Page 1 sur 1

infection par ramsonware

Posté : mar. 13 mars 2012 19:54
par kitouu
bonjour à tous

le pc de mon fiston de 13 ans est infecté par un ramsonware (j'ai lu plusieurs sujets sur forum, c'est ainsi que je l'ai compris). la police nationale nous demande de régler 50 euros pour débloquer son ps. j'ai ouvert une autre cession et enregistré pré_scan comme indiqué dans un sujet que j'ai lu, j'ai enregistré le rapport sur le bureau, mais que faire maintenant?

merci par avance. et je tiens à remercier votre équipe pour le boulot que vous faites, en lisant plusieurs posts, j'ai pu constater à quel point votre site est utile.

Re: infection par ramsonware

Posté : mar. 13 mars 2012 19:56
par 2011N2
Salut

Ne paye rien

En attendant qu'un helper te prenne en charge, tu peux si tu veux t'inscrire au forum à cette adresse : http://www.forum-entraide-informatique.com/register

Merci, bonne soirée et bonne désinfection

@+

Gabriel.

merci

Posté : mar. 13 mars 2012 20:03
par kitou
merci pour ta réponse rapide. je patiente bien volontier

Re: infection par ramsonware

Posté : mar. 13 mars 2012 20:09
par 2011N2
Ok merci
Vu que tu es inscrit, tu peux maintenant passer dans présentation si tu veux http://www.forum-entraide-informatique. ... esentation

@+

Gabriel.

Re: infection par ramsonware

Posté : mar. 13 mars 2012 20:27
par roro04
Hello!

On va faire un diagnostique de ton pc.
  • Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
  • Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
  • Coches la case Créer une icône sur le bureau lors de l'installation.
  • A la fin de l'installation, ZHPDiag va se lancer tout seul.
  • Cliques sur l'icône représentant une loupe.
  • En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
  • Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++

Re: infection par ramsonware

Posté : mer. 14 mars 2012 15:29
par kitou
merci pour ta réponse rapide, voilà le lien

http://cjoint.com/?BCopBB9Rqpi

Re: infection par ramsonware

Posté : mer. 14 mars 2012 15:39
par Invité
Bonjour
Pour avancer un peu roro
Ton PC est très parasité par plein d'adwares et de barres d'outils inutiles.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Bonne continuation avec roro.

Re: infection par ramsonware

Posté : mer. 14 mars 2012 16:30
par kitou
voici le rapport de adv cleaner

http://cjoint.com/?BCoqDjVfDm3

Re: infection par ramsonware

Posté : mer. 14 mars 2012 18:42
par roro04
Re,

Hello Jawa, merci.
Et ben, ça grouille là-dedans. On va faire du ménage. Reste bien jusqu'à la fin de la désinfection même si les symptômes disparaissent.
  • Téléharge RansomFix (de Xplode) sur ton bureau.
  • Lance le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Rien ne va s'afficher, c'est normal.
  • Poste le rapport contenu sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport ) précédemment hébergé sur http://www.cjoint.com
Refais un diag

++

Re: infection par ramsonware

Posté : mer. 14 mars 2012 19:02
par kitou
http://cjoint.com/?BCotbfSp6B6

voila le lien ramsomfix

Re: infection par ramsonware

Posté : mer. 14 mars 2012 19:18
par kitou

Re: infection par ramsonware

Posté : dim. 18 mars 2012 16:42
par kitou
merci pour tout les garçons

Re: infection par ramsonware

Posté : lun. 19 mars 2012 19:14
par roro04
Re,

On va supprimer quelques lignes manuellement
  • Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur le H bleu.
  • Copie/Colle le texte en gras ci-dessous.

