Auteur Sujet: Virus: Ministere de l'Interieur aussi en Mode SE  (Lu 5174 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Virus: Ministere de l'Interieur aussi en Mode SE
« le: janvier 09, 2013, 20:37:11 »
Bonjour a tous,

J'ai pris le soin de lire les différents topic concernant ce virus avant de poster.
J'ai contracté ce virus ce matin avec une grande colere, j'avaias entendu parlé de ce "cancer informatique" et me voila a mon tour dans le vif du sujet.

Aprés avoir lu d'innombrable forums en tout genre, on revient toujours au fameux "c'est facile, passes en mode sans echec et hop tu installes l'anti-uKash et le tour est joué".
Mais pour ma part meme en mode sans echec j'ai mon desktop qui se remplace par le uKash...

Je suis en Win XP Pro 32 avec Antivirus NOD32 certifié.

Dois-je aussi faire le test OTLPENet ? Et si oui, est ce que je peux le créer a partir d'un Mac (d'ou je poste ce message) ?

J'aoue etre depassé par ce probleme, c'est la premiere fois que j'arrive pas a me debarraser d'une telle merde...

Cordialement,
MisterCN


Security-X

Virus: Ministere de l'Interieur aussi en Mode SE
« le: janvier 09, 2013, 20:37:11 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #1 le: janvier 09, 2013, 21:04:23 »
Bonjour,

En effet, si le système est bloqué aussi en mode sans échec, il faut analyser avec un LiveCD et analyser avec OTLPE.

Je ne connais pas les Mac, mais du moment que tu peux télécharger le fichier et graver sur CD, cela devrait fonctionner.
Sinon, aller chez une connaissance pour télécharger le fichier et graver le CD, à partir de n'importe quel Windows.

C'est un PC Professionnel ? géré par un administrateur réseau d'entreprise ?

1) Préparation du Live CD Reatogo :

  • Depuis un PC sain, peu importe son système d'exploitation, télécharge OTLPENet.exe et enregistre-le sur le Bureau.
    Le téléchargement du fichier (121 Mo) peut prendre du temps selon ton débit Internet
  • Insère un CD vierge dans le lecteur/graveur CD/DVD et double-clique sur OTLPENet.exe
    Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Valide par Oui à la demande de gravure du CD

  • Patiente le temps de la décompression. ImgBurn se lance et grave le CD automatiquement
  • Un message de réussite doit apparaître. Clique sur OK et referme les fenêtres.
2) Utilisation de OTLPE :

  • Insère le CD Reatogo dans le lecteur du PC infecté et démarre sur le lecteur
  • L'environnement Reatogo démarre

  • Le système d'exploitation du CD se charge en mémoire. Patiente, cela peut prendre plusieurs minutes

Le Bureau REATOGO-X-PE apparaît

  • Si besoin, tu devrais avoir ta connexion Internet active et pouvoir te connecter sur le forum
  • Double-clique sur l'icône OTLPE
  • Clique sur Oui pour Do you wish to load Remote user profile(s) for scanning ?

  • Sélectionne ta session, vérifie que Automatically Load All Remaining Users soit coché et clique sur OK

    Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
  • OTLPE s'ouvre

  • Copie-colle sous Custom Scans/Fixes l'intégralité de ce qui suit
netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
  • Clique ensuite sur Run Scan et patiente le temps du scan
  • Le rapport OTL.txt s'affiche
  • Le rapport étant trop long pour le forum, héberge-le sur ce site d'hébergement de fichiers et indique le liens fourni dans ta réponse.
    Le rapport est sauvegardé sous My Computer -> C:\OTL.txt.
@+
« Modifié: janvier 09, 2013, 21:08:07 par chantal11 »
 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #2 le: janvier 09, 2013, 23:00:01 »
Bonjour je suis sous le LiveCD

Voici le lien du rapport > http://security-x.fr/up/file.php?h=Rc624cc435bc01f2981a89aad3424aef4

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #3 le: janvier 09, 2013, 23:48:18 »
Re,

Des extensions/plugins comme Java, Flash Player, Adobe Reader qui ne sont pas à jour représentent des failles de sécurité très exploitées par les malwares et notamment le Virus Gendarmerie/Ministère de l'Intérieur.
On s'en occupera par la suite.

Démarre sur le CD Reatogo et relance OTLPE comme indiqué précédemment.

