Page 1 sur 1

[Résolu] Infecté par un ransomware

Posté : sam. 12 janv. 2013 20:26
par jonut
Bonjour à tous,
Mon fils s'est ramassé une saloperie de Ransomware cette semaine, avec un message du type "Lutte contre la cybercriminalité", payez 100$ et on débloquera votre ordi. Il utilise un portable Acer Aspire, Intel Core i5, 8 GB de Ram DDR3 et un disque dur de 1T. Pouvez-vous nous aider à nous débarasser de cette méchante bibitte!
Merci beaucoup de votre précisuese aide.
G

Re: [Résolu] Infecté par un ransomware

Posté : sam. 12 janv. 2013 22:27
par dédétraqué
Salut jonut, bienvenu sur le forum


Redémarre en mode sans échec avec prise en charge réseau pour avoir accès a l'internet :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec avec prise en charge réseau. Choisis ta session habituelle ...


Télécharge RogueKiller (par tigzy) sur le bureau :
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

- Fermes les applications et programmes en cours.
- Double clique sur RogueKiller.exe pour lancer le programme
(Vista/Seven - Faire un clique droit sur RogueKiller.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme)
- Attendre que le Prescan ait fini ...
- Lance un scan afin de débloquer le bouton Suppression à droite.
- Clic sur Suppression.
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste le rapport
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 00:34
par jonut
Salut dédé, merci de ton aide.
voici le rapport:
RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Zachary [Droits d'admin]
Mode : Recherche -- Date : 12/01/2013 18:25:30

¤¤¤ Processus malicieux : 1 ¤¤¤
[SERVICE] IBUpdaterService -- C:\Windows\system32\dmwu.exe - STOPPÉ

¤¤¤ Entrees de registre : 9 ¤¤¤
[Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService (C:\Windows\system32\dmwu.exe) - TROUVÉ
[Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService (C:\Windows\system32\dmwu.exe) - TROUVÉ
[STARTUP][Rans.Gendarm] runctf.lnk @Zachary : C:\Windows\System32\rundll32.exe|C:\Users\Zachary\wgsdgsdgdsgsd.exe,H1N1 - TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) - TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) - TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) - TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) - TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1059GSMP +++++
--- User ---
[MBR] 39cd0dae89a9b2dcc7d9d48f687cc711
[BSP] c2a5bbb87af37c5c1721ffb4d67a90b5 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18432 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 37750784 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 37955584 | Size: 935335 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1]_S_12012013_182530.txt

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 00:46
par dédétraqué
Salut jonut


Relance RogueKiller et fais la suppression comme demandé et poste le rapport.

Fais ceci après :

Image Télécharge et installe MalwareByte's Anti-Malware
http://www.commentcamarche.net/download ... lware-free

Image Mets le à jour ([g]Important[/g])

Image Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
Image Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
Image Clique sur Rechercher

Image Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

Image Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

Image Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

Image Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
http://www.malekal.com/tutorial_Malware ... alware.php


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 01:57
par jonut
Dédé, voic le rapport de RogueKiller:

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Zachary [Droits d'admin]
Mode : Recherche -- Date : 12/01/2013 19:11:39

¤¤¤ Processus malicieux : 1 ¤¤¤
[SERVICE] IBUpdaterService -- C:\Windows\system32\dmwu.exe - STOPPÉ

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1059GSMP +++++
--- User ---
[MBR] 39cd0dae89a9b2dcc7d9d48f687cc711
[BSP] c2a5bbb87af37c5c1721ffb4d67a90b5 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18432 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 37750784 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 37955584 | Size: 935335 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1]_S_12012013_182530.txt ; RKreport[2]_D_12012013_182735.txt ; RKreport[3]_D_12012013_191110.txt ; RKreport[4]_S_12012013_191139.txt



Et le rapport de MalwareByte:

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
http://www.malwarebytes.org

Version de la base de données: v2013.01.12.10

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Zachary :: MAGICPC [administrateur]

