Virus ransom - gendarmerie - Hijack.Regedit Fermé

Question

Bonjour à tous,    


Je viens d'être infecté par le virus de la "Police - Gendarmerie" me demmandant une rançon. L'attaque a été très violente.   

Je dois dire que j'ai la rage, je dispose d'un antivirus Panda en règle et à jour, mais il l'a laissé passer sans broncher !   

J'ai réussi en faisant alt+ctrl+del à sortir dans un premier temps de cette page qui bloquait tout. J'avais une session invité sur laquelle le virus n'était pas opérationnel. Ma session personnelle, elle, était infectée et quasi bloquée.   

J'ai fais fait beaucoup de manipulation et d'essai en fonction des recherches que j'ai fais sur le net. RogueKiller m'a permis dans un deuxième temps de bloquer la page (police), puis Malwaresbytes à supprimer l'infection. Mais il m'a été très difficile d'ouvrir ma session et d'activer Roguekiller avant que la page "police" ne s'affiche et bloque tout.    

J'ai donc apparemment réussi à exterminer le virus mais il a fait des dégats que je n'arrive pas à résoudre:   

- Mon bios n'apparait plus (écran noir au démarrage jusqu'à ouverture de session - pas de logo windows non plus)   

- Fichiers cryptés sans extension ou points du type QdNNAvvAdvoOQnNAjeUl, aucune des applications PandaRansomWare, Karspersky n'arrivent à décrypter mes fichiers et ce même en mode advanced avec fichier source.   

- D'autres petites choses bizarres comme une mise à jour clavier Logitech qui revient tout le temps même si je l'installe, mon UAC qui s'est désactivé tout seul,etc   

J'ai aussi désinstallé AdobeReader, mis à jour mon bios sans pour autant vérifier qu'il le soit bien puisque je n'y ai toujours pas accès.   

Pour l'instant mon pc semble fonctionner correctement, voici ce que malwaresbytes à trouvé:   

Hijack.Regedit   
Spyware.OnlineGames   
Trojan.Phex.THAGen1   
Spyware.OnlineGames   
Trojan.Phex.THAGen1   
RiskWare.Tool.CK   
Spyware.Zeus   
Spyware.OnlineGames   
Hijack.Regedit   


Rien donc du genre Ransom.**, j'ai l'impression que j'ai été victime de plusieurs attaques sur ces derniers jours, j'ai eu deux pages de gendarmerie avec des textes différents. La deuxième étant celle qui aurait fait le plus de dégats.   

Je remercie celui ou celle qui me viendra en aide.   

Nosotr   

Configuration: Windows 7 / Internet Explorer 9.0

Nosotr · Answer

Bon j'ai réussi à retrouver mon bios et j'ai vérifié, il est bien mis à jour.

Pour ceux que ça intéresse, j'ai tout d'abord déconnecté le cordon sata du disque dur et démarré sans, l'écran était toujours tout noir.

Ensuite j'ai déconnecté le pc (cordon d'alimentation) attendu que qu'il se décharge (led de la carte mère éteinte) puis j'ai maintenu le bouton power pendant 1 min.
Je n'ai pas touché à la pile de la carte mère.
J'ai remis le cordon d'alimentation et j'ai démarré le pc, le bios est apparu. Et pour finir j'ai reconnecté le cordon sata du HDD.

Désormais tout semble fonctionner correctement à ce niveau, reste le cryptage de mes fichiers pour lequel je ne trouve pas de solution.

Malekal_morte- · Answer

Salut,

Je suis désolé de t'annoncer que pour le moment, il n'y a pas de solution connue pour le cryptage des fichiers.
Dans le cas où les antivirus sortiront une solution (si techniquement cela est possible), j'essayerai de poster ici, sinon tu peux suivre ce topic : https://www.malekal.com/trojan-trustezeb-ransomware-virus-coder-de-windows/


En ce qui concerne ton infecton - je te conseille de :

Passer un coup d'AdwCleaner :


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  



~~

Installer Malwarebyte et faire des scans réguliers avec :  https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


~~

Sécuriser ton PC :

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis ! 


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Nosotr · Answer

Bonjour malekal_morte-,

Heureux de voir ta réponse, je venais justement de tomber sur ton site et j'allais le mentionner dans ma prochaine réponse vu que j'étais en plein monolgue.

Bravo pour ton travail, heureusement que des personnes comme toi s'intéressent à ce genre de problème et n'hésitent pas à en faire un topic complet.

J'ai désormais trouvé grace à ton site d'où est venu ce problème et je m'en mords les doigts. J'ai en effet reçu le mail de fausse facture m'étant destiné comme acheteur avec le dossier zip.
Pourtant prudent et supprimant généralement automatiquement ce genre de mail (signé : SNC Gembee 65 PLACE D'Lana 75424 PARIS), je l'ai ouvert, je ne sais pas pourquoi et j'ai même répondu à l'expéditeur en me faisant passer pour une prune qui allait tomber dans le panneau juste pour voir jusqu'où ça allait aller. Réaction bête, mais j'en ai marre de ce genre d'arnaque et j'étais prêt à faire le nécessaire pour transmettre les infos à qui de droit. Cela étant, c'est moi qui paye maintenant.

Pour info, rien ne s'est passé lors de l'ouverture de ce fichier, le virus ne s'est pas activé lorsque je surfais, mais brutalement pendant l'utilisation de logiciel de MAO et ce deux ou trois jours plus tard.

Je vais de ce pas faire ce que tu recommandes et mettre à jour mes logiciels.

Je poste le rapport d'AdwCleaner dès que possible.

Nosotr · Answer

Voici le scan d'AdwCleaner:

# AdwCleaner v1.702 - Rapport créé le 16/07/2012 à 11:58:00
# Mis à jour le 13/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Janin - PC-JANIN
# Exécuté depuis : C:\Users\Janin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MUOO7PZR\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Janin\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\Janin\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\Janin\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\Janin\AppData\LocalLow\Searchqutoolbar
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Tarma Installer
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\SearchResults.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Ask&Record
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\bandoo
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BandooCore.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.BandooCore
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.BandooCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.ResourcesMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.ResourcesMngr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.SettingsMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.SettingsMngr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.StatisticMngr
Clé Supprimée : HKLM\SOFTWARE\Classes\BandooCore.StatisticMngr.1
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\SweetIM
[x64] Clé Supprimée : HKLM\SOFTWARE\Tarma Installer

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4E1D-BDD0-1E9C9B7799CC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7F000001-DB8E-F89C-2FEC-49BF726F8C12}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4FDE-B055-AE7B0F4CF080}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4E1D-BDD0-1E9C9B7799CC}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7F000001-DB8E-F89C-2FEC-49BF726F8C12}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4FDE-B055-AE7B0F4CF080}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\Janin\AppData\Roaming\Mozilla\Firefox\Profiles\gkf1lxwp.default\prefs.js

C:\Users\Janin\AppData\Roaming\Mozilla\Firefox\Profiles\gkf1lxwp.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Users\Others\AppData\Roaming\Mozilla\Firefox\Profiles\11sth0pt.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [8493 octets] - [16/07/2012 11:55:29]
AdwCleaner[S1].txt - [6962 octets] - [16/07/2012 11:58:00]

########## EOF - C:\AdwCleaner[S1].txt - [7090 octets] ##########

jhudson · Answer

J'ai fait une restauration a une date antérieure,et ca a réussi a résoudre le probléme quand ça m'est arrivé

Virus ransom - gendarmerie - Hijack.Regedit

5 réponses

Discussions similaires