  • sous Custom Scans/Fixes (Personnalisation), copie-colle le contenu du script ci-dessous
:OTL
SRV - [2013/01/08 16:12:59 | 000,175,880 | ---- | M] (Корпорация Майкрософт) [Auto] -- C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe -- (winmgmt)
IE - HKU\Maxime_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.ask.com/?l=dis&o=14597
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=030112_ncp3&babsrc=KW_ss&mntrId=b01f9cc100000000000000241d66b225&q="
[2012/08/03 06:39:32 | 000,002,322 | ---- | M] () -- C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\qozz47kl.default\searchplugins\askcom.xml
[2012/04/20 12:49:00 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [_nltide_2]  File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [_nltide_2]  File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [_nltide_2]  File not found
NetSvcs: winmgmt - C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe (Корпорация Майкрософт)
SafeBootMin: WinMgmt - C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe (Корпорация Майкрософт)
SafeBootNet: WinMgmt - C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe (Корпорация Майкрософт)
[2013/01/08 16:12:59 | 000,175,880 | ---- | C] (Корпорация Майкрософт) -- C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2013/01/09 13:53:30 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad
[2013/01/08 16:13:01 | 000,002,980 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js
[2013/01/08 16:13:01 | 000,000,786 | ---- | M] () -- C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\Démarrage\runctf.lnk
[2013/01/08 16:12:59 | 000,175,880 | ---- | M] (Корпорация Майкрософт) -- C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe
[2012/10/05 10:50:58 | 000,101,376 | ---- | C] () -- C:\WINDOWS\pqujjxjq.exe
[2012/10/05 10:50:57 | 000,101,376 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\pqujjxjq.exe
[2012/10/05 10:50:47 | 000,082,858 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\xvesaprtfbsxjlg
[2012/10/05 10:50:44 | 000,101,376 | ---- | C] () -- C:\Documents and Settings\Maxime\0.07373748076995379.exe
[2012/10/05 10:51:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ufgpbozehirqoec

:files
C:\Documents and Settings\Maxime\wgsdgsdgdsgsd.exe
  • Clique ensuite sur le bouton Run Fix (Correction) et patiente le temps de la correction
  • Le rapport C:\_OTL\MovedFiles\********_******.log s'affiche. Il est sauvegardé sous My Computer -> C:\_OTL\MovedFiles\********_******.log
  • Poste le rapport dans ta prochaine réponse
Redémarre ensuite ton PC en mode normal Windows.

Est-ce que tu as accès à ta session ?

@+
« Modifié: janvier 10, 2013, 00:35:49 par chantal11 »
 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #4 le: janvier 10, 2013, 00:17:50 »
Chere Chantal11

Un grand merci pour m'avoir aidé
Je viens de récupérer ma session Windows, il semble fonctionner "normalement"
Cependant, mon gestionnaire de processus n'est il pas plein "d'intrus" en tout genre suite a ce virus ?
Pourquoi ai-je vu du cyrillique dans votre custom/fix log ?


Cordialement,
Max

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #5 le: janvier 10, 2013, 00:38:55 »
Re,

Citer
Je viens de récupérer ma session Windows, il semble fonctionner "normalement"

OK, mais ce n'est pas terminé, on va continuer maintenant sous Windows en mode normal.

Citer
Pourquoi ai-je vu du cyrillique dans votre custom/fix log ?

C'est du Russe, je pense ..... mais justement, je voudrais le rapport du custom/fix comme indiqué dans ma procédure
Le rapport C:\_OTL\MovedFiles\********_******.log s'affiche. Il est sauvegardé sous My Computer -> C:\_OTL\MovedFiles\********_******.log

Poste-le dans ta prochaine réponse.

Ensuite, fait ce qui suit :

---------------------------------------------------------------------------------------------

  Malwarebyte's Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Nous mettrons ensuite à jour les plugins/extensions à risque.

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • mbam-log[date-heure].txt
  • AdwCleaner(S).txt
@+

 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #6 le: janvier 10, 2013, 21:46:40 »
Bonjour Chantal11,

Voici comme tu me l'a demandé :

Rapport OTL: http://security-x.fr/up/file.php?h=R778fcf0b43e6f9e705907d77a2c51951
Rapport MLWB: http://security-x.fr/up/file.php?h=R62f581c8ac6dbbc3bafa958cd9cdb38b
Rapport ADWC: http://security-x.fr/up/file.php?h=R391c07bb3aebd282ed0113a051321160

Merci encore pour ton aide , dis moi s'il y a d'autres soucis ,
Cordialement,
Max

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #7 le: janvier 10, 2013, 22:12:24 »
Bonsoir,

Merci pour les rapports.

