[RESOLU] Virus Police nationale ANSSI WinXP

[sevyj-46]

Bonjour,

Mon ordinateur, qui fonctionne sous Windows XP (crystal, SP2), vient d'être infecté par le virus "agence nationale de la sécurité des services d'information", celui qui met en marche la webcam. Je sais que beaucoup ont déjà eu ce genre d'infection, j'ai fait des recherches sur internet et sur ce forum mais j'ai l'impression que personne n'a exactement le même problème que moi. Et comme je ne suis pas très compétente en informatique, je n'ose pas non plus faire quoique ce soit sans demander avant..
Au sujet du virus, la page occupe tout le bureau ; le menu démarrer est disponible mais évidemment quand on ouvre quelque chose tout se retrouve derrière la "page du virus". J'ai essayé de démarrer en mode sans échec, en mode sans échec avec prise en charge réseau et en invite de commandes en mode sans échec, mais à chaque fois, l'ordinateur redémarre. La console de récupération est disponible aussi mais je ne sais pas si ça peut servir.

Si quelqu'un peut m'aider, je lui en serais très reconnaissante.

Merci d'avance.

[angelique]

mouai enfin xp crystal truc (meme pas une version officiel) et SP2 en plus ça craint quand meme beaucoup !



Depuis un PC fonctionnel:

 telecharge et dezippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip et CD_Live_Malekal > https://www.malekal.com/CD_Live/download.php > https://www.malekal.com/CD_Live/CD_Live_Malekal.iso

 Avec l'onglet "browse" de BurnCDCC, sélectionne CD_Live_Malekal.iso

 coche alors "read verify" , "Finalyze" et "autoeject"

 déplace sous speed le curseur pour le mettre à 32X ou moins pour réussir la gravure , insere un cd vierge et clic start

• demarrer sur le cdrom crée de CD_Live_Malekal sur le PC à probleme, voir exemple: http://forum.malekal.com/booter-sur-dvd-t9447.html

1. Télécharge sur le Bureau du livecd pas ailleurs FRST.EXE:
   
   
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[sevyj-46]

Merci pour la réponse.

J'ai bien suivi toutes les étapes. Par contre il n'y a pas de rapport Addition.txt...
Pour l'autre, voici le rapport :

http://pjjoint.malekal.com/files.php?id ... 8b8w9i7p14

[angelique]

• Depuis le livecd, supprime ces fichiers:
  
  C:\Documents and Settings\All Users\Application Data\2992199F9A\6jko8rfr.cpp
  
  supprime meme le dossier C:\Documents and Settings\All Users\Application Data\2992199F9A
  
  C:\Documents and Settings\HP_Propriétaire\fvqtik.exe
  
  C:\Documents and Settings\HP_Propriétaire\inlcxx.exe
  
  C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\EAD5.exe
• Redémarre sur Ѡindows, il va demarré, mais y'a d'autre manip pour completement résoudre ton souçis.
• Télécharge RogueKiller 32 Bits_system > http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe -- ou 64 Bits_System > http://www.sur-la-toile.com/RogueKiller ... lerX64.exe sur ton Bureau et renomme le dans la fenêtre de téléchargement par winlogon
  
  
  
  
  
  » execute le option suppression apres scan .... le rapport est sauvé sur ton bureau << poste le
• ☣ Faire Adwcleaner , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.

[sevyj-46]

J'ai téléchargé RogueKiller avec le lien donné mais il plante pendant le scan.
Que faire ?

[Malekal_morte]

Décoche MBR et drivres en bas à droite avant de lancer un scan.

[sevyj-46]

Merci. Voilà les rapports :

RogueKiller :
http://pjjoint.malekal.com/files.php?id ... 0s9i12d7h5

Adwcleaner :
http://pjjoint.malekal.com/files.php?id ... 7x7d9p12l6

[angelique]

ca doit être bon

• relance adwcleaner et clic desinstaller, l'outils etant régulierement mis à jour, il est mieux de le retelecharger à chaque utilisation
• suprrime frst.exe, ses rapports et c:\FRST , ainsi que RogueKiller , ses rapports et son dossier de quarantaine RKQuarantine.
• Il faut lire ces instructions sinon ça reviendra !!!!
  
  
  
  
  Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!
  
  
  Pour ne plus te faire avoir.
  A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
  
  Donc FireFox + Adblock + Noscript
  
  • Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/
  
  • Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/
  
  Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock
  
  
  
  List FR + EasyList << à mettre à jour regulièrement ainsi que les autres
  
  
  
  
  
  NOTE POUR Adblock :
  Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
  Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
  Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.
  
  
  
  • Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/
  
  Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

[sevyj-46]

Oui ça a l'air bon J'ai bien supprimé comme demandé.
Et j'ai suivi toutes vos recommandations !

Merci beaucoup pour votre aide !!