Forum d'Entraide Informatique (FEI)

bonjour à tous,
c'est pour le pc d'une amie. l'ordinateur (windows vista) n'avait pas d'antivirus, il a du choppé quantité de saloperie sans que ça occasionne de gêne pour son utilisation sommaire.
Mais voilà, le virus Interpol est apparu avec le blocage de l'ordi, l'activation de la webcam, ainsi qu'une dizaine de fenêtres Microsoft Windows genre "explorateur windows a cessé de fonctionner... fermer le programme", puis l'interface du virus avec quelques informations utilisateurs (IP, pays de connexion, FAI, nom d'utilisateur...).

j'ai déjà parcouru plusieurs sujet similaire.

j'ai démarré l'ordi en mode sans échec avec prise en charge réseau mais lorsque j'arrive sur la page de connexion de compte windows (administrateur, invité...), impossible de se connecter, le processus de redémarrage se lance ("arrêt en cours..."), l'ordinateur redémarre aussitôt, alors je retente le mode sans échec avec prise en charge réseau et rebelote, impossible...

j'ai donc besoin d'un peu d'aide svp

Bonsoir,

Pour mieux recevoir les réponses, tu peux t'inscrire au forum (plus d'informations ici).

Utilise le live CD Malekal comme ceci : http://www.malekal.com/2013/02/22/malekal-live-cd/
En gravant l'iso comme ceci : http://www.forum-entraide-informatique. ... c-tutoriel

Et tu passeras RogueKiller en Scan (point 1/ du tutoriel) puis tu posteras le rapport : http://www.forum-entraide-informatique. ... y-tutoriel

Gabriel.

Bonsoir Gabriel,

merci de m'aider et de m'avoir rép si rapidement. j'ai gravé le live CD Malekal sur une clef USB de 1Go (300 Mo d'utilisé après gravure). J'ai autorisé dans le SETUP (F2) le Boot Menu (F12). J'ai connecté la clef, j'ai booté dessus mais rien ne se passe à part:
-écran allumé mais noir
-le ventilo de l'ordi allumé continuellement
puis après plusieurs minutes (10-15 min), l'ordi redémarre tout seul

Je ne pense pas m'être planté dans la gravure. je vais essayer avec un CD.

ça a marché avec le CD.
ci-dessous le rapport complet du scan avec RogueKiller:

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 04/04/2014 00:53:49
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 22 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\PROGRA~2\hnbaqrfd.gsa [-]) - TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\PROGRA~2\hnbaqrfd.gsa [-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKLM\ON_C:\[...]\Run : PLFSet (rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting [x][-][x]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : SearchProtect (C:\Users\Isabelle\AppData\Roaming\SearchProtect\bin\cltmng.exe [-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : Adtworks (regsvr32.exe C:\Users\Isabelle\AppData\Local\Adtworks\LibPlay54.dll [x][-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : GameServer53E ("C:\Users\Isabelle\AppData\Roaming\AVAST Software\WIN6F96.exe" [-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : SearchProtect (C:\Users\Isabelle\AppData\Roaming\SearchProtect\bin\cltmng.exe [-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : Adtworks (regsvr32.exe C:\Users\Isabelle\AppData\Local\Adtworks\LibPlay54.dll [x][-]) - TROUVÉ
[EXT RUN][SUSP PATH] HKCU\Isabelle_ON_C:\[...]\Run : GameServer53E ("C:\Users\Isabelle\AppData\Roaming\AVAST Software\WIN6F96.exe" [-]) - TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 2 ¤¤¤
[Isabelle][SUSP PATH] dfrqabnh.lnk : C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dfrqabnh.lnk @X:\Windows\System32\rundll32.exe C:\PROGRA~2\hnbaqrfd.gsa,MMS1 [-][-][-] - TROUVÉ
[Isabelle][SUSP PATH] dfrqabnh.lnk : C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dfrqabnh.lnk @X:\Windows\System32\rundll32.exe C:\PROGRA~2\hnbaqrfd.gsa,MMS1 [-][-][-] - TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
- C:\windows\system32\config\SYSTEM
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SOFTWARE
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SECURITY
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SAM
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\DEFAULT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Default\NTUSER.DAT
C:\Windows\system32

- C:\Users\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Users\Isabelle\NTUSER.DAT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Documents and Settings\Default\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Isabelle\NTUSER.DAT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 6f31efd459632e7ee6751a1104939afd
[BSP] 6aca5c07234756ad4ccdc9d90875a8fd : Acer MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :

Bonjour,

OK, passe-le en Suppression et poste le rapport.

Gabriel.

voici le rapport après la suppression:

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 04/04/2014 19:28:39
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
- C:\windows\system32\config\SYSTEM
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SOFTWARE
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SECURITY
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SAM
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\DEFAULT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Default\NTUSER.DAT
C:\Windows\system32

- C:\Users\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Users\Isabelle\NTUSER.DAT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Documents and Settings\Default\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Isabelle\NTUSER.DAT
C:\Windows\system32
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 6f31efd459632e7ee6751a1104939afd
[BSP] 6aca5c07234756ad4ccdc9d90875a8fd : Acer MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 114372 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254701568 | Size: 110788 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 481595392 | Size: 3320 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 02595cb57d258d749145cd040ad4a9dc
[BSP] 33f4b287ae6a1b6182fb2646174d8ee2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 1016 | Size: 960 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine :
RKreport[0]_S_04042014_192709.txt;RKreport[0]_D_04042014_192756.txt

l'infection a disparu. J'attends pour le reste des instructions pour terminer le nettoyage, je connais à peu prés le reste des étapes mais je préfère attendre sagement les instructions

ensuite j’installerai avast (version de base gratuite) ou as-tu un autre truc plus performant dans les antivirus libre/gratuit pour une utilisation basique de l'ordi/internet?

Re,

Bien.

Passe Pre_Scan et poste le rapport : http://www.forum-entraide-informatique. ... n-tutoriel

Avast est bien comme antivirus, et tous les conseils te seront donnés lors de la finalisation.

Gabriel.

pre-scan terminé voici le rapport:
http://cjoint.com/?3DewpW4dTlO

Re,

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

On va voir s'il y a d'autres choses.

Gabriel.

ah premiére m****. Lorsque que je lance ZHPDiag, le scan complet se bloque à 4% avec un message d'erreur "violation d'accés à l'adresse 772C9826 dans le module 'ntdll.dll'. Ecriture de l'adresse 00407700."

Re,

Alors utilise ZHPDiag : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

voilà le rapport:
http://cjoint.com/?3Dex4AIs5HD

Bonjour,

Pardon, dans mon précédent je voulais dire NCDiag mais tu as bien compris.

1/ Passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

bonjour,

le rapport shortcut http://cjoint.com/?3DgvHRu98WV

le rapport de adwcleaner: http://cjoint.com/?3Dgv7JDE74E

Bonjour,

Bien.

Passe UsbFix en Recherche et poste le rapport : http://www.forum-entraide-informatique. ... o-tutoriel

Gabriel.

le rapport juste en recherche avec UsbFix: http://cjoint.com/?3DgxeS7jFWf

Bonjour,

OK, passe-le en Suppression à présent puis poste le rapport.

Gabriel.

salut. dsl de rép si tard.

la copine utilise son ordi depuis plusieurs jours et utilise internet. ca pose un probléme?

le rapport de suppression avec USBfix:
http://cjoint.com/?3DnudAI4SNU

Salut,

S'il elle ne fait que naviguer, ça va.

Fais un nouveau rapport NCDiag.

Gabriel.

Salut dsl de ne pas avoir donné des news plus tôt
ci-joint le rapport NCDiag
http://cjoint.com/?0EjvtRPUbi1

Salut,

Pas de souci.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

Salut,

Voici le rapport fait par ZHPFix:
http://cjoint.com/?0Ekw4XJDW0T

Salut,

Bien.

Passe MBAM et poste le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

bonjour a tous
je suis avec windows xp sur mon ordi
j'ai le virus interpol depuis vendredi soir
j'ai démarre mon ordi en mode sans échec,en mode sans échec avec le réseau rien ne fait l'ordi redémarre a chaque fois la je viens de grave un cd avec http://www.malekal.com/2013/02/22/malekal-live-cd/ et j'ai démarre mon ordi avec et la il marque windows a rencontre un probleme de communication avec un périphérique connecté a votre ordi
statut:0xc00000e9
info:une erreur e/s inattendue s'est produite
la je suis sur un autre ordi
merci pour votre aide

Bonjour johnny60,

Merci d'ouvrir un nouveau sujet : http://www.forum-entraide-informatique. ... e=newtopic

Gabriel.

c'est fait merci

Salut Gabriel,

Voici le rapport MBAM http://cjoint.com/?0ElxhNa8dew

Bonjour,

OK.

Comment se comporte le PC ?

Fais un nouveau rapport NCDiag.

Gabriel.

Je te dirai que tout est normal, le PC est juste plus lent qu'avant l'arrivé du virus!!

Voici le rapport NCDiag0: http://cjoint.com/?0Eocz4NeprB

Bonjour,

D'accord.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

Gabriel,

Voici le rapport ZHPFix: http://cjoint.com/?0EpdqW64CmM

Bonjour,

Bien.

Tu peux faire la finalisation : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

Salut Gabriel,

J'ai terminé la phase 1, 2 et le 3.
Voici le rapport delfix: http://cjoint.com/?0EzvZvSJhiJ

Salut,

OK pour ça.

Gabriel.

Gabriel,

Je suis à la 4eme phase: Optimisation.
J'ai fait l'étape 1,2 et 3 et j'ai redémarré mon ordinateur. J'en suis donc à l'étape 4: Désactivation des programmes au démarrage mais je ne comprend pas d'où il faut que je parte pour faire l'action demandée: "Cliquez sur Démarrer puis Exécuter". Est ce au démarrage de l'ordinateur?? à partir du panneau de configuration
Merci

Bonjour,

Non tu recherches Exécuter dans le menu Démarrer, s'il n'y est pas.
Sinon tu fais touche Windows + R.

Gabriel.

Salut Gabriel,

Voici le rapport de Security check: http://cjoint.com/?0EEbHEDDazg

Salut,

Mets Internet Explorer à jour :http://windows.microsoft.com/fr-fr/inte ... ownload-ie

Ainsi qu'Adobe Reader : https://get.adobe.com/fr/reader/
Pense de décocher l'installation facultative avant de lancer le téléchargement.

Gabriel.

Forum d'Entraide Informatique (FEI)

[Résolu] Virus Interpol

[Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Re: [Résolu] Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol

Virus Interpol