Explorateur bloqué + message

Résolu/Fermé
Portakal -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je surfais tranquillement, lorsque mon ordi s'est ralenti, puis le bureau a disparu ne laissant place qu'au papier peint, un message d'avertissement, du style"activite suspecte decelee" en me demandant de me départir d'une amende... c'est fake.

Pouvez vous m'aider, sachant que je n'ai pas accès à toutes les options de l'ordi, mais pour l'instant j'ai accès à firefox.

merci

21 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu l'as viré.

    Relance HijackThis par un clic droit / executer en tant quadministrateur et coche cette ligne :

    O4 - HKCU\..\Run: [Smad] C:\Users\Murat\AppData\Local\SanctionedMedia\Smad\Smad.exe

    ==> clic sur fix checked

    Redémarre l'ordinateur

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    ~~

    A faire si tu le souhaites - ce n'est pas obligatoire :
    WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.

    WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
    L'envoie n'est pas obligatoire, à faire si tu es d'accord.

    Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.rar
    * Décompresse le tout avec un outil comme winrar / winzip / 7zip...
    * Lance WhyIGotInfected.exe
    * Dans l'onget "History", clique sur "Scan".
    * Si tu es d'accord pour envoyer de manière anonyme ton historique pour analyse, clique sur "Envoi".
    Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.

    L'onglet pluggin permet de vérifier si ses pluggins WEB sont à jour.
    Un pluggin WEB non à jour permet permet l'infection de son ordinateur via des Un exploit sur site WEB .
    Ne pas tenir à jour ses pluggins est une porte d'entrée à infection.
    3
  2. Portakal
     
    Bsr, merci pour votre aide.

    C'est exactement le message que j'ai à l'ouverture, bien vu !

    Ci joint le rapport Hi Jack This

    http://pjjoint.malekal.com/files.php?id=HijackThis_20120113_j11j9q5c9r9
    2
    1. Akram
       
      bonsoir, merci pour les infos,
      j'avais suivi les instructions mais j'ai pas trouvé ce fichier O4 - HKCU\..\Run: [Smad] C:\Users\Murat\AppData\Local\SanctionedMedia\Smad\Smad.exe :(

      Je te passe le rapport
      http://pjjoint.malekal.com/files.php?id=HijackThis_20120221_z9m145w12o8

      Merci pour ton aide
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    yep c'est ça : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

    - Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
    - Double-clic sur HijackThis
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.

    1
  4. Portakal
     
    J'ai effectué la suppression de la ligne, mais après le redémarrage de l'ordi, eh bien la page de "blocage" réapparait de plus belle. Que faire maintenant ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oups oui pardon.

      Fix cette ligne aussi : O4 - Startup: 0.06341666119046385.exe.lnk = C:\Windows\System32\rundll32.exe
      0
    2. Portakal
       
      ok
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Portakal
     
    bon, ca a l'air de refonctionner. je vais suivre vos conseils. et mettre a jour les differents logiciels.

    merci beaucoup.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  8. Cha
     
    Bonjour!

    Je suis dans le même cas !
    J'ai suivis tes indications à la lettre sauf qu'il n'y a pas afficher :
    O4 - HKCU\..\Run: [Smad] C:\Users\Murat\AppData\Local\SanctionedMedia\Smad\Smad.exe
    ni même: O4 - Startup: 0.06341666119046385.exe.lnk = C:\Windows\System32\rundll32.exe

    Voici le rapport:
    http://pjjoint.malekal.com/files.php?id=HijackThis_20120114_h15o11t6l10e8

    Si tu pouvais m'aider moi aussi ... =/
    0
  9. sauke833 Messages postés 60 Statut Membre 69
     
    Bonjours je suis dans le meme cas et je ne sais vraiment pas quoi faire si quelqu'un pourrais m'aider sachant que je ne suis pas tres doué en informatique
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Regardez la procédure sur cette page : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/
    Faut fixer les lignes Startup avec les chiffres aléatoires.

    Mettez bien à jour vos programmes ensuite et surtout maintenez à jour.
    Si pas à jour, vulnérabilité qui permettent l'infection de vos PC en surfant.
    0
    1. FT
       
      Bonjour, j'ai le même problème mais le rapport ne montre aucune ligne "startup" ou "smad".

      Le rapport HijackThis est ici:

      http://pjjoint.malekal.com/files.php?id=HijackThis_20120116_f14s9v5c12c10

      Merci d'avance pour toute aide.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      l'est OK ton rapport.
      0
  11. sauke833 Messages postés 60 Statut Membre 69
     
    Ah merci beaucoup sa à marché, la prochaine fois je prendré le temps de mettre mes programmes a jour
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ça pas sa.
      et mets à jour tes programmes et maintiens les à jour sinon ça va revenir
      0
  12. Clémentine
     
    J'ai eu ce même problème et j'ai suivi toutes vos instruction merci pour tout, cependant je ne sais pas quelles lignes cocher, mon lien est : http://pjjoint.malekal.com/files.php?id=HijackThis_20120220_v13v14f9k5b8
    0
  13. Clémentine
     
    (Je n'ai pas les lignes startup et smad non plus je ne sais pas quoi faire et je n'ose pas éteindre mon PC de peur de tout recommencer)
    0
  14. Clémentine
     
    Je ne pouvais pas attendre et j'ai donc supprimer comme dit plus haut la seule ligne startup avec des chiffres aléatoires comme dit plus haut, mais maintenant mon PC bug, je n'arrive pas à l'allumer correctement soit il bloque au moment où j'entre le mot de passe de ma session soit il ne veut plus rien savoir quans j'arrive sur l'affichage de mon bureau.. Je désespère
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
    0
  16. Ottho Messages postés 34 Statut Membre 5
     
    Bonjour,

    Euh c'est pas bientôt finis tout ce bazard ?

    On créer un topic a part si on as un problème, c'est pas avec ce genre de méthode que vous serez aider par quelqu'un...

    Bonne journée
    0
  17. Clémentine
     
    Ci joint le rapport d'AdwCleaner comme demandé:

    # AdwCleaner v1.409 - Rapport créé le 20/02/2012 à 10:57:44
    # Mis à jour le 12/02/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : User - USER-TOSH (Administrateur)
    # Exécuté depuis : C:\Users\User\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\User\AppData\Roaming\cacaoweb
    Dossier Supprimé : C:\Users\User\AppData\Roaming\OfferBox
    Dossier Supprimé : C:\Users\User\AppData\LocalLow\BabylonToolbar
    Dossier Supprimé : C:\Users\User\AppData\LocalLow\PriceGong
    Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
    Dossier Supprimé : C:\Program Files (x86)\OfferBox
    Dossier Supprimé : C:\Program Files (x86)\PriceGong
    Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Offerbox.lnk
    Fichier Supprimé : C:\Users\User\Desktop\cacaoweb.exe

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\DataMngr_Toolbar
    Clé Supprimée : HKCU\Software\Offerbox
    Clé Supprimée : HKCU\Software\SweetIm
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
    Clé Supprimée : HKLM\SOFTWARE\DataMngr
    Clé Supprimée : HKLM\SOFTWARE\Iminent
    Clé Supprimée : HKLM\SOFTWARE\Offerbox
    Clé Supprimée : HKLM\SOFTWARE\SweetIM
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
    Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

    ***** [Registre (x64)] *****

    Clé Supprimée : HKLM\SOFTWARE\DataMngr
    Clé Supprimée : HKLM\SOFTWARE\Software

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [4538 octets] - [20/02/2012 10:57:44]

    *************************

    Dossier Temporaire : 37 dossier(s) et 373 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [4761 octets] ##########
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Désinstalle Bing Bar
      et Google Toolbar.
      0
    2. Clémentine
       
      Merci, j'ai désinstallé Google Toolbar mais Bing Bar résiste en me disant qu'il est impossible d'accéder au service Windows Installer etc, peut-être parce que j'ai démarrer mon PC en mode "sans échec" car je ne pouvais pas faire autrement, je ne sais pas. Je vais redémarrer de manière normale voir ce que ça donne, en tout cas merci, jusqu'ici vous avez bien aidé la nulle que je suis
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux pas démarrer en mode normal ?
      Pourquoi ?
      0
    4. Clémentine
       
      En fait quand j'arrive sur ma session où je dois entrer le mot de passe, d'une fois que je l'ai rentré le "petit cercle" bleu tourne avec écrit le "bienvenue" comme d'habitude, mais ça s'arrête là. Sur plusieurs tentatives depuis le redémarrage après suppression de la ligne startup avec les chiffres aléatoires, j'ai réussi une fois à atteindre mon l'affichage normal avec mon fond d'écran et tout ça mais après il bloque encore.. Pardon si je ne sais pas trop m'exprimer j'espère être compréhensible
      0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    humm okay.

    et tu as plusieurs sessions ?
    Ca donne quoi les autres?
    Si tu en as qu'une seule, en mode sans échec, si tu en créés une nouvelle et que tu vas dessus en mode normal, ca donne quoi ?

    sinon à faire en mode sans échec :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  19. Clémentine
     
    Merci pour tout, vraiment, tout fonctionne à nouveau pour l'instant, merci beaucoup pour votre aide!!
    0
  20. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK,

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !
    0
  • 1
  • 2