Security-X

Forum Security-X => Désinfections => Discussion démarrée par: tsointsoin01 le septembre 07, 2012, 20:23:35

Titre: [Resolu] virus police nationale
Posté par: tsointsoin01 le septembre 07, 2012, 20:23:35

Bonjour, voilà j'ai un petit énorme souci.

J'ai attrapé ce virus aujourd'hui Et je suis entièrement bloqué. Je suis sur un portable, un ASUS. Les commandes ALT ne marche pas, ni le mode sans échec. Je me suis renseigné, j'ai pris OTL quelque chose que j'ai mis sur une clé USB en mode BOOT. Hélas quand le logiciel s'active, un écran bleu apparait (windows shut down, quelque chose comme ça). quoi faire ?

D'autant que j'ai un CD de boot windows seven mais que demain (d'ailleurs, est-ce suffisant ? pour restaurer le système). Et j'avais besoin des fichiers aujourd’hui. Que faire ?

en vous remerciant.

Titre: Re : virus police nationale
Posté par: hyunkel30 le septembre 07, 2012, 21:14:47

Bonsoir,

Nous allons regarder cela, on va te faire passer par un liveCD, j'espère que tu as un cd vierge sous le coude, en même temps tu pourras récupérer les dossiers/fichiers voulu en branchant une clé usb une fois démarré sur le liveCD :

Télécharge OTLPEnet (http://oldtimer.geekstogo.com/OTLPENet.exe) sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

• Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
• Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
• Patiente le temps de la décompression et de la gravure du CD.

• Passe sur le PC bloqué/infecté
• Modifie l'ordre de Boot (http://www.inforumatique.fr/forum/acceder-au-bios-pour-changer-l-ordre-de-boot-t2299.html) pour démarrer sur le CD
• Redémarre ton PC en utilisant le LiveCD venant d'être créé.
• Ton système doit montrer un bureau REATOGO-X-PE

Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

• Double-clique sur l'icône OTLPE
• Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
• Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

• L'outil OTL doit se lancer maintenant.
• Copie-colle ceci sous "Custom Scan/Fix"

Code: [Sélectionner]

netsvcs
msconfig
drivers32
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles

• Presse Run Scan pour démarrer le scan.
• Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
• Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.

Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

Titre: Re : virus police nationale
Posté par: tsointsoin01 le septembre 07, 2012, 21:36:15

Désolé, le problème est résolu. J'ai choisit ligne de commande en mode sans échec. Et j'ai tapé eplorer.exe (pas de point de restauration...bizarre tout de même). Bref, je suis rentrer dans l'explorer (wouaaaaaaaaaah). Alors qu'en utilisant le simple mode sans échec, ce n'était pas possible (je ne cherche pas à comprendre). j'ai installé roguekiller, et j'ai put tout nettoyer.

Désolé de vous avoir fait perdre votre temps pour me répondre. Mais au moins, si certaine personne sont comme, dans l’impossibilité d'utiliser le mode normal et le mode sans échec que la restauration n'est pas possible. Il reste quand même un moyen.

Les lignes de commande DOS, je n'ai pas touché depuis l'époque des disquettes.

Titre: Re : virus police nationale
Posté par: hyunkel30 le septembre 07, 2012, 21:45:09

Re,

J'aimerais quand même si tu le souhaites vérifier l'absente d'infection, de plus cette variante peut crypter certain fichiers, as-tu vérifier que tu as accès à tous tes documents ?

Merci de faire ceci :

Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
• Coche en haut la case devant "Tous les utilisateurs"
• Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

Code: [Sélectionner]

netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
/md5stop
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%systemdrive%\$Recycle.Bin|@;true;true;true
%systemroot%\Installer|@;true;true;true
C:\Windows\assembly\tmp\U\*.* /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

• Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]

Note : Les rapports sont aussi enregistrés sur le bureau

Titre: Re : virus police nationale
Posté par: tsointsoin01 le septembre 08, 2012, 11:33:37

Voilà le rapport :  http://pjjoint.malekal.com/files.php?id=20120908_n13v11l7g8x5

Merci encore, c'est très gentil à vous.