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified = Infection BT (Hijacker.Application)
    [MD5.5689F2D4DED335C983671E98D848FB38] - (...) -- C:\Program Files (x86)\PenWes\penwes.exe [1422848] [PID.2684] = Infection PUP (PUP.PenWes)
    G1 - GCS: Preference [User Data\Default] http://search.babylon.com
    M3 - MFPP: Plugins - [theo] -- C:\Users\theo\AppData\Roaming\Mozilla\Firefox\Profiles\4f142oes.default\searchplugins\MyStart Search.xml = Infection BT (Spyware.VMNToolbar)
    R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://seeearch.com
    O2 - BHO: Interest recogniser for Freecompressor (powered by Spointer) [64Bits] - {a83c3565-302c-4bf8-b000-6b6f1811d892} . (.Freecompressor - Interest Recognizer for Freecompressor.) -- C:\Program Files (x86)\FreeCompressor\spointer\extensions\freecompre = Infection BT (Adware.SPointer)
    O20 - AppInit_DLLs: . (...) - C:\Program Files\WIA6EB~1\Datamngr\x64\datamngr.dll (.not file.) = Infection BT (Adware.Bandoo)
    [MD5.5689F2D4DED335C983671E98D848FB38] [APT] [PenWes] (...) -- C:\Program Files (x86)\PenWes\PenWes.exe = Infection PUP (PUP.PenWes)
    [MD5.00000000000000000000000000000000] [APT] [{7FB29537-D34E-438F-B089-55DCFD44EC52}] (...) -- C:\Program Files (x86)\Iminent\IMBooster\inst\Bootstrapper\Bootstrapper.exe (.not file.) = Infection PUP (Adware.IMBooster)
    O42 - Logiciel: Bubble Dock (remove only) - (.Nosibay.) [HKCU] -- Bubble Dock = Infection PUP (Adware.SPointer)
    O42 - Logiciel: FreeCompressor - (.Secure Digital Services.) [HKLM] -- {1EF93620-4B15-4DB4-B0EA-889E2F187081} = Infection BT (Adware.SPointer)
    O42 - Logiciel: PenWes - (.Pas de propriétaire.) [HKLM] -- Penwes = Infection PUP (PUP.PenWes)
    [HKCU\Software\FreeCompressor] = Infection BT (Adware.SPointer)
    [HKCU\Software\eojet] = Infection PUP (PUP.Eorezo)
    [HKCU\Software\vmntoolbar] = Infection BT (Spyware.VMNToolbar)
    [HKLM\Software\CrazyLoader] = Infection BT (Adware.SPointer)
    [HKLM\Software\FreeCompressor] = Infection BT (Adware.SPointer)
    O43 - CFD: 10/12/2010 - 18:46:06 - [0,001] ----D- C:\Users\theo\AppData\Roaming\freeCompressor = Infection BT (Adware.SPointer)
    O43 - CFD: 16/02/2011 - 17:13:18 - [0,232] ----D- C:\Users\theo\AppData\Roaming\vmntoolbar = Infection BT (Spyware.VMNToolbar)
    O43 - CFD: 29/02/2012 - 16:58:54 - [0,439] ----D- C:\Users\theo\AppData\Local\freecompressor Air = Infection BT (Adware.SPointer)
    O43 - CFD: 11/12/2010 - 15:35:34 - [17,216] ----D- C:\Program Files (x86)\FreeCompressor = Infection BT (Adware.SPointer)
    O43 - CFD: 14/01/2012 - 23:10:22 - [1,675] ----D- C:\Program Files (x86)\PenWes = Infection PUP (PUP.PenWes)
    O43 - CFD: 25/04/2011 - 01:56:46 - [0,069] ----D- C:\Program Files (x86)\vmntoolbar = Infection BT (Spyware.VMNToolbar)
    O43 - CFD: 10/05/2011 - 18:11:02 - [1,175] ----D- C:\Program Files (x86)\Common Files\Plasmoo = Infection BT (Hijacker.Plasmoo)
    O87 - FAEL: "TCP Query User{91D764E8-B67D-47BE-93EA-0F3AE3B42A61}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.) = Infection BT (Adware.IMBooster)
    O87 - FAEL: "UDP Query User{D6F60FED-A7F5-4601-80EF-F4DBA84E7848}C:\program files (x86)\iminent\imbooster\imbooster.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\iminent\imbooster\imbooster.exe (.not file.) = Infection BT (Adware.IMBooster)
    O87 - FAEL: "{737DB451-E5EE-43DA-8970-78E5688251B3}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) = Infection BT (Adware.SPointer)
    O87 - FAEL: "{0069DF8D-5F0B-445C-8032-C86991F75178}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) = Infection BT (Adware.SPointer)
