[Résolu] ransomware sur windows 8

[Résolu] ransomware sur windows 8#129018

par hakimovic - lun. 26 mai 2014 11:36

- lun. 26 mai 2014 11:36 #129018

bonjour,
j'espère que tout le monde va bien et vous remercie d'avance pour le temps que vous passerez sur mon problème!
Je vous explique, mon ami a un pc (hp) sur Windows 8. Sur le bureau, il y a un virus interpol (la variante reventon sur ce site : http://www.malekal.com/2012/01/10/virus ... ral-lutte/ ) je n'arrive pas à passer en mode sans echec, je fais la manip shift+redémarrer ensuite paramètre... mais quand le pc redémarre et que je choisis le mode sans échec simple ou avec prise en charge réseau ou avec invité de commande, le pc redémarre mais en mode normal avec le virus activé.
J'ai créer un live cd malekal le win8PE (avec support uefi) je boot sur le cd; je lance Roguekiller et le rapport de scan qu'il me fournit est en fin de message.
Je vous prie de bien vouloir m'apporter votre aide et dans l'attente de vous lire je vous remercie par avance .

RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 11:34:42
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 19 ¤¤¤
[RUN][PREVRUN] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) [x] - FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) - FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[RUN][BLPATH] [ON_C:]HKLM\Software[...]\Wow6432Node\Run : tuto4pc_fr_42 ("C:\Program Files (x86)\tuto4pc_fr_42\tuto4pc_fr_42.exe") [-] - FOUND
[RUN][SUSP PATH] [ON_C:]HKLM\Software[...]\Wow6432Node\RunOnce : upstv_fr_3.exe (C:\Users\LAURENT\AppData\Local\startertv_fr_3\upstv_fr_3.exe -runonce) [-] - FOUND
[RUN][SUSP PATH] [ON_C:LAURENT]HKCU[...]\Run : Software updater ("C:\Users\LAURENT\AppData\Roaming\FreeSoftwareUpdater\updater.exe" -h hxxp://neoupdater.com/) [-] - FOUND
[RUN][PREVRUN] [ON_C:LAURENT]HKCU[...]\Run : NextLive (C:\Windows\SysWOW64\rundll32.exe "C:\Users\LAURENT\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l) [-] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ Infection : Rogue.ProgFiles ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MQ01ABD075 SATA Disk Device +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SanDisk U3 Cruzer Micro USB Device +++++
--- User ---
[MBR] 7b126b3a4afcc5b673f2f6570e9917a9
[BSP] 4ffab8e3b7d54a95daac057c3f1e3ec8 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 129 | Size: 1907 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished :
RKreport[1]_S_05262014_02d1134.txt

ransomware sur windows 8#129025

par 2011N2 - lun. 26 mai 2014 12:05

- lun. 26 mai 2014 12:05 #129025

Bonjour,

Passe RogueKiller en Suppression et poste le rapport.

Gabriel.

ransomware sur windows 8#129035

par hakimovic - lun. 26 mai 2014 12:29

- lun. 26 mai 2014 12:29 #129035

re,
Merci de la réponse rapide, dès que je clique sur delete il m'affiche une fenetre "crash" qui dit: "oops! The program has crashed. Please restart it to generate a debug log."
je poste en fin de message le debug log.
Merci bien!
http://cjoint.com/?DEAmCPS7UuL

ransomware sur windows 8#129037

par 2011N2 - lun. 26 mai 2014 12:31

- lun. 26 mai 2014 12:31 #129037

Re,

Alors essaye de passer Pre_Scan : http://www.forum-entraide-informatique. ... n-tutoriel

Gabriel.

ransomware sur windows 8#129043

par hakimovic - lun. 26 mai 2014 12:43

- lun. 26 mai 2014 12:43 #129043

passer prescan depuis le live cd ou alors depuis windows 8 sur le DD?
si c'est depuis le live cd alors ça m'affiche une erreure de registre not found si c'est depuis windows 8 sur le DD alors je ne vois pas comment faire sachant que je n'ai pas accès au bureau?
merci

ransomware sur windows 8#129045

par 2011N2 - lun. 26 mai 2014 12:45

- lun. 26 mai 2014 12:45 #129045

Re,

Depuis le live CD. Cela te met aussi une erreur pour Pre_Scan ?

Gabriel.

ransomware sur windows 8#129049

par hakimovic - lun. 26 mai 2014 12:58

- lun. 26 mai 2014 12:58 #129049

re,
oui effectivement avec pre_scan j'ai une fenêtre qui m'affiche
Autolt Error
Line8908 (File"X:\User\default\desktop\pres_can.exe")
Error: Variable must be of type "Object". (pour prescan)
puis avec minlogon.exe cela m'affiche:
Error
No registry files found to save for the selected option
et une seconde fenetre identique à la premiere

une solution?

ransomware sur windows 8#129052

par 2011N2 - lun. 26 mai 2014 13:05

- lun. 26 mai 2014 13:05 #129052

Re,

Y'a MBAM aussi sur le CD, tu peux essayer de le passer ? Comme ceci : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

ransomware sur windows 8#129062

par hakimovic - lun. 26 mai 2014 13:41

- lun. 26 mai 2014 13:41 #129062

re,
ça m'affiche encore et toujours une erreure, est-ce du au dvd que j'ai gravé?
voilà les erreurs:
première fenêtre:
The malwarebytes antimalware database is missing or corrupt. would you like to download a new copy? (je choisis Yes)(pc connecté en ethernet et fonctionnel..)
puis seconde fenêtre:
runtime error '372'
failed to load control cbagrid from vbalsgrid6.ocx, your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provideed with your application.
et si je choisis no à la première fenêtre:
Product files are missing or corrupt. Please reinstall the product.
PROGRAM_ERROR_LOAD_DATABASE (0,2,SDKCreate)
puis une troisième fenêtre:
runtime error '372'
failed to load control cbagrid from vbalsgrid6.ocx, your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provideed with your application.

