Virus ANSSI

[LarryFlette]

Bonjour à tous, je m'appelle Larry et comme un très grand nombre de gens, mon pc se retrouve aujourd'hui totalement bloqué par la cochonnerie suivante : ANSSI + la tête de notre cher président + les menottes.
J'avais déjà été touché par ce genre de virus il y a quelques temps que j'avais réussi à éradiquer mais cette fois-ci c'est différent, je m'explique :
Dès que windows XP est lancé, il ne faut pas moins de 5 sec avant que cette page totalement bloquante n'apparaisse.
En surfant sur internet, j'ai trouvé certaines informations que j'ai essayé d'appliquer mais en vain : le démarrage en mode sans échec est impossible puisqu'au moment de choisir le compte utilisateur, windows se referme seul - le démarrage avec prise en charge réseau fait de même ainsi que l'invite de commandes...
J'ai réussi une fois à lancer Roguekiller, avant le blocage, qui a commencé à trouver certaines choses que je n'ai pu noter mais avant la fin du scan, un message comme quoi Roguekiller avait rencontré un problème est apparu et du coup impossible d'aller plus loin.
J'ai également essayé de passer par le gestionnaire des tâches (quand je touche sur la touche windows de mon clavier ma barre des tâches apparaît mais je ne peux rien lancer) l'affichage restant figé sur l'image virus mais en vain aussi...
Avant de venir vous embêter, j'ai donc bien pris soin de chercher sur ce forum et j'ai trouvé certaines demandes identiques à la mienne à cela près que je n'ai pas accès à un cd vierge ni à un pc me permettant de graver mais uniquement à un autre pc qui fonctionne et à une clé usb. Le problème, c'est que j'ai beau chercher comment redémarrer mon pc en lançant Roguekiller avant que windows ne se lance en préssant la touche F8, je ne trouve pas comment faire.
Il y aurait-il une âme généreuse pour m'aider à sauver mon pc ou bien dois-je plutôt commencer à lui creuser sa tombe ?
Je tiens à signaler que je suis un âne en informatique mais que je suis prêt à suivre vos conseils avec la plus grande écoute.
Merci à tous par avance.

[Malekal_morte]

Salut,


Utilise le CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Lance ISO2Disc, indique le dossier où se trouve le fichier ISO du Live CD
- Indique le lecteur CD-Rom ou la clef USB selon si tu veux booter depuis le CD ou la clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.

[LarryFlette]

Bonjour et tout d'abord merci pour ton aide, voici ce que j'obtiens :

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 04/09/2014 09:29:13
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 15 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\2992199F9A\qmr0h20.cpp [-]) -> TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS003\[...]\Parameters : ServiceDll (C:\DOCUME~1\ALLUSE~1\APPLIC~1\2992199F9A\qmr0h20.cpp [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 2 ¤¤¤
[Brian][SUSP PATH] 02h0rmq.lnk : C:\Documents and Settings\Brian\Menu Démarrer\Programmes\Démarrage\02h0rmq.lnk @X:\Windows\System32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\299219~1\qmr0h20.cpp,work [-][-][-] -> TROUVÉ
[Manuport][SUSP PATH] 02h0rmq.lnk : C:\Documents and Settings\Manuport\Menu Démarrer\Programmes\Démarrage\02h0rmq.lnk @X:\Windows\System32\rundll32.exe C:\DOCUME~1\ALLUSE~1\APPLIC~1\299219~1\qmr0h20.cpp,work [-][-][-] -> TROUVÉ

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SYSTEM
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SOFTWARE
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SECURITY
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\SAM
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\windows\system32\config\DEFAULT
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Brian\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Brian\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Default User\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\LocalService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\Manuport\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\Manuport\Menu Démarrer\Programmes\Démarrage
-> C:\Documents and Settings\NetworkService\NTUSER.DAT
C:\WINDOWS\system32
C:\Documents and Settings\NetworkService\Menu Démarrer\Programmes\Démarrage

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] c3b2622c6f646be401a2261793e6d782
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76285 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] fe7fecebf039aae8f256a9ecab2b4346
[BSP] f6eca64e135a202b1ced04c632f522e1 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 128 | Size: 7644 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_04092014_092913.txt >>

Je viens de relancer mon pc et visiblement tout semble refonctionner normallement. Dois-je encore faire autre chose ?

Merci

[Malekal_morte]

Bonne nouvelle.
Un petit scan Malwarebytes pour voir si y a des PUPs et autres :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

[LarryFlette]

Bonjour et un très grand merci, ai appliqué à la lettre tes conseils et tout refonctionne, alors merci et encore merci !

[Malekal_morte]

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité :

• Google Chrome (paragraphe Plugin) : https://www.malekal.com/2013/01/14/secu ... le-chrome/
• Internet Explorer (paragraphe plugin Jav) : https://www.malekal.com/2010/11/12/secu ... xplorer-2/
• Firefox : https://www.malekal.com/securiser-le-na ... firefox-2/

~~

Désactive Java de tes navigateurs WEB : http://www.commentcamarche.net/faq/3562 ... ateurs-web

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html