Votre question

[Resolu] Systeme bloqué sur fausse page du FEDERAL CRIME UNIT

Tags :
  • Malware
  • Ordinateur
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Avril 2012 16:21:34

Bonjour,

Suite à une attaque virale (malware ?), mon système a été bloqué sur fausse page du FEDERAL CRIME UNIT au prétexte de téléchargement/consultation de contenu pédo-pornographique, d'activité illicite à caractère financier et j'en passe avec la menace de voir le contenu de mon disque dur détruit si je ne m'acquittait pas d'une amende de 100 Eur via divers moyens de paiements électroniques en liens...
Je n'ai pas obéi vous pensez bien comme beaucoup d'autres internautes ayant connu la même mésaventure mais j'ai passé quelques heures à débloquer l'ordinateur et en définitive il a fallu que je répare XP à l'aide de mon CD d'installation XP SP1 puis réinstaller SP3.
Si je suis délivré de l'emprise de cette attaque, je crains que mon PC soit toujours sous l'emprise d'un malware ou autre, les pages web s'affichent avec un décalage jamais connu jusqu'à présent.

Quelqu'un peut m'en dire davantage sur la manière de procéder pour "extirper" l'intru que je ne localise pas (même après intervention de Malware Byte's et Hijackthis dernières versions) et nettoyer la base de registre éventuellement.

Certes mon antivirus n'est pas à jour, je suis en train d faire le nécessaire :/ 

Merci pour votre aide, je crois n'être pas la seule cible de cette attaque en Belgique :??: 

DC001

Autres pages sur : resolu systeme bloque fausse page federal crime unit

a c 614 8 Sécurité
10 Avril 2012 18:56:11

Bonjour,

Si tu as réparé Windows, normalement le plus gros de l'infection a été supprimée

Pour information, tu as été infecté car ton pc n'était pas à jour !
Ceci vaut Windows mais surtout pour Flash player, java et/ou adobe reader

On va regarder s'il reste quelque chose :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    11 Avril 2012 01:23:06

    hyunkel30 a dit :
    Bonjour,

    Si tu as réparé Windows, normalement le plus gros de l'infection a été supprimée

    Pour information, tu as été infecté car ton pc n'était pas à jour !
    Ceci vaut Windows mais surtout pour Flash player, java et/ou adobe reader

    On va regarder s'il reste quelque chose :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


  • =======================================

    Bonjour hyunkel30,

    Merci pour cette réaction plus que rapide, difficile de faire mieux !

    Compliment pour la page d'aide d'utilisation des services automatiques d'upload d'analyse.

    Voici le lien vers le rapport d'analyse, pas de fichier Extras.Txt généré avec OLT.exe version 3.2.39.2 bien que j'aie personnalisé l'analyse comme indiqué (?!)

    Que faut-il comprendre par mise à jour de Flash player, java et/ou Adobe reader ?
    Justement, un message s'affiche de temps en temps concernant la mise à jour de Flash player à l'ouverture de Mozilla, j'évite de télécharger cette mise à jour non demandée (spam ?).

    J'ai eu du mal pour réinstaller le driver de la carte son intégrée à ma CM (installation d'un driver non conforme, plantage, cluster tronqués lors de l'analyse des DD au redémarrage, refus de désinstallation du driver son inadéquat) mais pour finir, la bonne version du driver trouvée, tout apparait en ordre de fonctionnement dans le gestionnaire de périphérique.

    A noter aussi que msinfo32.exe (Info système) ne fonctionne plus sans doute parce que Everest Info System a été installé.

    J'ai décoché l'exécution automatique de différents services et applications qui me semblaient suspects avec msconfig.exe, il en reste encore quelques uns qui devraient peut-être l'être et d'autres à réactiver ?

    La temporisation lors du chargement des pages est agaçante et me fait craindre un rootkit, j'espère qu'il n'en est rien.

    Quid du nettoyage de la base de registres (RegCleaner) ? Ca m'a l'air très chargé...
    Je n'ai fait que réparer XP pas vraiment réinstallé (excepté SP3 après coup), tous les programmes fonctionnent toujours (excepté WMP que j'ai désinstallé mais pas les codecs, VLC le remplace) sans devoir les réinstaller contrairement à ce qui se passe après une réinstallation de Windows classique. La base de registre n'est pas remise à neuf je pense.

    Je m'occupe de mettre à jour mon KIS comme dit précédemment.

    Merci encore pour votre support. ;) 

    DC001
    a c 614 8 Sécurité
    11 Avril 2012 09:26:37

    Re,

    Alors plusiseurs problèmes avant de poursuivre :

    - Soit tu as exécuté plusieurs fois OTL, soit tu l'avais déjà utilisé, donc le rapport Extra.txt n'a pas été généré.
    - Le rapport OTL.txt est illisible, héberge-le sur ce site pour voir : http://www.cjoint.com/

    Citation :
    Que faut-il comprendre par mise à jour de Flash player, java et/ou Adobe reader ?
    Justement, un message s'affiche de temps en temps concernant la mise à jour de Flash player à l'ouverture de Mozilla, j'évite de télécharger cette mise à jour non demandée (spam ?).


    Normalement Flash Player invite à la mise à jour à l'ouverture du pc, Firefox peut te rappeler que ce plugin n'est pas à jour aussi effectivement. Le Spam n'a pas lieu d'être sur un navigateur, la pub peut-être, mais pas le spam.

    Java idem, un message en info-bulle apparait normalement dans la barre des tâches à côté de l'horloge

    Citation :
    J'ai décoché l'exécution automatique de différents services et applications qui me semblaient suspects avec msconfig.exe, il en reste encore quelques uns qui devraient peut-être l'être et d'autres à réactiver ?


    msconfig est un processus légitime et important de Windows. Tu n'aurais pas du l'arrêter. Ne fait pas d'optimisation si tu n'es pas sûr de toi, cela est risqué.

    Citation :
    La temporisation lors du chargement des pages est agaçante et me fait craindre un rootkit, j'espère qu'il n'en est rien.

    Ce n'est pas un symptôme de rootkit, ne vous faite pas des films ;) 
    Un rootkit est fait pour cacher une infection et passer inaperçu, tu n'aura aucun symptôme apparent justement.

    Citation :
    Quid du nettoyage de la base de registres (RegCleaner) ? Ca m'a l'air très chargé...


    Chargé de quoi ? Attention à ces envies de "ménage" que beaucoup de vous ont, vous risquez plus gros en utilisant ces "nettoyeur/optimiseur", surtout si vous ne savez pas interpréter les résultats.

    Citation :
    Je n'ai fait que réparer XP pas vraiment réinstallé (excepté SP3 après coup),

    J'avais bien compris lorsque tu as dit "réparer" ;) 
    Effectivement il ne fait alors qu'écraser et remplacer les fichiers systèmes, il ne touche ni aux programmes, ni aux fichiers personnels.

    Merci de patienter avant de faire des manipulations sur ce pc qu'on soit sûr de l'absence d'infection. Après tu feras ce que tu veux.
    11 Avril 2012 15:55:03

    hyunkel30 a dit :
    Re,

    Alors plusieurs problèmes avant de poursuivre :

    -
    Citation :
    Soit tu as exécuté plusieurs fois OTL, soit tu l'avais déjà utilisé, donc le rapport Extra.txt n'a pas été généré.

    J'ai effectivement analysé le système avec la vielle version d'OTL ainsi qu'avec Malwarebyte's et Hijackthis avant de réparer XP et après et une fois encore après votre réponse car j'avais reeffectué l'analyse en rapport standard plutôt que minimal par défaut comme indiqué.
    Comment faire pour générer à nouveau le fichier Extras.Txt (jamais vu lors de mes manipulations précédentes) ?


    - Le rapport OTL.txt est illisible, héberge-le sur ce site pour voir : http://www.cjoint.com/

    Voici le lien
    Apparemment il fonctionne cette fois.

    Citation :
    Que faut-il comprendre par mise à jour de Flash player, java et/ou Adobe reader ?
    Justement, un message s'affiche de temps en temps concernant la mise à jour de Flash player à l'ouverture de Mozilla, j'évite de télécharger cette mise à jour non demandée (spam ?).


    Normalement Flash Player invite à la mise à jour à l'ouverture du pc, Firefox peut te rappeler que ce plugin n'est pas à jour aussi effectivement. Le Spam n'a pas lieu d'être sur un navigateur, la pub peut-être, mais pas le spam.

    Java idem, un message en info-bulle apparait normalement dans la barre des tâches à côté de l'horloge

    Citation :
    J'ai décoché l'exécution automatique de différents services et applications qui me semblaient suspects avec msconfig.exe, il en reste encore quelques uns qui devraient peut-être l'être et d'autres à réactiver ?


    msconfig est un processus légitime et important de Windows. Tu n'aurais pas du l'arrêter. Ne fait pas d'optimisation si tu n'es pas sûr de toi, cela est risqué.

    Je n'ai pas arrêté le fonctionnement de l'utilitaire de configuration système (msconfig.exe) mais je l'ai lancé et dans l'onglet Démarrage, j'ai décoché les processus lancés automatiquement au démarrage qui me semblaient suspects (on peut les recocher). Je suppose que cela apparait quelque part dans le rapport d'analyse sinon je peux faire une capture d'écran.

    Citation :
    La temporisation lors du chargement des pages est agaçante et me fait craindre un rootkit, j'espère qu'il n'en est rien.

    Ce n'est pas un symptôme de rootkit, ne vous faite pas des films ;) 
    Un rootkit est fait pour cacher une infection et passer inaperçu, tu n'aura aucun symptôme apparent justement.

    Citation :
    Quid du nettoyage de la base de registres (RegCleaner) ? Ca m'a l'air très chargé...


    Citation :
    Chargé de quoi ?

    de références à des programmes ou services internet qui ne sont pas ou plus utilisés

    Attention à ces envies de "ménage" que beaucoup de vous ont, vous risquez plus gros en utilisant ces "nettoyeur/optimiseur", surtout si vous ne savez pas interpréter les résultats.

    Citation :
    Je n'ai fait que réparer XP pas vraiment réinstallé (excepté SP3 après coup),

    J'avais bien compris lorsque tu as dit "réparer" ;) 
    Effectivement il ne fait alors qu'écraser et remplacer les fichiers systèmes, il ne touche ni aux programmes, ni aux fichiers personnels.

    Merci de patienter avant de faire des manipulations sur ce pc qu'on soit sûr de l'absence d'infection. Après tu feras ce que tu veux.


    Merci, je patiente et reste à votre disposition pour toute autre demande d'information. ;) 

    PS : le cadre Prévisualisation met un temps infini (jamais eu la patience d'attendre) à s'afficher, je suis obligé de publier ma réponse puis de la modifier au besoin, normal ? :??: 

    DC001


    a c 614 8 Sécurité
    11 Avril 2012 16:49:56

    Re,

    Plus de traces actives de l'infection, on va juste nettoyer un peu des restes.
    Laisse tomber le rapport extra, c'est pas grave.

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - (Winpooch) -- C:\Program Files\Web\Antivirus\Winpooch\Winpooch.sys File not found
    DRV - (S3chipid) -- C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys File not found
    DRV - (jtsorv) -- System32\drivers\vauiioue.sys File not found
    O3 - HKLM\..\Toolbar: (no name) - {8892C699-6978-4DD9-8EB2-951C93DB4F62} - No CLSID value found.
    O3 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - No CLSID value found.
    O7 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: axftkjuqqhjrzmynbjagTaskMgr = 0
    O9 - Extra Button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - Reg Error: Key error. File not found
    O15 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\..Trusted Domains: ([]msn in Poste de travail)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
    O20 - HKLM Winlogon: System - (C:\WINDOWS\System32\svcnost.exe) - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Samsung Internet Keyboard.lnk - - File not found
    MsConfig - StartUpReg: ANTIVIRUS - hkey= - key= - File not found
    MsConfig - StartUpReg: aol - hkey= - key= - File not found
    MsConfig - StartUpReg: ClamWin - hkey= - key= - File not found
    MsConfig - StartUpReg: ElbyCheckElbyCDFL - hkey= - key= - File not found
    MsConfig - StartUpReg: MacName - hkey= - key= - File not found
    MsConfig - StartUpReg: PV92TRAY - hkey= - key= - File not found
    MsConfig - StartUpReg: SchedulingAgent - hkey= - key= - File not found
    MsConfig - StartUpReg: SRFirstRun - hkey= - key= - File not found
    MsConfig - StartUpReg: Update - hkey= - key= - File not found
    MsConfig - StartUpReg: Winpooch - hkey= - key= - File not found
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [15 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [102 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
    [2010/05/12 20:47:50 | 000,004,981 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe

    :Files
    C:\WINDOWS\System32\svcnost.exe

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    4 Mai 2012 19:42:54

    hyunkel30 a dit :
    Re,

    Plus de traces actives de l'infection, on va juste nettoyer un peu des restes.
    Laisse tomber le rapport extra, c'est pas grave.

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - (Winpooch) -- C:\Program Files\Web\Antivirus\Winpooch\Winpooch.sys File not found
    DRV - (S3chipid) -- C:\WINDOWS\TEMP\_ISTMP0.DIR\S3chipid.sys File not found
    DRV - (jtsorv) -- System32\drivers\vauiioue.sys File not found
    O3 - HKLM\..\Toolbar: (no name) - {8892C699-6978-4DD9-8EB2-951C93DB4F62} - No CLSID value found.
    O3 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - No CLSID value found.
    O7 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: axftkjuqqhjrzmynbjagTaskMgr = 0
    O9 - Extra Button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - Reg Error: Key error. File not found
    O15 - HKU\S-1-5-21-790525478-1202660629-725345543-1003\..Trusted Domains: ([]msn in Poste de travail)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
    O20 - HKLM Winlogon: System - (C:\WINDOWS\System32\svcnost.exe) - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Samsung Internet Keyboard.lnk - - File not found
    MsConfig - StartUpReg: ANTIVIRUS - hkey= - key= - File not found
    MsConfig - StartUpReg: aol - hkey= - key= - File not found
    MsConfig - StartUpReg: ClamWin - hkey= - key= - File not found
    MsConfig - StartUpReg: ElbyCheckElbyCDFL - hkey= - key= - File not found
    MsConfig - StartUpReg: MacName - hkey= - key= - File not found
    MsConfig - StartUpReg: PV92TRAY - hkey= - key= - File not found
    MsConfig - StartUpReg: SchedulingAgent - hkey= - key= - File not found
    MsConfig - StartUpReg: SRFirstRun - hkey= - key= - File not found
    MsConfig - StartUpReg: Update - hkey= - key= - File not found
    MsConfig - StartUpReg: Winpooch - hkey= - key= - File not found
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [15 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [102 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
    [2010/05/12 20:47:50 | 000,004,981 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe

    :Files
    C:\WINDOWS\System32\svcnost.exe

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

  • ++++++++++++++++++++++++++++++++

    Bonjour hyunkel30,

    Mes excuses si je réagis seulement maintenant, contrairement aux 1ères interventions, je n'ai pas reçu de mail d'avertissement d'une nouvelle réponse à mon post.

    Je viens d'effectuer le nettoyage de la base de registre à l'aide d'OTL personnalisé comme indiqué.
    Voici le rapport généré : Lien
    300 Mo gagné !!

    J'ignore ce qu'est le fichier svcnost.exe et également mtbjfghn.xbe et s'ils sont liés ou pas à l'attaque malware émanant de la fausse menace du Federal Crime unit.

    Tout semble fonctionner normalement et les ralentissements initialement observés dans le chargement des pages a progressivement disparu avant même ce dernier nettoyage.

    Je voudrais toutefois savoir comment m'y prendre en cas de 3è récidive pour forcer le démarrage de XP en mode sans échec.

    Sous l'emprise du malware, il était impossible de prendre la main sur l'ordi une fois XP redémarré normalement (menu Démarrer bloqué, quasi tous les exécutables aussi et le gestionnaire de tâches également) et les touches F6 ou F8, restaient inutiles car le menu de démarrage personnalisé relancait XP en mode normal en boucle quel que soit le mode choisi (sans échec, dernière bonne configuration...).

    Ci dessous, une procédure qu'on m'a communiqué si par hasard regedit.exe était "lançable" en ligne de commande (Menu Démarrer/Exécuter fonctionnel).

    Signification ?????? Fiabilité ?????

    Merci sincèrement pour votre suivi :) 

    DC001
    =============================
    Procédure à suivre en cas d'attaque malware "Fédéral Crime Unit"

    dans Démarrer/Exécuter taper: "cmd" (logiciel noir) dans la cmd écrire: "regedit" et taper enter
    le registry editor s'ouvre
    aller dans :my computer, HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft Windows NT\CurrentVersion\Winlogon
    chercher le nom:"shell" clik droit faire: modifier, ensuite il faut effacer: explorer.exe et réécrire exactement la même chose: explorer.exe
    ensuite dans la "cmd" écrire: shutdown /r /t 0 et taper enter, l'ordi doit redémarrer

    terminé plus de virus !
    =============================
    a c 614 8 Sécurité
    4 Mai 2012 23:03:34

    Bonsoir,

    Effectivement selon la variante de ces ransomwares, il est ou non possible de démarre en mode sans échec, cela dépend des clés de démarrage touchée, il n'y a pas de méthode "miracle"
    La clé "Shell" est une de celle touché, mais pas seulement.
    Donc on ne peut savoir sans tester.

    Explorer peut avoir été remplacer par un fichier du même nom à un emplacement différent, il peut avoir été patché, etc, etc.
    Bref dans ces cas là, nous sommes là pour vous assister, tous simplement.

    Le plus simple étant de ne pas se faire infecté avec ce genre de malware, bêtement, car on ne tient pas son pc à jour !

    On va conclure en nettoyant les outils utilisé et en vérifiant les mises à jour du pc :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    1) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    30 Juin 2012 01:12:46

    hyunkel30 a dit :
    Bonsoir,

    Effectivement selon la variante de ces ransomwares, il est ou non possible de démarre en mode sans échec, cela dépend des clés de démarrage touchée, il n'y a pas de méthode "miracle"
    La clé "Shell" est une de celle touché, mais pas seulement.
    Donc on ne peut savoir sans tester.

    Explorer peut avoir été remplacer par un fichier du même nom à un emplacement différent, il peut avoir été patché, etc, etc.
    Bref dans ces cas là, nous sommes là pour vous assister, tous simplement.

    Le plus simple étant de ne pas se faire infecté avec ce genre de malware, bêtement, car on ne tient pas son pc à jour !

    On va conclure en nettoyant les outils utilisé et en vérifiant les mises à jour du pc :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    1) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 

  • Bonjour,

    Mises à jour effectuées avec beaucoup de retard !

    Merci pour tout mais pas de bouton pour clôturer le sujet.

    Bonne continuation ;) 

    DC
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS