-clique sur RSIT.exe, il ne nécessite pas d' installation.
Clique Continue à l' écran Disclaimer.
-Si HijackThis est non détecté sur ton Pc, il le téléchargera (autorise son accès et accepte sa licence).
Lorsque l' analyse sera terminée, deux fichiers texte s' ouvriront.
Poste log.txt (celui qui s' ouvre) ainsi qu' info.txt qui est dans la Barre des Tâches > Insérer un rapport, en bas de la page

Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

NB : Ces rapports sont enregistrés dans le dossier C:\rsit

A+

merci je vais (suggérer de) le faire aujourd'hui . mais j'ai l'impression que la personne que j'aide a déjà recommencé à utiliser son pc sans avoir fini le nettoyage

Fichier joint : RSIT logtext infotext.txt

voilà les deux fichiers demandés. quand j'ai lancé l'analyse sur sa machine on m'a dit que l'accès n'était pas total et q'il pouvait y avoir des manques je crois. je me rappelle plus des termes de l'avertissement

en attendant j'ai mis à jour malwarebytes et j'ai lancé une analyse complète. j'ai aussi essayé de mettre à jour flash player (puisque ce truc s'attrape sur les sites de streaming) mais apparement ça ne s'est pas très bien passé. son windows xp sp3 est à jour, son antivirus l'est aussi.

Fichier joint : malwarebytes rapport.txt

le truc qui s'appelle "malware.exe" -> c:\windows\malware.exe (Trojan.VUPX.ON) <- est l'ancien explorer.exe qu'on doit renommer en ce qu'on veut, j'ai mis malware.exe comme dans la vidéo du tutoriel tout bêtement. j'ai pas cliqué sur nettoyer encore

Bonjour,

télécharge Rkill (merci Grinler) sur ton Bureau : Ici
/!\ Désactive tes protections résidentes : https://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
* Double-clique sur le fichier rkill afin de le lancer (pour les utilisateurs de Vista/7, faire un clic-droit dessus puis choisir Exécuter en tant qu' Administrateur)
* Une fenêtre à fond noir va apparaître brièvement, puis disparaître
* Si rien ne se passe ou si l' outil ne se lance pas, télécharge-le depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative

Lien 1
Lien 2
Lien 3

NB : Si aucun des quatre ne semble fonctionner, ne continue pas et préviens-moi dans ton prochain message.

Le rapport de MBAM indique Aucune action effectuée
Refais la manip', supprime tout ce qu' il trouve et poste le rapport.

A+

oui je n'ai pas demandé à malwarebytes de supprimer en fait, je vais le faire

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 29/01/2012 at 15:26:51.
Operating System: Microsoft Windows XP

Processes terminated by Rkill or while it was running:

Rkill completed on 29/01/2012 at 15:26:54.

voilou

metalnoir a écrit :

> je vais le faire

Re,

> Alors poste le rapport...

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.29.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Propriétaire
ADMIN-52BC2F539 [administrateur]

29/01/2012 13:42:08
mbam-log-2012-01-29 (13-42-08).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 287348
Temps écoulé: 54 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
c:\documents and settings\propriétaire\application data\sun\java\deployment\cache\6.0\37\752a3125-177cc734 (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.
c:\documents and settings\propriétaire\local settings\temp\0.11573766119953399.exe (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.
c:\windows\malware.exe (Trojan.VUPX.ON) -> Mis en quarantaine et supprimé avec succès.

(fin)

fait

merci de ton aide au fait

+Télécharge RogueKiller (merci Tigzy) sur ton Bureau : Ici
Ferme tous les programmes en cours et lance-le
Attends la fin du prescan puis clique sur scan
Poste le rapport

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Propriétaire [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 18:44:43

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2ef79f922ce396cd159fbac3bf6c71c2
[BSP] a97cdb5f43fffe8c5e73f0c58a9b9f31 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 83889 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 163846935 | Size: 416207 Mo

User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Fais un scan antivirus avec Eset.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport.

ok je vais sur le pc du mossieur (mossieur dîne...). si j'ai mis du temps entre les posts c'est surtout parce que je n'ai pas forcément accès au pc (ou à l'endroit où est le pc) vu qu ce n'est pas ma machine

SETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a2db70b6d1b9444aac9c3ea13f049992
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-29 07:59:13
# local_time=2012-01-29 08:59:13 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 28123 28123 0 0
# compatibility_mode=5121 16777189 100 75 2703906 28355642 0 0
# compatibility_mode=8192 67108863 100 0 3712 3712 0 0
# scanned=113707
# found=1
# cleaned=0
# scan_time=2974
C:\Documents and Settings\Propriétaire\Application Data\Sun\Java\Deployment\cache\6.0\40\2eaee028-4bac2a69 Java/Exploit.CVE-2011-3544.AB cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I

Bonjour,

il faut mettre à jour Java (faille de sécurité) : http://www.java.com/fr/download/manual.jsp
Clique sur Windows Hors ligne
Décoche Installer la barre d' outils
Adobe : http://www.adobe.com/fr/products/acrobat/readstep2.html
Adobe Reader
Décoche (facultatif)

A+

bonjour

mis à jour !

Re,

1) Télécharge :
CCleaner : Ici
Lance-le puis clique sur Options>Avancé et décoche Effacer uniquement les fichiers Temp de Windows datant de plus de 24 heures. Ferme le programme.

2) Lance CCleaner :
Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler) puis sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois.

je viens de le faire (plusieurs fois)

Comment va le Pc?

Poste un dernier rapport RSIT.