UC XP infecté par le troyen gendarmerie ! Quelle marche à suivre
Résolu
oulipien
Messages postés
10
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Sur un pc avec Windows XP pro SP3. La session est bloquée par la page qui demande de payer 100 euros pour débloquer. Ctrl Alt Supp inactif. Démarrage en mode sans échec échoue lors du choix "ouverture de session ou restauration. Je ne vois pas comment arriver a prendre le controle ?
Merci de bien vouloir m'aider !!!
C'est pas la machine depuis laquelle j'écris...
Sur un pc avec Windows XP pro SP3. La session est bloquée par la page qui demande de payer 100 euros pour débloquer. Ctrl Alt Supp inactif. Démarrage en mode sans échec échoue lors du choix "ouverture de session ou restauration. Je ne vois pas comment arriver a prendre le controle ?
Merci de bien vouloir m'aider !!!
C'est pas la machine depuis laquelle j'écris...
A voir également:
- UC XP infecté par le troyen gendarmerie ! Quelle marche à suivre
- Cle windows xp - Guide
- Suivre colis - Guide
- Suivre position google - Guide
- Cd burner xp - Télécharger - Gravure
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
11 réponses
Salut,
L'invite de commandes en mode sans échec marche lui ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
L'invite de commandes en mode sans échec marche lui ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci de suivre mon problème
Je viens de lancer le mode de commande sans échec et ça marche. J'ai le prompt et je peux taper des commandes.
Je viens de lancer le mode de commande sans échec et ça marche. J'ai le prompt et je peux taper des commandes.
lance rstrui.exe pour lancer une restauration du système - voir : https://forum.malekal.com/viewtopic.php?t=20428&start=
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tape regedit.exe
Déroule à gauche :
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
A droite, supprimer la clef Shell
Redémarre l'ordinateur en tapant la commande shutdown /r
Déroule à gauche :
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
A droite, supprimer la clef Shell
Redémarre l'ordinateur en tapant la commande shutdown /r
Merci pour la procédure
J'ai pu reprendre la main sur la session utilisateur sans être bloqué. Je viens de passer MalwareByte qui m'a trouvé 22 elements douteux. Je vais passer Adwcleaner et une analyse avec l'antivirus. Je pense passer Hijackthis pour voir s'il y a des lignes douteuses.
Voilà, bon encore merci
j'ai le log de Mawarebyte au cas ou
J'ai pu reprendre la main sur la session utilisateur sans être bloqué. Je viens de passer MalwareByte qui m'a trouvé 22 elements douteux. Je vais passer Adwcleaner et une analyse avec l'antivirus. Je pense passer Hijackthis pour voir s'il y a des lignes douteuses.
Voilà, bon encore merci
j'ai le log de Mawarebyte au cas ou
Voici le log
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.31.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
VAQUIE :: VAQUIE-8D918486 [administrateur]
31/10/2013 13:15:56
MBAM-log-2013-10-31 (13-36-01).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226887
Temps écoulé: 18 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 12
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09F1ADAC-76D8-4D0F-99A5-5C907DADB988} (Rogue.Multiple) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent (PUP.Optional.Iminent.A) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent\Log (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Fichier(s) détecté(s): 6
C:\Documents and Settings\VAQUIE\Application Data\Other.res (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iv9NiaV0.exe (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\nvxwputadnwmohnssws.bfg (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\b34btbztdb0vavaw.exe (Trojan.FakeMS) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\jar_cache5616085435557361991.tmp (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\rundll32.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.31.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
VAQUIE :: VAQUIE-8D918486 [administrateur]
31/10/2013 13:15:56
MBAM-log-2013-10-31 (13-36-01).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226887
Temps écoulé: 18 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 12
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09F1ADAC-76D8-4D0F-99A5-5C907DADB988} (Rogue.Multiple) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent (PUP.Optional.Iminent.A) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent\Log (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Fichier(s) détecté(s): 6
C:\Documents and Settings\VAQUIE\Application Data\Other.res (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iv9NiaV0.exe (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\nvxwputadnwmohnssws.bfg (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\b34btbztdb0vavaw.exe (Trojan.FakeMS) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\jar_cache5616085435557361991.tmp (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\rundll32.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
(fin)
c'est bon, sécurise ton PC.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Merci beaucoup pour le retour
Le poste n'est pas à moi, mais je vais passer la consigne pour la mise à jour des éléments en cause. J'ai tout nettoyé et j'ai fait le max de mises à jour avant de contrôler qu'il n'y avait plus de traces visible de l'infection.
En tout cas un grand merci pour l'assistance et pour les liens.
Comment tu as su pour le registre ?
Cordialement
Michel
Le poste n'est pas à moi, mais je vais passer la consigne pour la mise à jour des éléments en cause. J'ai tout nettoyé et j'ai fait le max de mises à jour avant de contrôler qu'il n'y avait plus de traces visible de l'infection.
En tout cas un grand merci pour l'assistance et pour les liens.
Comment tu as su pour le registre ?
Cordialement
Michel
