FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Buzz49]

Bonjour à toutes et tous.

Un collègue a cliqué sur quelque chose qu'il n'aurait pas dû sur un forum automobile.
Il est sur Windows 8.
Il ne peut plus rien faire car il y a M. notre président qui lui demande de l'argent   
Le virus Interpol est installé sur son PC.

J'ai quelques notions en informatique, c'est pourquoi il m'a demandé de lui rendre service mais là je ne peux rien pour lui, c'est pourquoi c'est à mon tour de vous demander de l'aide.
Une fois que nous en aurons fini avec son P.C. on passera au mien car j'ai quelques soucias également depuis que ma femme à installé un logiciel pour créer des albums photos en ligne.   

Pour le PC de mon collègue voici les fichiers créés par OTL.
http://we.tl/v0jsgaqj0u

Merci par avance.

Bruno.

[g3n-h@ckm@n]

salut utilise l'hebergeur http://cjoint.com stp

[Buzz49]

Salut g3n,

Entre temps mon PC s'est mit en veille et lorsque j'ai repris un autre post a été créé...
  

Voici:
http://www.forum-entraide-informatique. ... s-interpol

[g3n-h@ckm@n]

heu ben du coup j'ai viré l'autre

[Buzz49]

heu ben du coup j'ai viré l'autre
Aucun problème   

Voici les deux fichiers créés depuis le PC de mon collègue:


http://cjoint.com/?3FCjgctsoPE
http://cjoint.com/?DFCjgQdKLyj

Cordialement.

[g3n-h@ckm@n]

attends un sujet par pc sinon on va pas s'en sortir

le pc de ton collègue ne démarre pas en mode normal ?

pour le tien ca se passe ici :

http://www.forum-entraide-informatique. ... pc2#135305

[Buzz49]

attends un sujet par pc sinon on va pas s'en sortir
Oui, je m'en doutais   


le pc de ton collègue ne démarre pas en mode normal ?

Qu'est ce que tu appelle le mode normal?
Il y a moyen d'aller vers "son bureau" ù se trouvent ses applications mais il ne peut rien faire.
Il y a toujours François pour le rappeler à l'ordre   

[g3n-h@ckm@n]

navigue dans le disque ou windows est installépuis supprime ca :

C:\ProgramData\E15F34B026F64B22D5F29DBCE9B5CFC2

ensuite essaie de redemarrer normalement

J'ai édité mon message au dessus aussi ^^

[Buzz49]

Ok je vais lui faire ça demain.
Sinon il m'a envoyé un message me confirmant que son PC démarrait normalement mais le logiciel de la webcam ne fonctionne pas et le centre de maintenance est défaillant.
Il a remarqué des lenteurs sur certains sites.
Je te redis demain.

MERCI.

[g3n-h@ckm@n]

regarde si windows update fonctionne au passage

[Buzz49]

Il a supprimé le dossier C:\ProgramData\E15F34B026F64B22D5F29DBCE9B5CFC2 (qui était vide) mais rien de changé.
Windows Update fonctionne bien.

[g3n-h@ckm@n]

alors relance l'analyse mais parametré comme ca :

Configure-le comme ceci (attention le bouton analyse se clique en dernier , après avoir collé le texte qui suit l’image) :



si une case « 64bits » apparait , laisse-la cochée.

Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d’OTL « Personnalisation »

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programfiles%\Google\Desktop\Install /s
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT

Clique sur Analyse et laisse travailler l’outil

A la fin du scan, le Bloc-Notes va s’ouvrir avec le rapport (OTL.txt).

Ce fichier est enregistré à coté de l’executable , accompagné de « Extras.txt »

NE LES POSTE PAS SUR LE FORUM (ils sont trop longs)

heberge OTL.txt et Extras.txt sur http://cjoint.com et donne les liens

[Buzz49]

Analyse faite, en revanche c'est avec la version 3.1.48.0

Fichier OTL:
http://cjoint.com/?3GbtivEPCjz

L'Extra:
http://cjoint.com/?3Gbtjh4k3Ql

[g3n-h@ckm@n]

re

et je peux savoir comment ca s ef ait que tu aies une version si vieille ? tu télécharges bien les outils à partir de mes liens bleus ?

[Buzz49]

A partir d'un CD que j'avais fait lorsque j'ai trouvé ce forum avant même de m'inscrire et de poster mon premier message.
C'était un lien que tu avais mis dans un autre fil concernant ce même virus.
S'il le faut je fais un autre CD.

[g3n-h@ckm@n]

re

et bien je ne vois pas d'interpol dans ces logs

[Buzz49]

C'est curieux...
Je vais t'envoyer un Imprim'écran.

[Buzz49]

Il n'a plus la page "Interpol" avec François!!!
Avant que j'y touche il ne pouvait pas lancer d'analyse avec MSE mais depuis il a pu et l'a fait.

Crois tu que le virus a pu sauter grâce à ça.

Dans ce que tu m'as fait faire je ne vois pas ce qui aurait pu détruire le virus.

Je lui ai demandé un imprime écran des défauts qu'il a.

[g3n-h@ckm@n]

tu peux lui faire faire ca déjà :

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.telecharger.sosvirus.net/dow ... ut_module/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le petit "u" en bas à droite pour le desinstaller totalement

[Buzz49]

C'est noté, je m'occupe de ça lundi.

[g3n-h@ckm@n]

ca marche

[Buzz49]

Salut G3n,

Voici enfin le rapport, j'ai fait faire la manip à mon collègue et il m'a envoyé le rapport ce soir.

Il semble que lorsqu'il lançait le logiciel, le PC, s'est coupé les deux premières fois.


http://cjoint.com/?3GDvqRjD6Yl

[g3n-h@ckm@n]

y'eu un beug faut faire une restauration avant l'utilisation de Shortcut_module