Merci pour les réponses!

ransomware sur windows 8#129069

par hakimovic - lun. 26 mai 2014 14:21

- lun. 26 mai 2014 14:21 #129069

re,
j'ai ré-esseyé Rogue killer, et ça a fonctionné je met le rapport de scan en fin de message et le rapport de delete en cjoint : http://cjoint.com/14mi/DEAovimuob7.htm
Merci d'y jeter un oeil et de me donner la marche a suivre s'il vous plait

RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 14:15:01
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 19 ¤¤¤
[RUN][PREVRUN] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) [x] - FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) - FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[RUN][BLPATH] [ON_C:]HKLM\Software[...]\Wow6432Node\Run : tuto4pc_fr_42 ("C:\Program Files (x86)\tuto4pc_fr_42\tuto4pc_fr_42.exe") [-] - FOUND
[RUN][SUSP PATH] [ON_C:]HKLM\Software[...]\Wow6432Node\RunOnce : upstv_fr_3.exe (C:\Users\LAURENT\AppData\Local\startertv_fr_3\upstv_fr_3.exe -runonce) [-] - FOUND
[RUN][SUSP PATH] [ON_C:LAURENT]HKCU[...]\Run : Software updater ("C:\Users\LAURENT\AppData\Roaming\FreeSoftwareUpdater\updater.exe" -h hxxp://neoupdater.com/) [-] - FOUND
[RUN][PREVRUN] [ON_C:LAURENT]HKCU[...]\Run : NextLive (C:\Windows\SysWOW64\rundll32.exe "C:\Users\LAURENT\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l) [-] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ Infection : Rogue.ProgFiles ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MQ01ABD075 SATA Disk Device +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished :
RKreport[1]_S_05262014_02d1353.txt ; RKreport[2]_S_05262014_02d1415.txt

ransomware sur windows 8#129074

par hakimovic - lun. 26 mai 2014 14:34

- lun. 26 mai 2014 14:34 #129074

Et voilà le rapport de scan après delete, je me suis dit que ça pourrait peut-être t'aider à y voir plus clair...

RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 14:32:40
| ARK || FAK || MBR |

¤¤¤ Bad processes : 1 ¤¤¤
[RESIDUE] lsass.exe -- X:\Windows\System32\lsass.exe [x] - KILLED [TermProc]

¤¤¤ Registry Entries : 1 ¤¤¤
[SHELL][HJNAME] HKLM\[...]\Winlogon : Userinit (X:\windows\system32\userinit.exe,) [x] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished :
RKreport[1]_S_05262014_02d1353.txt ; RKreport[2]_S_05262014_02d1415.txt ; RKreport[3]_D_05262014_02d1415.txt ; RKreport[4]_S_05262014_02d1432.txt

ransomware sur windows 8#129089

par 2011N2 - lun. 26 mai 2014 16:03

- lun. 26 mai 2014 16:03 #129089

Re,

Vu que t'as réussi le RogueKiller en Suppression, tu peux retenter de démarrer en mode normal voir ?

Gabriel.

ransomware sur windows 8#129096

par hakimovic - lun. 26 mai 2014 16:12

- lun. 26 mai 2014 16:12 #129096

re,
alors je ne sais pas si cela a un rapport mais le virus a mis plus de temps à se lancer et il y a my pc optimizer qui s'est lancé et le virus hadopi est revenu...

ransomware sur windows 8#129100

par hakimovic - lun. 26 mai 2014 16:23

- lun. 26 mai 2014 16:23 #129100

optimizer pro pardon

ransomware sur windows 8#129101

par hakimovic - lun. 26 mai 2014 16:24

- lun. 26 mai 2014 16:24 #129101

et my pc backup

ransomware sur windows 8#129103

par 2011N2 - lun. 26 mai 2014 16:34

- lun. 26 mai 2014 16:34 #129103

Re,

Même en mode sans échec ?

Gabriel.

ransomware sur windows 8#129104

par hakimovic - lun. 26 mai 2014 16:36

- lun. 26 mai 2014 16:36 #129104

je lance le mode sans echec même si le virus s'est lancé ou je refais un delete avec rogue killer?

ransomware sur windows 8#129110

par hakimovic - lun. 26 mai 2014 16:50

- lun. 26 mai 2014 16:50 #129110

c'est fait le mode sans echec n'a pas fonctionné...je re-delete avant de continuer?

ransomware sur windows 8#129288

par g3n-h@ckm@n - mar. 27 mai 2014 13:11

- mar. 27 mai 2014 13:11 #129288

salut voir pre_scan en local

ransomware sur windows 8#130132

par hakimovic - dim. 1 juin 2014 08:39

- dim. 1 juin 2014 08:39 #130132

bonjour,
la désinfection s'arrête là car le propriétaire du PC, étant pressé, l'a ramené dans un cyber cafe pour réparation. Je vous remercie de la suite que vous avez apporté à mon cas vous faites vraiment du boulot super, merci beaucoup et au plaisir de vous lire!
Bon dimanche!

[Résolu] ransomware sur windows 8#130514

par g3n-h@ckm@n - mar. 3 juin 2014 15:59

- mar. 3 juin 2014 15:59 #130514

salut ok dans ce cas on ferme , bonne continuation
et si souci , reviens quand tu veux

Si vous aussi êtes infectés ou avez des problèmes similaires merci d'ouvrir un nouveau sujet en cliquant sur ce lien : http://www.forum-entraide-informatique. ... e=newtopic

Sujet verrouillé

Options
21 messages

Page 1 sur 1
21 messages

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique