Virus interpol 2014-07-12T12:24:38+00:00

Dépannage Informatique : Virus interpol

  • Auteur
    Messages
  • Squalfie
    Participant
    Nombre d'articles : 8

    Bonjour,
    Mon Pc est infecté par le virus interpole.
    Je ne peux plus accéder à ma session Windows même en mode sans échec.

    Je possède Windows XP.
    Quelle est la procédure à suivre.
    JE vous remercie
    S-

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.


    Il va falloir passer par un liveCD pour pouvoir désinfecter le PC. Lis donc attentivement la procédure qui va suivre :

    OTLPE – Scan :

    A partir d’un PC fonctionnel :

    • Télécharge OTLPENet sur ton bureau.
    • Insère un CD vierge dans ton lecteur CD/DVD et lance OTLPENet.exe.

    Sous Windows Vista/Seven/8, clique droit sur OTLPENet.exe puis Exécuter en tant qu’administrateur

    • Une fenêtre va s’ouvrir pour te demander si tu souhaites graver le CD, clique sur le bouton Oui.
    • ImgBurn se lance et commence la gravure. Patiente.
    • Un message de réussite va apparaître : clique sur OK puis ferme les fenêtres.

    A partir du PC infecté :

    • Insère le CD dans le lecteur
    • Redémarre le PC : tu dois arriver sur un bureau REATOGO-X-PE.
    • Si ce n’est pas le cas, c’est qu’il faut changer la séquence de démarrage en suivant ce tutoriel.
    • Tu dois être en mesure d’accèder à Internet, si bien que tu peux accéder à ce sujet plus facilement.
    • Double-clique sur l’icône OTLPE.
    • A ceci, valide par Yes :

    • A ceci, sélectionne ta session et vérifie que la case Automatically Load All Remaining Users est sélectionnée puis clique sur OK :

    Si le système d’exploitation est Windows Vista, Windows Seven ou Windows 8, tu peux avoir ce message : “RunScanner Error – Target is not windows 2000 or later“, il faut donc aller et sélectionner jusqu’au dossier C:windows dans l’arborescence en dessous de Local Disk (C:).

    • Presse OK.
    • OTLPE se lance alors :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    sptd.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    cmd.exe
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %WINDIR%pss*.* /s
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    • Colle ensuite les lignes précédemment copiées dans la catégorie Custom Scans/Fixes d’OTLPE.
    • Clique sur Run Scan pour démarrer le scan.
    • Une fois le scan terminé, le rapport est sauvegardé sur ton disque dur ici : C:OTL.txt.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est donc attendu le rapport de OTLPE.

  • Squalfie
    Participant
    Nombre d'articles : 8
  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Tu n’as pas moyen de passer par un autre PC sous Windows pour effectuer la gravure ?

  • Squalfie
    Participant
    Nombre d'articles : 8

    Salut,
    J’ai pu accéder à un PC avec Windows et graver le CD.
    Sur mon PC infecté, j’ai poursuivi la procédure :

    Insère le CD dans le lecteur –> OK
    Redémarre le PC : tu dois arriver sur un bureau REATOGO-X-PE –> OK
    Si ce n’est pas le cas, c’est qu’il faut changer la séquence de démarrage en suivant ce tutoriel –> OK
    Tu dois être en mesure d’accèder à Internet, si bien que tu peux accéder à ce sujet plus facilement –> KO pas d’accès internet.
    Double-clique sur l’icône OTLPE OK[/color”>[/color]
    OTLPE me demande alors de choisir le répertoire Windows (La fenêtre qui s’affiche est celle ci : Browse for Folder)

    Je sélectionne Local disk puis OK
    J’ai le message d’erreur suivant qui s’affiche =
    Run Scanner Error : Target in not Windows 2000 or later. 😥

    Pour info, je possède Windows XP.

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    @squalfie wrote:

    Je sélectionne Local disk puis OK

    Il faut bien lire la procédure : j’ai bien mentionné ceci :

    il faut donc aller et sélectionner jusqu’au dossier C:windows dans l’arborescence en dessous de Local Disk (C:).

    Tu dois donc dérouler la rubrique Local Disk (C:) puis aller jusqu’au dossier C:windows. Là, tu sélectionnes le dossier windows puis tu valides par OK.

  • Squalfie
    Participant
    Nombre d'articles : 8

    merci
    le rapport est dispo sous le lien suivant .
    http://cjoint.com/?DGuo4BkuLKa” onclick=”window.open(this.href);return false;

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Vu que tu n’as pas accès à Internet via le PC infecté, tu vas faire ceci :

    1- OTLPE – Fix :

    A partir d’un PC fonctionnel :

    • Connecte une clef USB.
    • Télécharge la pièce jointe suivante et place-la sur la clé USB :

    [attachment=0:zp9lefxu]OTLPE.txt[/attachment:zp9lefxu]

    • Retire la clé USB.

    A partir du PC infecté :

    • Relance OTLPE.
    • Une fois OTLPE lancé, branche la clef USB contenant la pièce jointe dans le PC.
    • Rends-toi dans le menu Démarrer en bas à gauche (), puis clique sur My Computer.
    • Rends-toi ainsi dans la clef USB, ouvre le fichier OTLPE.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].
    • Colle ensuite les lignes précédemment copiées dans la catégorie Custom Scans/Fixes d’OTLPE.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Run Fix. Patiente.
    • Le PC va redémarrer : éjecte le CD pendant le redémarrage.
    • Le PC doit démarrer normalement.
    • Le rapport est sauvegardé sur ton disque dur ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    Une fois que le PC a redémarré normalement, fais ceci :

    2- OTL – Analyse :

    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    sptd.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    cmd.exe
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %WINDIR%pss*.* /s
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.



    Sont donc attendus les rapports de OTLPE et de OTL.

  • Squalfie
    Participant
    Nombre d'articles : 8

    Fichier extras : http://cjoint.com/?DGuvUOXeN9S” onclick=”window.open(this.href);return false;
    Fichier OTL : http://cjoint.com/?DGuvXzL52PY” onclick=”window.open(this.href);return false;

    Merci

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Il me faut également le rapport de OTLPE avant de poursuivre, comme je l’ai mentionné dans la procédure. 😉

  • Squalfie
    Participant
    Nombre d'articles : 8

    désolé
    OTPLE : http://cjoint.com/?DGuwz3P82qe” onclick=”window.open(this.href);return false;

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Sachant que le Ransomware qui a infecté ton PC (Interpol) a la capacité de dérober des informations personnelles :

    Tu changeras, par mesure de précaution, tes mots de passe : banque, réseaux sociaux, jeux en ligne, sites de musique etc.

    Ton PC est aussi infecté par des PUP / Adwares, qui ont les caractéristiques d’afficher des pubs intempestives, de collecter tes habitudes de navigation et d’installer des toolbars , car tu n’es pas assez vigilant(e) lors de l’installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l’installation.

    Afin d’éviter ce genre d’infections, quelques recommandations :

    En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

    Ne télécharge donc pas tes logiciels sur des sites comme Softonic ou 01.net.

    Prends connaissance de ce qui est indiqué lors de l’installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

    A lire impérativement : Stop les publicités intempestives


    Je ne vois aucun antivirus d’installé sur le PC. Une raison à cela ? Il faut impérativement en mettre un : parmi les gratuits, on peut citer les suivants :


    1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationAjouter ou supprimer des programmes :

    • Complitly (Adware)
    • Delta Chrome Toolbar (PUP)
    • Barre de Confiance (Sauf si réelle utilité)
    • WebConnect 3.0.0 (PUP)
    • zap (Adware)
    • Update for Image Editor (Adware)
    • Image Editor Packages (Adware)

    Si certains ne veulent pas se désinstaller, ce n’est pas grave, passe aux suivants.

    2- OTL – Correction :

    • Relance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d’OTL.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Correction. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Le rapport est sauvegardé ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    3- AdwCleaner – Nettoyage :

    • Télécharge AdwCleaner sur ton bureau.
    • Lance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S0].txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    4- Shortcut_Module :

    Sous Windows Vista/Seven/8, clique droit sur Shortcut_Module puis Exécuter en tant qu’administrateur

    • Patiente le temps de la vérification de mises à jour.
    • Puis clique sur le bouton Nettoyer :

    • Si l’outil détecte un proxy que tu ne connais pas, clique alors sur Supprimer le proxy.
    • Le PC va redémarrer.
    • Une fois le PC redémarré, un rapport est généré ici : C:Shortcut_Module_ Date_Heure.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Sont donc attendus les rapports de OTL, AdwCleaner et Shortcut_Module.

  • Squalfie
    Participant
    Nombre d'articles : 8

    Bonsoir,
    rapports de OTL : http://cjoint.com/?DGwaDiyw6zM” onclick=”window.open(this.href);return false;
    AdwCleaner : http://cjoint.com/?DGwaFmagJx5” onclick=”window.open(this.href);return false;
    Shortcut_Module : http://cjoint.com/?DGwaG4HlaXI” onclick=”window.open(this.href);return false;

    Merci encore pour ton investissement

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Ok pour les rapports ! 😉 On va juste faire quelques manipulations avec Shortcut_Module :

    • Appuie simultanément sur les touches Windows () et R de ton clavier.
    • Une fenêtre va s’ouvrir : dans le champ Ouvrir, tape cmd.
    • Puis clique sur OK.
    • Une fenêtre noir va s’ouvrir : colle dedans la commande suivante :

      E:Shortcut_ModuleSaveCleanERDNT.exe

    • A partir de là, tu vas valider tous les messages d’avertissements par Ok.
    • On va te demander de redémarrer le PC : accepte de suite.

    Fais ensuite ceci :

    • Relance Shortcut_Module.

    Sous Windows Vista/Seven/8, clique droit sur Shortcut_Module puis Exécuter en tant qu’administrateur

    • Patiente le temps de la vérification de mises à jour.
    • Puis clique sur le bouton
    • Le bloc-notes va s’ouvrir avec les lignes précédemment copiées : referme-le.
    • Laisse alors l’outil travailler.
    • Un rapport sera généré ici : C:Shortcut_Module_ Date_Heure.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de Shortcut_Module.

  • Squalfie
    Participant
    Nombre d'articles : 8

    Bonsoir,

    J’ai suivi le mode opératoire mais quelques pb :

    •Désactive temporairement ton antivirus : aide en images.
    A ce propos, j’ai un problème avec mon anti virus car il ne veut plus s’exécuter (anti virus Fix It Utilities d’avanquest) J’ai le message suivant :
    Le numéro de série que vous avez saisi lors de l’installation semble déjà avoir été utilisé. par conséquent, ce logiciel ne peut pas fonctionner avec ce numéro de serie.
    –> certainement du a une supression de la clé !!

    Copie toutes les lignes se trouvant au lien suivant :
    http://cjoint.com/14ju/DGwxoBGDNv3_restore.txt” onclick=”window.open(this.href);return false; –> OK

    •Relance Shortcut_Module –> OK Sous Windows Vista/Seven/8, clique droit sur Shortcut_Module puis Exécuter en tant qu’administrateur

    •Patiente le temps de la vérification de mises à jour -> OK

    •Puis clique sur le bouton –> OK

    •Le bloc-notes va s’ouvrir avec les lignes précédemment copiées : referme-le
    .
    •Laisse alors l’outil travailler.–> KO, lorsque je ferme la fenêtre, j’ai un message d’erreur : Line 14936 (file”E:Document and Settings/Pascal/Bureau/Shortcut_Module.exe”) Error : Variable used without being declared.

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Recommence la procédure, Shortcut_Module vient d’être mis à jour pour corriger l’erreur, cela devrait marcher. 😉 (le logiciel se mettra automatiquement à jour quand tu le relanceras).

  • Squalfie
    Participant
    Nombre d'articles : 8

    Bonsoir,
    Je rencontre de nouveau la même erreur avec désormais la ligne 15033 :
    •Laisse alors l’outil travailler.–> KO, lorsque je ferme la fenêtre, j’ai un message d’erreur : Line 15033 (file”E:Document and Settings/Pascal/Bureau/Shortcut_Module.exe”) Error : Variable used without being declared.

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Je remonte l’information au développeur de l’outil et reviens ensuite vers toi. 😉

    ++

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8420

    salut squalfie, prends l’outil ici :

    http://gen-hackman.ddns.net/Download/Tools/Shortcut_Module.exe” onclick=”window.open(this.href);return false;

    image : http://cjoint.com/14ju/DGAbOUWhuLZ.htm” onclick=”window.open(this.href);return false; tu devrais avoir ca dans le rapport ( enfin pas avec ce nom de dossier ^^ )

    j’ai fait une modif , on perd de plus en plus la compatibilité sur XP vu qu’il n’est plus tenu à jour
    si microsoft ne lui apporte plus ce dont il a besoin pour fonctionner correctement, nous on a de plus en plus de mal à suivre.
    seul XP avait ce message d’erreur

    désolé pour le derangement 😉

Le sujet ‘Virus interpol’ est fermé à de nouvelles réponses.