Security-X
Forum Security-X => Désinfections => Discussion démarrée par: joch le décembre 28, 2012, 09:51:25
-
Bonjour à tous et merci d'avance pour votre aide
j'ai été contaminé par un virus bloquant complètement mon PC, me demandant de régler une amende de 100€ en raison d'une violation de la loi française, le tout estampillé Ministère de l'intérieur.
Je suis sous Windows 7 pro, en 32 bit.
Après quelque essais infructueux de redémarrage en mode sans échec : la fenêtre de blocage du virus était toujours présente, j'ai finalement pu lancer une restauration de mon système.
Je navigue à présent a partir de mon PC et après lecture de sujet sur ce virus, il semble que la simple restauration ne soit pas suffisante.
J'effectue en ce moment une analyse par Malwarebyte.
Merci de votre aide
-
Bonjour joch,
Bienvenu sur Security-X,
Tu as donc accès à ton pc en mode normal à présent ?
Si oui, nous allons vérifier et supprimer les restes de l'infection.
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Coche "Avec liste Blanche" sous "Registre: approfondi"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Bonjour Hyunkel30 et merci pour la prise en charge du problème,
tu trouveras ci dessous les liens vers les 2 fichiers générés par OTL :
http://security-x.fr/up/file.php?h=R218ae31dcaf5e539e86dfebb9a56d384
http://security-x.fr/up/file.php?h=R87a3034dbc82ab9c7bac212e40203432
je joins également le rapport issu du scan par Malwarebytes si ceci peut être utile...
http://security-x.fr/up/file.php?h=R8ed2ca59efc6e60162ba4b3c923cf6c8
Je n'ai pour le moment supprimé aucun fichier. J'ai effectué la mise à jour de java...
Merci
-
Re,
Attention, tu n'avais pas lancé OTL en administrateur :
Computer Name: VAP-BSM-L006 | User Name: JonathanCh | NOT logged in as Administrator.
Pour la prochaine étape pense à bien le lancer en administrateur (c'est préciser dans la procédure)
C'est un PC professionnel ? Tu as les autorisations pour effectuer des procédures et les risques encouru sur ce pc ? (Perte de donnée, etc ? )
J'attends confirmation avant de continuer.
:AAN
-
Effectivement je l'ai revu après pour le lancement en mode admin...
C'est effectivement un PC pro.... tu as raison, je pourrais demander au service IT un check complet une fois de retour, sinon, il n'y a aucune donnée stocker en interne.
J'attends ton avis avant de continuer et surtout sur les risques à continuer à l'utiliser.
Je pourrais le donner au service it d'ici 1 semaine.
merci
-
Re,
Disons que "légalement" parlant et selon les conventions des entreprises, nous n'avons pas le droit de manipuler ce système sans autorisation. Donc je préfère éviter pour toi comme pour nous.
L'infection est supprimée, il n'y a qu'un fichier restant que tu peux supprimer manuellement :
C:\ProgramData\dsgsdgdsgdsgw.pad
(Il faut faire apparaitre les fichiers cachés (http://www.chantal11.com/2009/04/afficher-les-fichiers-caches-systeme-windows-7-vista/) pour voir "programdata" )
Ne valide pas les résultat de Malwarebyte's en dehors de ce fichier car les autre lignes sont des restrictions système installées par ton entreprise !
Pour conclure :
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Il faudra aussi voir pour mettre à jour le pc, tu as été infecté car certains logiciels et plugin ne sont pas à jour.
Cependant certaines entreprises maintiennent d'ancienne version pour faire fonctionner des logiciels interne, donc vois avec eux pour les mises à jour, notamment Flash player, Java et Adobe reader, mais ils semblent à jour maintenant.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Merci pour l'aide apporté.
les réponses apportées sont claires et détayées, et la prise en charge trés rapide. Merci à toutes personnes animant ce forum.