    O87 - FAEL: "{B2C50117-E187-4D79-A59C-D37C8603BB7C}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) = Infection BT (Adware.Bandoo)
    O87 - FAEL: "{E7CB1A11-AD0C-459F-AC7A-D0DF7F0610FD}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) = Infection BT (Adware.Bandoo)
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application
    [HKLM\Software\Classes\TypeLib\{11109EB1-7D52-4512-88AD-9D837AEED46F}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1EC4CA-4B92-4324-B8F8-C9A6ED06A8AE}] = Infection BT (Adware.Hotbar)
    [HKLM\Software\WOW6432Node\Classes\Interface\{7713A018-8482-48FA-8BD3-46A9D319693F}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\Interface\{7894081D-0CF3-4663-B371-79DB59C32FC3}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}] = Infection PUP (Adware.Bandoo)
    [HKLM\Software\WOW6432Node\Classes\Interface\{9D2F73EA-AA92-4C9C-9FA5-666B725E8E75}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] = Infection PUP (Adware.IMBooster)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}] = Infection PUP (Adware.Bandoo)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a83c3565-302c-4bf8-b000-6b6f1811d892}] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\Classes\Interface\{C382B99A-E317-4842-8448-70ADDAC750CA}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}] = Infection BT (Adware.SocialSkinz)
    [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\extensions\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}] = Infection BT (Adware.SocialSkinz)
    [HKLM\Software\WOW6432Node\Classes\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29}] = Infection BT (Adware.HotBar)
    [HKLM\Software\WOW6432Node\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}] = Infection BT (Adware.ClickPotato)
    [HKLM\Software\WOW6432Node\Classes\Interface\{E6E1D9F5-DC91-458F-89B8-FACFBD132A91}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{E9E9C4BC-BD4D-4486-9092-C43FDF8F911B}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\Interface\{E9E9C4BC-BD4D-4486-9092-C43FDF8F911B}] = Infection BT (Toolbar.Kiwee)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{f011f437-ee07-463c-8217-97c0522117ab}] = Infection BT (Toolbar.Kiwee)
    [HKCU\Software\freeCompressor] = Infection BT (Adware.SPointer)
    [HKLM\Software\WOW6432Node\freeCompressor] = Infection BT (Adware.SPointer)
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Users\theo\AppData\Roaming\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Users\theo\AppData\Roaming\VMNToolbar = Infection BT (Spyware.VMNToolbar)
    C:\Users\theo\AppData\LocalLow\searchqutoolbar = Infection PUP (Adware.Bandoo)
    C:\Users\theo\AppData\Local\Temp\BabylonToolbar = Infection BT (Toolbar.Babylon)
    C:\Users\theo\AppData\Local\Temp\Iminent = Infection PUP (Adware.IMBooster))
    C:\Program Files (x86)\FreeCompressor = Infection BT (Adware.SPointer)
    C:\Program Files (x86)\VMNToolbar = Infection BT (Spyware.VMNToolbar)
    C:\Program Files (x86)\Common Files\Plasmoo = Infection BT (Hijacker.Plasmoo)
    C:\Users\theo\AppData\Roaming\Mozilla\Firefox\Profiles\4f142oes.default\SearchPlugins\MyStart Search.xml = Infection BT (Spyware.VMNToolbar)
  • Clique sur Go.
  • Poste le rapport qui s'affiche.
Ensuite refais un ZHPDiag.

++

Re: infection par ramsonware

Posté : sam. 7 avr. 2012 15:18
par roro04
Re,

Sujet abandonné par son auteur.
Pour toute demande de réouverture, merci de me contacter par MP.

Romain (Équipe de Modération de FEI).