Infection Agence Nationale de la sécurité

[arnaud132]

Bonsoir
je suis de nouveau infecté:
Lorsque je rentre mon nom d'utilisateur: Une page "Agence de la sécurité des systèmes d'information Haute autorité pour la diffusion des œuvres et de la protection des droits sur internet" apparait et je ne peux plus accéder au bureau.
Cela s'est produit avec une fenêtre me demandant une mise à jour des registres Windows.

Je suis sous Vista
Je vous remercie de votre aide

Cordialement

[Malekal_morte]

Salut,

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.



[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

[arnaud132]

Bonsoir

Lorsque je lance le mode sans échec: L'ordinateur se relance et me renvoie à mon écran d'identification. Et ensuite l'ecran "Pirate" réapparait

Cordialement

[Malekal_morte]

Quelle version de Windows ?

[arnaud132]

Windows Vista

[Malekal_morte]

Tente ça, ça se fait en invite de commandes en mode sans échec, mais si le virus se lance, c'est mort.


Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recupe ... ml#p166263

Si tu es sur Windows Vista ou Windows Seven :
Lance RogueKiller en invite de commandes en mode sans échec : https://www.malekal.com/2013/05/30/wind ... ans-echec/


~~

A ce moment là on est obligés de passer par un CD Live :


Utilise le CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Lance ISO2Disc, indique le dossier où se trouve le fichier ISO du Live CD
- Indique le lecteur CD-Rom ou la clef USB selon si tu veux booter depuis le CD ou la clef USB.
- Redémarre l'ordinateur et changer la séquence de démarrage [http://forum.malekal.com/booter-sur-dvd-t9447.html] pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal

Suis ce tutorial : https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[arnaud132]

Re
Le mode sans échec ne fonctionne pas: Donc je vais passer par le live CD: Je le fais demain.

Bonne soirée

[arnaud132]

Bonsoir

J'ai crée un CD Live, puis redémarré l'ordinateur sur le CD.
J'ai lancé FRST puis le scan: Il dure environ 30 secondes.
- Un 1er message: The "FRST.txt" is saved in the same location FRST tool is run
Je clique donc sur ok
- Un 2ème message: Impossible de trouver le fichier Y:\Programmes\FRST\FRST.txt
Donc pas de rapport à envoyer

Merci pour votre aide

Cordialement

[angelique]

1. Télécharge sur le Bureau du livecd pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[arnaud132]

Bonjour

J'ai téléchargé FRST.EXE depuis un autre ordinateur.
Je l'ai copié sur le Live CD. Il apparait en précisant qu'il reste à legraver. Mais cela ne passe pas lorsque je veux le graver sur le CD avec iso2burn.
Lorsque je redémarre l'ordinateur infecté avec le live CD. Le fichier FRSR.EXE n'apparait pas. Il y a juste celui qui est à la base sur le live CD. A moins que ce soit le nouveau qui l'a remplacé?
mais lorsque je refais le scan: Le fichier text est topujours introuvable.
Merçi pour votre aide

[angelique]

Met FRSR.EXE sur le bureau du livecd et lance le scan , poste le rapport qui sera sur le bureau et qui apparraitra.

Normal si tu coupes et redémarres le livecd que FRSR.EXE n'y soit plus , vu que ç'est un livecd.

[arnaud132]

J'ai déjà un fichier FRST sur le Live CD chargé hier: Qui ne donne pas de rapport après SCAN
On est bien d'accord :j'en charge un nouveau depuis le lien indiqué à partir d'un autre ordinateur: Et pour le mettre sur le bureau c'est également sur cet ordinateur?

[angelique]

oui telecharge frst.exe pour le mettre sur le bureau du livecd et réalise le scan depuis ce frst.exe mis sur le bureau.

[arnaud132]

Voici le lien du rapport: il n'y en a qu'un.
J'ai relancé et toujours un seul rapport: FRST.txt

http://pjjoint.malekal.com/files.php?id ... z14r9f10t8

Merçi de votre aide

[Malekal_morte]

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :


HKU\arnaud\...\Winlogon: [Shell]
HKU\arnaud\...\Command Processor: "C:\Users\arnaud\Documents\47ac3d19.exe" <===== ATTENTION!
Startup: C:\Users\arnaud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dodoodfr.lnk
S2 Winmgmt; C:\ProgramData\rfdoodod.cpp [195625 2014-03-10] (Microsoft Corporation)
C:\Users\arnaud\AppData\Roaming\desktop.ini
C:\ProgramData\dodoodfr.fee
C:\ProgramData\hpothb07.dat
C:\Users\arnaud\hpothb07.dat
C:\Users\arnaud\msgrkey-237.exe


Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.