Titre: Re : virus police nationale
Posté par: hyunkel30 le septembre 08, 2012, 13:59:50

Re,

Tu as des adwares sur ce pc (logiciels publicitaires), et il n'est pas à jours, c'est pour cela que tu as été infecté et que tu aurais encore été infecté, donc on le fera en fin de procédure.


Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

• Double-clique sur adwcleaner0.exe pour lancer le programme.
  (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
  
  
• Dans la fenêtre principal, choisis l'option Suppression.
  
• Valide l'avertissement.
• Si le pc demande à redémarrer, accepte.
• Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
  
  
  2) Relance  OTL.exe
  
  
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
  
  
  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
  
  
  Code: [Sélectionner]
  
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKU\S-1-5-21-680346824-354963288-3584269099-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?babsrc=HP_ss&mntrId=ec9aacbc0000000000000625d3cd7106
IE - HKU\S-1-5-21-680346824-354963288-3584269099-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-680346824-354963288-3584269099-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKU\S-1-5-21-680346824-354963288-3584269099-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch&babsrc=SP_ss&mntrId=ec9aacbc0000000000000625d3cd7106
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "http://isearch.babylon.com/?babsrc=adbartrp&babsrc=SP_ss&mntrId=ec9aacbc0000000000000625d3cd7106&q="
[2012/04/03 11:31:32 | 000,002,298 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011/10/19 17:42:01 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O3 - HKU\S-1-5-21-680346824-354963288-3584269099-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2012/04/03 11:31:28 | 000,000,000 | ---D | M] -- C:\Users\Guillaume\AppData\Roaming\Babylon
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F

:Commands
[emptytemp]


  
  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
  
  Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
  
  /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Titre: Re : virus police nationale
Posté par: tsointsoin01 le septembre 08, 2012, 15:47:58

Voila pour ADWcleaner :
 http://pjjoint.malekal.com/files.php?id=20120908_y8d1214e10i8

Et voilà pour OTL :
http://pjjoint.malekal.com/files.php?id=20120908_q15v108x13j9

Je reste toujours admiratif devant le talent pour y voir clair dans ces lignes de commandes.

Titre: Re : virus police nationale
Posté par: hyunkel30 le septembre 08, 2012, 19:50:56

Re,

On nettoie les outils, et on va mettre à jour le pc afin d'éviter une nouvelle infection.

1) Désinstalle AdwCleaner :

• Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
  (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  
• Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
  
  
• Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
  
  
  2) Relance  OTL.exe[/color]
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Clique sur "Purge d'outils"
  
• Valide l'avertissement par "ok" et laisse le pc redémarrer.
  
  
  3) Purge de la restauration système :
  
  Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
  
  Vista/7 :
  http://www.inforumatique.fr/forum/post82670.html#p82670
  
  
  4) Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
  
  
• Lance SXCU.exe en double-cliquant dessus.
  (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  
  
• Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 . Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update
  
  
• Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
  Pense à supprimer si elle existe encore les anciennes versions dans ta liste des programme : Java 6 Update 22 et Java 6 Update 29
  
  
• Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
  Pense à supprimer si elle existe encore les anciennes versions dans ta liste des programme : Adobe Reader 9.0
  
  
• Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.   
  
  
  Ferme le programme via "Quit"
  Tu peux supprimer SXCU.exe.
  
  
  
  Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
  
  
• Attention lors de l'installation de logiciel :
  Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
  A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
  
  
• Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
  
  
• Maintenir ses logiciels et son système à jour :
  De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
  Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
  
  Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
  A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
  Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
  
  
  
  
  Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
  -> Ajoute ensuite "résolu" à coté de ton titre et valide.
  
  A bientôt sur Security-X
   :AAN