Protection: Désactivé

2013-01-12 19:18:33
mbam-log-2013-01-12 (19-18-33).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 378466
Temps écoulé: 37 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) - Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) - Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\$Recycle.Bin\S-1-5-21-1234129303-1909656340-295814222-1000\$RQJ84YG.exe (Trojan.Exploitdrop.WS) - Mis en quarantaine et supprimé avec succès.
C:\Users\Zachary\wgsdgsdgdsgsd.exe (Trojan.FakeMS) - Mis en quarantaine et supprimé avec succès.
C:\Users\Zachary\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\65cd6cdf-46adda2c (Trojan.FakeMS) - Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA) - Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) - Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA) - Mis en quarantaine et supprimé avec succès.

(fin)

Encore merci

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 02:01
par dédétraqué
Salut jonut


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 02:32
par jonut

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 02:40
par dédétraqué
Salut jonut


Je viens de voir que tu est du Canada toi aussi, d'habitude j'aide les cousins français et je leur dit toujours pas couché a cette heure...

Bon j'analyse ton rapport et je reviens


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 02:44
par jonut
Suis à Gatineau. J'ai demeuré à Québec pendant près de 8 ans. Je connais bien...

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 02:57
par dédétraqué
Salut jonut


Bon je pense que je devrais changer la localisation, je devrais marqué au Québec,La Tuque en haute Mauricie


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira, poste le contenu de ce rapport.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


-----


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 03:30
par jonut
Dédé, voici le rapport AdwCleaner. Je fais OTL et te l'envoi.

AdwCleaner:
# AdwCleaner v2.105 - Rapport créé le 12/01/2013 à 21:02:39
# Mis à jour le 08/01/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Zachary - MAGICPC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\Zachary\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté Supprimé : IB Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Smartdl
Dossier Supprimé : C:\Program Files (x86)\Yontoo
Dossier Supprimé : C:\Program Files\IB Updater
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\Zachary\AppData\Local\Software
Dossier Supprimé : C:\Users\Zachary\AppData\Local\Wajam
Dossier Supprimé : C:\Users\Zachary\AppData\LocalLow\incredibar.com
Dossier Supprimé : C:\Users\Zachary\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Zachary\AppData\Roaming\yourfiledownloader
Dossier Supprimé : C:\Windows\SysWOW64\WNLT
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIM
Clé Supprimée : HKCU\Software\WNLT
Clé Supprimée : HKCU\Software\YourFileDownloader
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject
Clé Supprimée : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\IB Updater
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\Software\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\Software\YourFileDownloader
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403a-B9D2-65C292C39087}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?crg=3.1010000.10018barid={56BE0588-B8D0-11E1-AD74-DC0EA128B6A5} -- hxxp://www.google.com

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Zachary\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [9800 octets] - [12/01/2013 21:02:39]

########## EOF - C:\AdwCleaner[S1].txt - [9860 octets] ##########

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 03:38
par dédétraqué
Salut jonut


OK attends le rapport


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 03:41
par jonut
Voici le lien vers le rapport OTL:

http://cjoint.com/?CAndO5DXhBJ

Encore merci

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 04:06
par dédétraqué
Salut jonut


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
IE - HKU\S-1-5-21-1234129303-1909656340-295814222-1000\..\SearchScopes\{7C0C4EC2-8211-4A09-A57B-563754A42370}: "URL" = http://websearch.ask.com/redirect?clien ... 377DDD1433
IE - HKU\S-1-5-21-1234129303-1909656340-295814222-1000\..\SearchScopes\{D3B07336-1A52-4473-8696-8ABA60E7224D}: "URL" = http://isearch.claro-search.com/?q={sea ... 0ba92a0f29
IE - HKU\S-1-5-21-1234129303-1909656340-295814222-1000\..\SearchScopes\{E3C614DD-686F-4797-B547-C50A03669FCC}: "URL" = http://www.mysearchresults.com/search?c ... earchTerms}
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1234129303-1909656340-295814222-1000\..\RunOnce: [Report] C:\AdwCleaner[S1].txt ()
O4 - Startup: C:\Users\Zachary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VDownloader.lnk = File not found
[2012-12-14 19:34:52 | 000,035,328 | ---- | C] (IncrediMail, Ltd.) -- C:\Windows\SysNative\ImHttpComm.dll
[2013-01-09 16:15:05 | 000,002,937 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 04:29
par jonut
Dédé, voici le rapport OTL:

All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-1234129303-1909656340-295814222-1000\Software\Microsoft\Internet Explorer\SearchScopes\{7C0C4EC2-8211-4A09-A57B-563754A42370}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C0C4EC2-8211-4A09-A57B-563754A42370}\ not found.
Registry key HKEY_USERS\S-1-5-21-1234129303-1909656340-295814222-1000\Software\Microsoft\Internet Explorer\SearchScopes\{D3B07336-1A52-4473-8696-8ABA60E7224D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3B07336-1A52-4473-8696-8ABA60E7224D}\ not found.
Registry key HKEY_USERS\S-1-5-21-1234129303-1909656340-295814222-1000\Software\Microsoft\Internet Explorer\SearchScopes\{E3C614DD-686F-4797-B547-C50A03669FCC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E3C614DD-686F-4797-B547-C50A03669FCC}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1234129303-1909656340-295814222-1000\\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Report deleted successfully.
C:\AdwCleaner[S1].txt moved successfully.
C:\Users\Zachary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VDownloader.lnk moved successfully.
C:\Windows\SysNative\ImHttpComm.dll moved successfully.
C:\ProgramData\dsgsdgdsgdsgw.js moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 56468 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: Public

User: Zachary
-Temp folder emptied: 595420605 bytes
-Temporary Internet Files folder emptied: 484657888 bytes
-Java cache emptied: 18329901 bytes
-Flash cache emptied: 68565 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 705241069 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 45735952261 bytes

Total Files Cleaned = 45 337,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 01122013_222056

Files\Folders moved on Reboot...
File move failed. C:\Users\Zachary\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat scheduled to be moved on reboot.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZREO1MP8\2-adwcleaner[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZREO1MP8\emplacement[2].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZREO1MP8\like[3].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZREO1MP8\tweet_button.1357735024[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZREO1MP8\xd_arbiter[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSKN687R\xd_arbiter[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7TMXBKW3\confirm[2].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\chatbox[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\emplacement[3].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\index[1].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\like[5].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\like[6].htm moved successfully.
C:\Users\Zachary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNC14PO\oauth[1].htm moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 18:22
par jonut
Dédé,
Tout semble maintenant bien fonctionné. Si le dernier rapport OTL est satisfaisant, je veux te remercier bien sincèrement pour ton aide. C'est terriblement apprécié.
Au plaisir,

Re: [Résolu] Infecté par un ransomware

Posté : dim. 13 janv. 2013 22:39
par dédétraqué
Salut jonut


Oui cela est bon

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/fr ... /26-delfix

[*]Double-clique sur l'icône delfix.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

[*]Sélectionne Suppression

[*]Copie/colle le contenu du rapport dans ton prochain message.

Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )


-----


Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
Image Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Si tu considère ton problème comme résolu, procédure pour le mettre :
http://www.forum-entraide-informatique. ... -en-resolu

Bonne journée/soirée et bon surf


@++

Re: [Résolu] Infecté par un ransomware

Posté : lun. 14 janv. 2013 02:39
par jonut
Dédé,
je crois que mon ordi n'aime pas Delfix. Il m'avertit de ne pas télécharger ce logiciel et même si je dis de le faire quand même, il ne semble rien se passer. J'ai pas de rapport.

Re: [Résolu] Infecté par un ransomware

Posté : lun. 14 janv. 2013 02:56
par dédétraqué
Salut jonut


Surement ton Antivirus qui le bloque, désactive le :
http://forum.pcastuces.com/desactiver_l ... -f31s4.htm


@++