Auteur Sujet: virus adresse IP bloquée ministère intérieur  (Lu 3939 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne joch

  • Membres
  • Members
  • *
  • Messages: 4
virus adresse IP bloquée ministère intérieur
« le: décembre 28, 2012, 09:51:25 »
Bonjour à tous et merci d'avance pour votre aide

j'ai été contaminé par un virus bloquant complètement mon PC, me demandant de régler une amende de 100€ en raison d'une violation de la loi française, le tout estampillé Ministère de l'intérieur.

Je suis sous Windows 7 pro, en 32 bit.

Après quelque essais infructueux de redémarrage en mode sans échec : la fenêtre de blocage du virus était toujours présente, j'ai finalement pu lancer une restauration de mon système.

Je navigue à présent a partir de mon PC et après lecture de sujet sur ce virus, il semble que la simple restauration ne soit pas suffisante.

J'effectue en ce moment une analyse par Malwarebyte.

Merci de votre aide

Security-X

virus adresse IP bloquée ministère intérieur
« le: décembre 28, 2012, 09:51:25 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus adresse IP bloquée ministère intérieur
« Réponse #1 le: décembre 28, 2012, 13:54:05 »
Bonjour joch,

Bienvenu sur Security-X,

Tu as donc accès à ton pc en mode normal à présent ?
Si oui, nous allons vérifier et supprimer les restes de l'infection.

Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste Blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici

Note : Les rapports sont aussi enregistrés sur le bureau

Hors ligne joch

  • Membres
  • Members
  • *
  • Messages: 4
Re : virus adresse IP bloquée ministère intérieur
« Réponse #2 le: décembre 28, 2012, 14:40:58 »
Bonjour Hyunkel30 et merci pour la prise en charge du problème,

tu trouveras ci dessous les liens vers les 2 fichiers générés par OTL :
http://security-x.fr/up/file.php?h=R218ae31dcaf5e539e86dfebb9a56d384
http://security-x.fr/up/file.php?h=R87a3034dbc82ab9c7bac212e40203432

je joins également le rapport issu du scan par Malwarebytes si ceci peut être utile...
http://security-x.fr/up/file.php?h=R8ed2ca59efc6e60162ba4b3c923cf6c8

Je n'ai pour le moment supprimé aucun fichier. J'ai effectué la mise à jour de java...


Merci

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus adresse IP bloquée ministère intérieur
« Réponse #3 le: décembre 28, 2012, 14:49:44 »
Re,

Attention, tu n'avais pas lancé OTL en administrateur :
Citer
Computer Name: VAP-BSM-L006 | User Name: JonathanCh | NOT logged in as Administrator.

Pour la prochaine étape pense à bien le lancer en administrateur (c'est préciser dans la procédure)

C'est un PC professionnel ? Tu as les autorisations pour effectuer des procédures et les risques encouru sur ce pc ? (Perte de donnée, etc ? )

J'attends confirmation avant de continuer.
 :AAN

Hors ligne joch

  • Membres
  • Members
  • *
  • Messages: 4
Re : virus adresse IP bloquée ministère intérieur
« Réponse #4 le: décembre 28, 2012, 14:54:17 »
Effectivement je l'ai revu après pour le lancement en mode admin...

C'est effectivement un PC pro.... tu as raison, je pourrais demander au service IT un check complet une fois de retour, sinon, il n'y a aucune donnée stocker en interne.

J'attends ton avis avant de continuer et surtout sur les risques à continuer à l'utiliser.

Je pourrais le donner au service it d'ici 1 semaine.

merci

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : virus adresse IP bloquée ministère intérieur
« Réponse #5 le: décembre 28, 2012, 15:15:42 »
Re,

Disons que "légalement" parlant et selon les conventions des entreprises, nous n'avons pas le droit de manipuler ce système sans autorisation. Donc je préfère éviter pour toi comme pour nous.

L'infection est supprimée, il n'y a qu'un fichier restant que tu peux supprimer manuellement :
C:\ProgramData\dsgsdgdsgdsgw.pad

(Il faut faire apparaitre les fichiers cachés pour voir "programdata" )

Ne valide pas les résultat de Malwarebyte's en dehors de ce fichier car les autre lignes sont des restrictions système installées par ton entreprise !


Pour conclure :
1) Relance  OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


Il faudra aussi voir pour mettre à jour le pc, tu as été infecté car certains logiciels et plugin ne sont pas à jour.
Cependant certaines entreprises maintiennent d'ancienne version pour faire fonctionner des logiciels interne, donc vois avec eux pour les mises à jour, notamment Flash player, Java et Adobe reader, mais ils semblent à jour maintenant.



Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X
     :AAN

Hors ligne joch

  • Membres
  • Members
  • *
  • Messages: 4
Re : virus adresse IP bloquée ministère intérieur
« Réponse #6 le: décembre 29, 2012, 11:48:31 »
Merci pour l'aide apporté.

les réponses apportées sont claires et détayées, et la prise en charge trés rapide. Merci à toutes personnes animant ce forum.

Tags: