Trojan 'Ransomware' en activité et variable.. Résolu

Question

Bonjour, 
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats... 
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A 


Il y a un nouveau Trojan d'extorsion en circulation. 
À première vu, en provenance de la Russie... 

Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ». 

La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système. 
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes... 


De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus. 

Tout ceci est complètement faux. 
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire 

D'une manière plus importante : Ces ordures tentent de faire verser de l'argent! 
Si les gens les payent, le problème se développera et de façon exponentielle. 
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com. 

Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface. 

Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type : 


Le téléphone mentionné ne mène nulle part, bien-entendu... 


Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau. 

Et voici à quoi la page de paiement ressemble : 


Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit. 

Si vous êtes frappé par ce Trojan, NE PAYEZ PAS. 

Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd. 

Que du bonheur 
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html 
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c 


Information sur une nouvelle tentative modifiée, sera communiquée par m0e 
Que je remerci de son implication :) 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

gen-hackman · Accepted Answer

un Drweblive...

jalobservateur · Answer

Je m'excuse pour les images non visibles ici, mais les infos vous disent suffisament je pense.

jalobservateur · Answer

Voici ici capté en partie par Combofix, sur un cas que j'ai eu: 

((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\documents and settings\frédérique saleg\Local Settings\Application Data\fwphfq.dat 
c:\documents and settings\frédérique saleg\Local Settings\Application Data\fwphfq.exe 
c:\documents and settings\frédérique saleg\Local Settings\Application Data\fwphfq_nav.dat 
c:\documents and settings\frédérique saleg\Local Settings\Application Data\fwphfq_navps.dat 
c:ecycler\S-1-5-21-3910862464-2807951422-3456714658-500 
c:\windows\system32\config\systemprofile\Application Data\APManager 
c:\windows\system32\config\systemprofile\Application Data\APManager\apmanager.exe 
c:\windows\system32\config\systemprofile\Application Data\APManager\files 
c:\windows\system32\config\systemprofile\Application Data\APManager\iplog 
c:\windows\system32\config\systemprofile\Application Data\APManager\ispinfo 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Czech.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Danish.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Dutch.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\English.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\French.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\German.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Italian.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Portuguese.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Slovak.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages\Spanish.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\languages	emplate.lng 
c:\windows\system32\config\systemprofile\Application Data\APManager\settings.ini 
c:\windows\system32\config\systemprofile\Application Data\APManager\uninstall.exe 
c:\windows\system32\config\systemprofile\Application Data\APManager\wallpaper.jpg 
c:\windows\system32\STEC3.sys 

Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

jalobservateur · Answer

Par m0e
Du nouveau chez APManager...
L'alerte de violation n'est plus diffusée directement dès départ de l'infection.
Toujours un peu plus loin côté social engenering, APManager tente maintenant de se faire passer pour un banal gestionnaire de téléchargement :
http://perso.orange.fr/aeternum/Misc/APManager.PNG
 

Et ce n'est qu'après le reboot du pc que l'alerte que l'on connait, apparait, et laissant croire à une prise d'otage de l'ouverture de session si l'internaute ne paye pas.

jalobservateur · Answer

PS: Toutes infos utiles sur le sujet sont bienvenues ainsi que les moindres petits up!.

jalobservateur · Answer

autre petit up.

jalobservateur · Answer

Mon dernier UP, car ça suit pas...
Violation des droits d'auteurs supposée ou similaire, c'est la même poutine.
Danger de redémarrer MBR y goûte...
@+

gen-hackman · Answer

ok pris en charge par List_Kill'em

moment de grace · Answer

et testé !

(sourire)

quel mauvais catactère ce jalobservateur , il a déjà mis en résolu son topic....

gen-hackman · Answer

en resolu ? comment ca ?^^

jalobservateur · Answer

Ouais moi il faut que ça opère ! ^ ^ ;-)
Je vous apprends rien ...

gen-hackman · Answer

oui m'enfin bon........

jalobservateur · Answer

Bin je peut enlever le résolu, mais si demain c'est 4 pages derrière... 
Dans quel bût alerter ?

gen-hackman · Answer

plus que Gen en tout cas !

je te donne pas les solutions , je te fais reflechir....

c'est mieux je pense ................

jalobservateur · Answer

hihi, bande de méchants ^ ^

gen-hackman · Answer

non realiste ^^

bonne nuit à tous et mettez Java à jour ^^

jalobservateur · Answer

Ou mettez à jour java --->>ciao

mOe · Answer

Salut,

Petit ajout histoire d'upper :-)
...
...

Faux sites de "Direct download" par catégories (films, musique, appz, jeux, cul) entièrements conçus et dédiés à la diffusion du malware :
Illustration

L'infection peut varier dans sa procédure "d'intimidation".
Soit elle diffuse directement un message d'alerte demandant à l'utillisateur de payer pour des téléchargements illégaux.
Soit en première partie, APManager se fait d'abord passer pour un gestionnaire\accélérateur de téléchargement.
Après reboot et dans les deux cas, l'alerte viens se substituer à l'apparition du bureau, laissant penser (à tort) que la session est bloquée.
Illustration


Fichiers :

C:\Users\xXx\AppData\Roaming\IQManager\IQmanager.exe
C:\Users\xXx\AppData\Roaming\IQManager\files
C:\Users\xXx\AppData\Roaming\IQManager\iplog
C:\Users\xXx\AppData\Roaming\IQManager\languages
C:\Users\xXx\AppData\Roaming\IQManager\metafiles
C:\Users\xXx\AppData\Roaming\IQManager\settings.ini
C:\Users\xXx\AppData\Roaming\IQManager\uninstall.exe
C:\Users\xXx\AppData\Roaming\IQManager\wallpaper.jpg
C:\Users\xXx\AppData\Roaming\IQManager\languages\Czech.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Danish.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Dutch.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\English.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\French.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\German.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Italian.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Portuguese.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Slovak.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages\Spanish.lng
C:\Users\xXx\AppData\Roaming\IQManager\languages	emplate.lng


C:\Users\xXx\AppData\Roaming\APManager\apmanager.exe
C:\Users\xXx\AppData\Roaming\APManager\files
C:\Users\xXx\AppData\Roaming\APManager\iplog
C:\Users\xXx\AppData\Roaming\APManager\languages
C:\Users\xXx\AppData\Roaming\APManager\metafiles
C:\Users\xXx\AppData\Roaming\APManager\settings.ini
C:\Users\xXx\AppData\Roaming\APManager\uninstall.exe
C:\Users\xXx\AppData\Roaming\APManager\wallpaper.jpg
C:\Users\xXx\AppData\Roaming\APManager\languages\Czech.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Danish.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Dutch.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\English.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\French.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\German.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Italian.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Portuguese.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Slovak.lng
C:\Users\xXx\AppData\Roaming\APManager\languages\Spanish.lng
C:\Users\xXx\AppData\Roaming\APManager\languages	emplate.lng


C:\Users\xXx\AppData\Roaming\ARManager\apmanager.exe
C:\Users\xXx\AppData\Roaming\ARManager\files
C:\Users\xXx\AppData\Roaming\ARManager\iplog
C:\Users\xXx\AppData\Roaming\ARManager\languages
C:\Users\xXx\AppData\Roaming\ARManager\metafiles
C:\Users\xXx\AppData\Roaming\ARManager\settings.ini
C:\Users\xXx\AppData\Roaming\ARManager\uninstall.exe
C:\Users\xXx\AppData\Roaming\ARManager\wallpaper.jpg
C:\Users\xXx\AppData\Roaming\ARManager\languages\Czech.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Danish.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Dutch.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\English.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\French.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\German.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Italian.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Portuguese.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Slovak.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages\Spanish.lng
C:\Users\xXx\AppData\Roaming\ARManager\languages	emplate.lng

C:\Users\bOo\Desktop\IQManager.lnk
C:\Users\bOo\Desktop\APManager.lnk
C:\Users\bOo\Desktop\ARManager.lnk

C:\Windows\system32\install.exe


Registre :

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"shell"=

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"apmanager.exe"=
"iqmanager"=

++

moment de grace · Answer

wouah

il nous manque plus que le nom des victimes !
(sourire)

merci pour les infos

jalobservateur · Answer

Trop fort m0e ! 
Super démo l'ami ! 
Merci :) 
Alors ça commence ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

moment de grace · Answer

MBAM le reconnait maintenant

https://forums.commentcamarche.net/forum/affich-17553729-trojan-bnk-win32-keylogger-gen#6

jalobservateur · Answer

Il semble bien en effet...:)
On verra bien avec des scans plus profonds et quelques redémarrages de quoi il en retourne.
L'équipe de MBAM est réactive encore une fois ! Bravo !

gen-hackman · Answer

List_Kill'em le prend en charge depuis avant hier

gen-hackman · Answer

edit : il y a aussi 

C:\Users\bOo\Desktop\AP Manager.lnk avec un espace

crapoulou · Answer

Salut à vous,
Merci pour les informations.
Si quelqu'un a le dropper, je voudrais bien faire joujou avec la VM ...?

jalobservateur · Answer

Salut Crap:)
 m0e a et m'a refilé y a quelques jours, mais j'en ai près de 800 dans un dossier sur mon Nux et mdr je le retrouve plus ...
Si c'est possible m0e de remettre ici 'temporaire', on va jouer de la gachette.

jalobservateur · Answer

Je l'ai shippé à plusieurs endroits et testé en vm, mais supprimé de ma VM en toute fin. 
Mais j'ai shippé une vingtaine en 2 jours un peu partout et je mélange les noms... 
Je voulait hier envoyer à Cedric, mais me suis gourré avec un tdss lol 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

gen-hackman · Answer

tu en veux un ?

je te le MP crapoulou

jalobservateur · Answer

moi 1 too

gen-hackman · Answer

ok gaffe j'ai pas mis de mdp

jalobservateur · Answer

booooooooooooooooooo

gen-hackman · Answer

gaffe l'infection prend un cliché de toi au moment de l install , j ai retrouvé une photo de moi dans Roaming\APM......

gen-hackman · Answer

non le cliché est pris au moment de l'install du malware

si ca interesse quelqu'un :

244fcd5f107657d07bb87efcbeb02619 avm\apmanager.exe
5ca7c4a45b34602e466e6464115e1796 avm\install-767.exe
feb6e9acf04e7e047e773fd477e2c84f avm\install-768.exe
135a99f079861b2352f3caba74ec22c0 avm\install-769.exe
e0f2da90368635a8f44c1ee613dcb952 avm\install-770.exe
365e8f5b86e5b8cf0819986746f7148e avm\install-771.exe
39db5604b2c957430be2828d5d158221 avm\install-772.exe
fac5f96fe7bb46d942789357741f1de1 avm\install-773.exe
30555b7ade4ee8421cd9d71c113168fa avm\install-774.exe
53df6cf7c2c35c6453d9e0515a7542c4 avm\install-775.exe
55e24f1fa0898541abbbdb9e9a9fa433 avm\install-776.exe
b980013811cbd972cdb7968b10f79c69 avm\install-777.exe
507edfa4d7cfc9bbc3737cd2fe27d089 avm\install-778.exe
4e41c974fa116134fae4cebb96c408c2 avm\install-779.exe
eaad6deae2a1aef25034fa1f48c86e84 avm\install-780.exe
d968e3bf0ff26a5f8f70759c0ec7472c avm\install-781.exe
cbc69ba7eea54ba26be83ec3ac4ee015 avm\install-782.exe
d22705d090e01a2788410ad7a4636771 avm\install-783.exe
3b99a033b865b814289374bc677bb01f avm\install-784.exe
391a414072281d6be0d3fc060ebd82da avm\install-785.exe
03f049d35526ae45db6f712aad92c807 avm\install-786.exe
3f6409171cbbab500bdf73ae440adbaa avm\install-787.exe
f2be711aee7ef32305c645fe4afd5e52 avm\install-788.exe
4bc9e1a242d699757dda7ae0029b003c avm\install-789.exe
8d3a292662c57181c5fbb2c05c10aa70 avm\install-790.exe
3546d84df4e51049959163ca3eb39896 avm\install-791.exe
590dd1a9b4c6942b33810292653d09e7 avm\install-792.exe
c32c6939cd29301335d98e2c98bec15d avm\install-793.exe
69dddc561fbc63a9974707abd22d4c41 avm\install-794.exe
0f95fefd01f6c3643385d19b24bba27f avm\install-795.exe
365a33ec35fee6adbd9fd5020e84ca50 avm\install-796.exe
064e78335b87c7eb84fc53d8ab4f008e avm\install-797.exe
2e33e55f3a9e9cb318bf8870b2765aff avm\install-798.exe
b49322b3dd09599ce59e68688999dd94 avm\install-799.exe
dcfcf958321dac45cfb8fb9a00865156 avm\install-800.exe
3872ca3a3d63b3703e11fc2cc4e11afe avm\install-801.exe
1dfd19eb94a47cf3752da7974e2a5ecf avm\install-802.exe
dfcf9f83f1991a8b6acf09b5a86cd31c avm\install-803.exe
ad78af3ed1b301fe9d6ec4a39ae2bf94 avm\install-804.exe
6c13b186bc2a189c6ab4046c36258f9a avm\install-805.exe
1ea4f217d973ad1bfdec5477bf7d7596 avm\install-806.exe
fbdb8ba1cb1131a641651cfb4997aaa4 avm\install-807.exe
9b67e4df28baf4c1d7e5d7aa4e5dfd02 avm\install-808.exe
663be6df6004f677d3d3e223fd8b0ddb avm\install-809.exe
424a2ac643e0ef7abab4e0ada603997d avm\install-810.exe
9e1b7121b82e0b39a15de0d6991f3745 avm\install-811.exe
e229b95c15872ba41da834c671c7a14b avm\install-812.exe
8c119b021199b1131f48eee78c901f0f avm\install-813.exe
053c9a53d9f166377160cf1823a66a76 avm\install-814.exe
e04a19794a43dce08274ed1ea5145749 avm\install-815.exe
9ee0bdfd4f2adf0651a98f014bfd1556 avm\install-816.exe
496656d33933d0d1f954a22e63c409c9 avm\install-817.exe
baa10a9914c0dcafb3eee9d721e398de avm\install-818.exe
04949b9132af7fdaeda48ffc26e4c964 avm\install-819.exe
b52733a354adb6c7cb80d6aaee7fa6ef avm\install-820.exe
c5aff7064664988fb54a7ac853626d6b avm\install-821.exe
8d10c9382f2b6e054265dc34def4eb2f avm\install-822.exe
1a784a7ac1832ecdb607d6b0d67a0d2b avm\install-823.exe
9fdd3fb69f214a58730b47304aab129b avm\install-824.exe
c59529a7009c1b5e243a0cbe43c5e3c8 avm\install-825.exe
0a42d80ebb6a3ef2aea8f0d0fe2611d8 avm\install-826.exe
e10d5ba6c84ce5669d9dc088eda4023a avm\install-827.exe
838d7f5e974374adafc7f0a40121dfd7 avm\install-828.exe
c48873d4b4e0fcf608b45bf876bc5802 avm\install-829.exe
fac2806006087b794ee3aeb147086647 avm\install-830.exe
b222b1fff70a300a4f687d970609371e avm\install-831.exe
a917d358b5b7342d99d1a00114532619 avm\install-832.exe
5c314991dc95a4829e6ce7959e2ac58a avm\install-833.exe
0d102982f908583c5412d314a288b1c2 avm\install-834.exe
97874acaaaa6624492f6f9e02809116d avm\install-835.exe
7ab78a348eed0140b7ed7aa10bcd7e79 avm\install-836.exe
31b57dbfa1c82da8f98dcea49d673455 avm\install-837.exe
e54510931b0a5602094ead6fc0cc1721 avm\install-838.exe
dde846b76cb02717f8497fb3444c798b avm\install-839.exe
f2e173510d53fa6f135fc7e5d19122c0 avm\install-840.exe
9fcefbdc046ec21463f443764c092e27 avm\install-841.exe
ea295f0e0ac0b204dad9f7928dda2f99 avm\install-842.exe
5a8698c77f331214726cc0b9f92cf1a1 avm\install-843.exe
b77b0da35d0fa5450cedb1e5e9a62aa4 avm\install-844.exe
9806588206e583d11b4ff479578f698e avm\install-845.exe

jalobservateur · Answer

Non mais... Sans blague là, j'ai vu une info 'underground' ou il est question de rançons et de clichés pris de l'utilisateur, qui durant la fréquentation de sites X, se verra menacé de divulgation et d'images, puis d'ip, d'infos perso, d'Url's vistées, ect...
Alors pour les intéressés, mettez vos Cams dos à vous lollll

crapoulou · Answer

Un topic si cela intéresse quelqu'un ....

gen-hackman · Answer

oui ca m'interesse ^^

jalobservateur · Answer

Ouais Gen, quand j'ai eu ce cas en début de semaine, la machine était plantée de la mort, même écran noir sans MBR, là elle roule bien.
Mais  le MBR touché, c'est pas la joie alors devines ce que j'ai utilisé en 1rst position :)

gen-hackman · Answer

heu.....c'est une question à combien d'abord ?

jalobservateur · Answer

Mdr, y'en a partout en toutes les langues

jalobservateur · Answer

Lol free as always :)
 Tu connais le DR... quand il est vivant :)

gen-hackman · Answer

au hasard NUNUX....

jalobservateur · Answer

Nah ok assez déconné:)
 Tu vois, sur une machine 'relativement propre' cette connerie s'efface plutot bien.
MAIS... oui un gros mais, car si la machine est déjà vérolé d'autres saletés alors là c,est un peu le bordel, car il semble que les endormis se réveillent et là ça va moins bien, surtout si il y a eu un redémarrage, on ris plus...

gen-hackman · Answer

faire péter la HKCU....

jalobservateur · Answer

Dr.Web Live CD il a jai dropé en début de semaine et ce ''Meme' si il affiche kedall sur Virustotal. 
Dr.Web ne met pas l'emphase sur VT malheureusement, ils ont trop de boulôt. 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

gen-hackman · Answer

ou charger la ruche à partir d'OTLPE

jalobservateur · Answer

Si tu passes pas par un live CD , bonne chance...
Au moins même si Dr.Web détruit pas à la hache lui, il désinfecte si c'est possible, il va détruire auto l'essentiel qui bloque le MBR, ensuite l'accès au mode Sans Echec avec prise en charge réseau et les fix... au choix
J'ai terminé avec Comodo et voilou

gen-hackman · Answer

rhôôôô tu nous le brise avec COMODO !! ^^ MDR ^^

jalobservateur · Answer

hihi ouais ils me donnent des dividendes :)
non en fait je mentionne seulement ce qui pour moi et ma demanderesse a fonctionné.
C'est pas coulé dans le béton, mais des solutions qui fonctionnent pas y'en a + selon Goggle :)

jalobservateur · Answer

Sur ce mes chers amis je vais débuter ma distro enfants @+

gen-hackman · Answer

goggle....^^

ca me rappelle ce que je t ai envoyé hier soir sur mon topic ^^

jalobservateur · Answer

Retour départ rapide :)
 Trop drôle, voici justement la version chinoise de ce que j'ai mentionné aujourd'hui :)
https://www.lefigaro.fr/blogs/technotes/2010/04/un-virus-ranconne-les-accros-au-porno.html
Décidément les pirates n'ont pas de frontières en communication ...

jalobservateur · Answer

PS: Il faudrait mettre les animations de m0e et la procédure simple sur un post permanent ou remonté à fond, sur la méthode préliminaire simple.

Advenant que rien d'autre ne se cache derrière...
Donc peut fonctionner àléatoirement sur plein de machines.

Une fois contrôlé (la clef cryptée entrée), alors les fix les plus aptent pourraient être utiliser.

Car ça s'étend partout là cette connerie.
Si ya des volontaires :)

jalobservateur · Answer

Lances-toi crapule :)

gen-hackman · Answer

Ô grand Jâl !! ^^

jalobservateur · Answer

tu crois ?Non 1m74

gen-hackman · Answer

lol plus petit que moi !! ^^

jalobservateur · Answer

alors le Ô grand te va mieux

gen-hackman · Answer

bof....2 cm ^^

jalobservateur · Answer

Ça peut faire une différence dépendant ou ils sont...

gen-hackman · Answer

ou en fumer une sous la douche ^^

jalobservateur · Answer

les cas augmentent encore...

glops · Answer

up  => interressant  ;)

jalobservateur · Answer

Salut crapoulou:)
Gen va se marrer :) ^ ^
Tu vois, j'en ai traité un sur mon site Linux.
La machine était plantée morte.
Ouais je sais que le post est long à lire et très commenté...
En plus j'avais un boulot de débile ici et le téléphone ne dérougissait pas.
Mais tout y est
Évidemment ce n'est pas la vocation du site que de désinfecter des Windows.
Alors si tu regardes, les outils utilisés (qui peuvent varier, selon les goûts), le principal fût le Live CD Dr.Web sur lequel le droper que m0e m'a refilé est inclue dans la base et quelques autres variantes sont prisent en charge.
Donc oui il est possible en live de 'déplanter':)
Dans les pires cas, si jamais, alors les docs se sauvent toujours via un Live Linux.
C'est fou comme les infections s'étendent partout, mais je pense qu'elles ont une source X commune...

jalobservateur · Answer

PS: 'quand la machine est pas plantée', j'ai conseillé le fix de Gen  à un contact anglais via email et il me dit que ça va là :)
Bravo Gen !

gen-hackman · Answer

heu non ca me fait pas rire....;:(

:)

si W$ disparait je sers à quoi moi ? mdr !

jalobservateur · Answer

Ouais j'avoue que l'aidée a eu son coup de grâce après les manips, puis qu'elle passe sa machine en Linux, mais c'est pas de ma faute :)
La machine de ses parents est resté sous Windows pour le moment, alors il t'en reste au moins une ou + sûrement ?

crapoulou · Answer

Je prépare une astuce, je vous tiens au courant quand c'est publié pour que vous apportiez vos petites modifs' ;-)

jalobservateur · Answer

Ok cool merci crap :)

crapoulou · Answer

Voilà mon oeuvre, lol.  
Cela m'a pris une grosse partie de mon après-midi ! (article, vidéos, captures, tests, ...)  
Edit : Lien de l'astuce. 
T'as un problème ? Passe sur CCM!  
Il n'y a pas de problème sans solution.

gen-hackman · Answer

où ?

jalobservateur · Answer

Ecellent Crapoulou :)

 Rien à redire mon ami .
Si jamais des infections 'latentes' ne surgissent pas, alors c'est gagnant comme méthode, car je viens encore cet aprés-midi d'avoir une demande email sur ce sujet et traitée :)
Alors super avec le lien de ton astuce.
Chose promise, chose faite. Bravo!
Et merci pour eux:)

jalobservateur · Answer

PS: Peut-être ajouter pour la resto  ^ ^

jalobservateur · Answer

Ouais. mdr. bon ok je viens d'imaginer, un point de contournement, mais... Ok il vont peut-être pas y songer trop rapidement...
Pas grave on va contre-attaquer , nous aussi, si jamais, échec ne signifie pas MAT, mais astuce de contournement. Puis on es pas minuté lol :)

gen-hackman · Answer

je viens de faire ca à tester apres stop du processus , retour d'explorer.

au redemarrage il ne devrait plus etre là (du moins , plus demarrer et permettre de desinfecter tranquille )

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Manage.exe

jalobservateur · Answer

Crapoulou , le lien du removal tool c merdique en plus de ne pas le recommander ,car pas testé' regardes ceci : https://www.mywot.com/fr/scorecard/removal-tool.com  
C'est comme ramasser une boué remplie de plomb :)  
Jai fais un post 'encore à remonter' je pense... 
https://forums.commentcamarche.net/forum/affich-17586690-hxxp-removal-tool-com-icpp-online-com 
Bin oui un tool c'est tentant !!!
Saleté de magouilles. 
Je vais te laisser modifier :) 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'  
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...  
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

jalobservateur · Answer

Salut Gen:) 
 Crapoulou, je pense qu'il serait avisé, surtout suite à la resto antérieure que le (la)demandant(e), passe par le forum afin de vérifier via un ptit coup de RSIT... ou/et ZHPDiag
Je ne sais pas ce que tu en dis . 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

jalobservateur · Answer

Ouias à calculer les risques ils sont égaux alors 'ça vaut et pas', le calcul 
(Smile )

Incredible · Answer

J'en suis au stade ou j'ai le virus sans le bureau, mais malheureusement je ne peux pas appliquer vos solutions...

J'ai un probleme un peu plus embetant, c'est qu'on dirait que le virus me bloque completement l'acces admin, je ne peut pas faire de ctrl+alt+suppr pour supprimer l'ARmanager.exe...

Je ne peux pas non plus installer les anti virus nécéssaires depuis une autre session, meme admin, on dirait que le virus me bloque aussi cet acces!

Il me faudrait j'imagine soit un moyen de pouvoir installer des programmes en "forcant" un peu le mode admin, soit un moyen alternatif de pouvoir accéder au ctrl+alt+suppr...

jalobservateur · Answer

xcuse c'était un spasm:)

jalobservateur · Answer

Ouais salut gang ,
Il semblerait que sur certains cas il y a ajouts de rootkits...

mOe · Answer

Salut Jal,

Tu as un lien de référence ou un sample ?
Car je n'ai pas encore rencontré de cas avec un rootkit faisant partie de cette infection.

Merci d'avance.

++

jalobservateur · Answer

Hey m0e , Salut :) 
 Même ici : https://forums.commentcamarche.net/forum/affich-17596816-virus-droit-d-auteur?page=3#p17603284 
NB: Je suis en plein taf sur ma distro enfants alors j'ai regardé 8 secondes ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

glops · Answer

salut à tous

"On na l'a ni évoqué ni testé, mais il faudrait voir ce qu'il en est en mode sans échec"

un cas ici où le mode sans échec a permis de passer MBAM

https://forum.hardware.fr/hfr/WindowsSoftware/Virus-Spywares/violation-droits-auteur-sujet_316953_1.htm

voir le deuxième demandeur "chtoons62"

jalobservateur · Answer

Thank's :)

jalobservateur · Answer

Période de calme, car il semble bien que les manipulations réussies en plusieurs langues déjà, ont touchées des cordes sensibles.
Mais... On verra bien la suite...

jalobservateur · Answer

@M0e,
Il est entendu qu'ils doivent modifier.
Ce qui indique que nous avons touché un peu partout.
Partie remise encore... :)

Trojan 'Ransomware' en activité et variable..

86 réponses

Discussions similaires

Newsletters