FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par kitouu
#16526
bonjour à tous

le pc de mon fiston de 13 ans est infecté par un ramsonware (j'ai lu plusieurs sujets sur forum, c'est ainsi que je l'ai compris). la police nationale nous demande de régler 50 euros pour débloquer son ps. j'ai ouvert une autre cession et enregistré pré_scan comme indiqué dans un sujet que j'ai lu, j'ai enregistré le rapport sur le bureau, mais que faire maintenant?

merci par avance. et je tiens à remercier votre équipe pour le boulot que vous faites, en lisant plusieurs posts, j'ai pu constater à quel point votre site est utile.
Avatar du membre
par kitou
#16532
merci pour ta réponse rapide. je patiente bien volontier
par roro04
#16546
Hello!

On va faire un diagnostique de ton pc.
  • Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
  • Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
  • Coches la case Créer une icône sur le bureau lors de l'installation.
  • A la fin de l'installation, ZHPDiag va se lancer tout seul.
  • Cliques sur l'icône représentant une loupe.
  • En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
  • Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
Avatar du membre
par Invité
#16607
Bonjour
Pour avancer un peu roro
Ton PC est très parasité par plein d'adwares et de barres d'outils inutiles.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Bonne continuation avec roro.
par roro04
#16643
Re,

Hello Jawa, merci.
Et ben, ça grouille là-dedans. On va faire du ménage. Reste bien jusqu'à la fin de la désinfection même si les symptômes disparaissent.
  • Téléharge RansomFix (de Xplode) sur ton bureau.
  • Lance le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Rien ne va s'afficher, c'est normal.
  • Poste le rapport contenu sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport ) précédemment hébergé sur http://www.cjoint.com
Refais un diag

++
par roro04
#17139
Re,

On va supprimer quelques lignes manuellement
  • Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur le H bleu.
  • Copie/Colle le texte en gras ci-dessous.

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified = Infection BT (Hijacker.Application)
    [MD5.5689F2D4DED335C983671E98D848FB38] - (...) -- C:\Program Files (x86)\PenWes\penwes.exe [1422848] [PID.2684] = Infection PUP (PUP.PenWes)
    G1 - GCS: Preference [User Data\Default] http://search.babylon.com
    M3 - MFPP: Plugins - [theo] -- C:\Users\theo\AppData\Roaming\Mozilla\Firefox\Profiles\4f142oes.default\searchplugins\MyStart Search.xml = Infection BT (Spyware.VMNToolbar)
    R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://seeearch.com
    O2 - BHO: Interest recogniser for Freecompressor (powered by Spointer) [64Bits] - {a83c3565-302c-4bf8-b000-6b6f1811d892} . (.Freecompressor - Interest Recognizer for Freecompressor.) -- C:\Program Files (x86)\FreeCompressor\spointer\extensions\freecompre = Infection BT (Adware.SPointer)
    O20 - AppInit_DLLs: . (...) - C:\Program Files\WIA6EB~1\Datamngr\x64\datamngr.dll (.not file.) = Infection BT (Adware.Bandoo)
    [MD5.5689F2D4DED335C983671E98D848FB38] [APT] [PenWes] (...) -- C:\Program Files (x86)\PenWes\PenWes.exe = Infection PUP (PUP.PenWes)
    [MD5.00000000000000000000000000000000] [APT] [{7FB29537-D34E-438F-B089-55DCFD44EC52}] (...) -- C:\Program Files (x86)\Iminent\IMBooster\inst\Bootstrapper\Bootstrapper.exe (.not file.) = Infection PUP (Adware.IMBooster)
    O42 - Logiciel: Bubble Dock (remove only) - (.Nosibay.) [HKCU] -- Bubble Dock = Infection PUP (Adware.SPointer)
    O42 - Logiciel: FreeCompressor - (.Secure Digital Services.) [HKLM] -- {1EF93620-4B15-4DB4-B0EA-889E2F187081} = Infection BT (Adware.SPointer)
    O42 - Logiciel: PenWes - (.Pas de propriétaire.) [HKLM] -- Penwes = Infection PUP (PUP.PenWes)
    [HKCU\Software\FreeCompressor] = Infection BT (Adware.SPointer)
    [HKCU\Software\eojet] = Infection PUP (PUP.Eorezo)
    [HKCU\Software\vmntoolbar] = Infection BT (Spyware.VMNToolbar)
    [HKLM\Software\CrazyLoader] = Infection BT (Adware.SPointer)
    [HKLM\Software\FreeCompressor] = Infection BT (Adware.SPointer)
    O43 - CFD: 10/12/2010 - 18:46:06 - [0,001] ----D- C:\Users\theo\AppData\Roaming\freeCompressor = Infection BT (Adware.SPointer)
    O43 - CFD: 16/02/2011 - 17:13:18 - [0,232] ----D- C:\Users\theo\AppData\Roaming\vmntoolbar = Infection BT (Spyware.VMNToolbar)
    O43 - CFD: 29/02/2012 - 16:58:54 - [0,439] ----D- C:\Users\theo\AppData\Local\freecompressor Air = Infection BT (Adware.SPointer)
    O43 - CFD: 11/12/2010 - 15:35:34 - [17,216] ----D- C:\Program Files (x86)\FreeCompressor = Infection BT (Adware.SPointer)
    O43 - CFD: 14/01/2012 - 23:10:22 - [1,675] ----D- C:\Program Files (x86)\PenWes = Infection PUP (PUP.PenWes)
    O43 - CFD: 25/04/2011 - 01:56:46 - [0,069] ----D- C:\Program Files (x86)\vmntoolbar = Infection BT (Spyware.VMNToolbar)
    O43 - CFD: 10/05/2011 - 18:11:02 - [1,175] ----D- C:\Program Files (x86)\Common Files\Plasmoo = Infection BT (Hijacker.Plasmoo)
    O87 - FAEL: "TCP Query User{91D764E8-B67D-47BE-93EA-0F3AE3B42A61}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.) = Infection BT (Adware.IMBooster)
    O87 - FAEL: "UDP Query User{D6F60FED-A7F5-4601-80EF-F4DBA84E7848}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.) = Infection BT (Adware.IMBooster)
    O87 - FAEL: "{737DB451-E5EE-43DA-8970-78E5688251B3}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) = Infection BT (Adware.SPointer)
    O87 - FAEL: "{0069DF8D-5F0B-445C-8032-C86991F75178}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) = Infection BT (Adware.SPointer)
    O87 - FAEL: "{B2C50117-E187-4D79-A59C-D37C8603BB7C}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) = Infection BT (Adware.Bandoo)
    O87 - FAEL: "{E7CB1A11-AD0C-459F-AC7A-D0DF7F0610FD}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) = Infection BT (Adware.Bandoo)
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application
    [HKLM\Software\Classes\TypeLib\{11109EB1-7D52-4512-88AD-9D837AEED46F}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1EC4CA-4B92-4324-B8F8-C9A6ED06A8AE}] = Infection BT (Adware.Hotbar)
    [HKLM\Software\WOW6432Node\Classes\Interface\{7713A018-8482-48FA-8BD3-46A9D319693F}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\Interface\{7894081D-0CF3-4663-B371-79DB59C32FC3}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}] = Infection PUP (Adware.Bandoo)
    [HKLM\Software\WOW6432Node\Classes\Interface\{9D2F73EA-AA92-4C9C-9FA5-666B725E8E75}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] = Infection PUP (Adware.IMBooster)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}] = Infection PUP (Adware.Bandoo)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Classes\Interface\{C382B99A-E317-4842-8448-70ADDAC750CA}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}] = Infection BT (Adware.SocialSkinz)
    [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\extensions\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}] = Infection BT (Adware.SocialSkinz)
    [HKLM\Software\WOW6432Node\Classes\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29}] = Infection BT (Adware.HotBar)
    [HKLM\Software\WOW6432Node\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}] = Infection BT (Adware.ClickPotato)
    [HKLM\Software\WOW6432Node\Classes\Interface\{E6E1D9F5-DC91-458F-89B8-FACFBD132A91}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{E9E9C4BC-BD4D-4486-9092-C43FDF8F911B}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\Interface\{E9E9C4BC-BD4D-4486-9092-C43FDF8F911B}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{f011f437-ee07-463c-8217-97c0522117ab}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\freeCompressor] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\freeCompressor] = Infection BT (Adware.SPointer)
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Users\theo\AppData\Roaming\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Users\theo\AppData\Roaming\VMNToolbar = Infection BT (Spyware.VMNToolbar)
    C:\Users\theo\AppData\LocalLow\searchqutoolbar = Infection PUP (Adware.Bandoo)
    C:\Users\theo\AppData\Local\Temp\BabylonToolbar = Infection BT (Toolbar.Babylon)
    C:\Users\theo\AppData\Local\Temp\Iminent = Infection PUP (Adware.IMBooster))
    C:\Program Files (x86)\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Program Files (x86)\VMNToolbar = Infection BT (Spyware.VMNToolbar)
    C:\Program Files (x86)\Common Files\Plasmoo = Infection BT (Hijacker.Plasmoo)
    C:\Users\theo\AppData\Roaming\Mozilla\Firefox\Profiles\4f142oes.default\SearchPlugins\MyStart Search.xml = Infection BT (Spyware.VMNToolbar)
  • Clique sur Go.
  • Poste le rapport qui s'affiche.
Ensuite refais un ZHPDiag.

++
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]