Comment se comporte le système maintenant ?

---------------------------------------------------------------------------------------------

  Désinstalle Java(TM) 6 Update 23 et Java(TM) 6 Update 24 et Java(TM) 6 Update 30, ainsi que toute ancienne version Java, via Panneau de configuration -> Ajout/Suppression de Programmes.

Installe la dernière version Java 7 Update 10
http://www.java.com/fr/download/

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport SX Check&Update

@+

 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #8 le: janvier 10, 2013, 22:34:32 »
Bonsoir,

Mon système semble "bien marcher", pas de lenteur apparente, pas de comportement bizarre.

Voici le rapport SXCU :

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows XP 32 bits
Service Pack : 3
UserName : Maxime
10/01/2013
22:29:42
version = v0.3.0 
---
Windows Update Information :
AUOptions : 2
Notify Download and Install
---
Name : Adobe Acrobat 8.1.3 Professional
Version : 8.1.3
Adobe Reader n'est pas à jour!
Name : FlashPlayer ActiveX 
Version : 11.5.502.146
Flash Player ActiveX  est à jour

Name : FlashPlayer Plugin FF
Version : 11.5.502.146
Flash Player Plugin FF est à jour

Name : FlashPlayer Plugin
Version : 11.5.502.146
Flash Player Plugin est à jour

Nom : Mozilla Firefox 17.0.1 (x86 fr)
   Version : 17.0.1

Java Information :
   Nom : Java 7 Update 10
   Version : 7.0.100
Java 7 Update 10 est à jour

Name : Adobe Acrobat 8 Professional - English, Français, Deutsch
Version : 8.1.3
Adobe Reader n'est pas à jour!
Name : Adobe Reader 8 - Français
Version : 8.0.0
Adobe Reader n'est pas à jour!
Nom : Adobe Photoshop CS3
Version : 10
Adobe Reader n'est pas à jour! (10.1.5)

Name : Adobe PDF Library Files
Version : 8.0
Adobe Reader n'est pas à jour!
Nom : Internet Explorer
   Version : 8.0.6001.18702


Cependant j'ai toujours une 40aines de processus dans mon gestionnaire des taches, est ce que je dois faire un HiJack ?

Cordialement,
Max

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #9 le: janvier 10, 2013, 22:55:55 »
Re,

Mets à jour Firefox, télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

---------------------------------------------------------------------------------------------

  TDSSKiller :

  • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
  • Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
    Il faut le valider en cliquant sur Reboot now.
  • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.
  • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
  • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
  • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
    • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
    • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
    • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
    • Si Suspicious object est indiqué, l'option Skip soit cochée
  • Clique ensuite sur Continue, puis clique sur Reboot computer
  • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
Tutoriel d'utilisation TDSSKiller en images

---------------------------------------------------------------------------------------------

Est attendu le rapport TDSSKiller.Version_Date_Heure_log.txt

@+

 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #10 le: janvier 10, 2013, 23:06:32 »
FF mis a jour en 18.0

Par contre pour l'utilitaire Kaspersky, ca va etre un peu dure, car j'ai un ordi qui est capricieux sur les reboots après installation de log, il est plutôt "éteindre le système" puis "redémarrer" ...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #11 le: janvier 10, 2013, 23:12:47 »
Re,

Citer
j'ai un ordi qui est capricieux sur les reboots après installation de log, il est plutôt "éteindre le système" puis "redémarrer" ...

Je ne comprends pas bien ce que tu veux dire ?
Il s'éteint au lieu de redémarrer et tu dois le redémarrer manuellement, c'est ça ?

 

Hors ligne mistercn

  • Membres
  • Members
  • *
  • Messages: 7
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #12 le: janvier 11, 2013, 13:05:47 »
Non en fait mon ordi ne reboot pas toujours bien.
Il est préférable que j’éteigne manuellement puis que je rallume ensuite.
Et vu qu’apparemment ton logiciel fait un reboot automatique je pense que ca risque de foirer la manipulation...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23550
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Virus: Ministere de l'Interieur aussi en Mode SE
« Réponse #13 le: janvier 11, 2013, 14:07:06 »
Bonjour,

Ce sera pareil pour n'importe quel autre outil qui a besoin d'un redémarrage pour finaliser la suppression éventuelle d'éléments trouvés.

Tente-le, tu verras bien, au besoin tu redémarres manuellement.

@+

 

Tags: