UC XP infecté par le troyen gendarmerie ! Quelle marche à suivre
Résolu/Fermé
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
-
30 oct. 2013 à 20:33
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 nov. 2013 à 17:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 1 nov. 2013 à 17:26
A voir également:
- UC XP infecté par le troyen gendarmerie ! Quelle marche à suivre
- Cle windows xp - Guide
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Suivre un colis - Guide
- Winsetupfromusb windows xp - Télécharger - Utilitaires
- Cdburner xp - Télécharger - Gravure
11 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 30/10/2013 à 20:34
Modifié par Malekal_morte- le 30/10/2013 à 20:34
Salut,
L'invite de commandes en mode sans échec marche lui ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
L'invite de commandes en mode sans échec marche lui ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
30 oct. 2013 à 20:39
30 oct. 2013 à 20:39
Merci de suivre mon problème
Je viens de lancer le mode de commande sans échec et ça marche. J'ai le prompt et je peux taper des commandes.
Je viens de lancer le mode de commande sans échec et ça marche. J'ai le prompt et je peux taper des commandes.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
30 oct. 2013 à 20:42
30 oct. 2013 à 20:42
lance rstrui.exe pour lancer une restauration du système - voir : https://forum.malekal.com/viewtopic.php?t=20428&start=
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
30 oct. 2013 à 20:48
30 oct. 2013 à 20:48
Salut
Je viens de lancer une restauration en ligne de commande, j'attend le résultat.
Je viens de lancer une restauration en ligne de commande, j'attend le résultat.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
30 oct. 2013 à 20:52
30 oct. 2013 à 20:52
Bon ben il me dit que la restauration a échouée...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
30 oct. 2013 à 21:54
30 oct. 2013 à 21:54
tape regedit.exe
Déroule à gauche :
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
A droite, supprimer la clef Shell
Redémarre l'ordinateur en tapant la commande shutdown /r
Déroule à gauche :
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
A droite, supprimer la clef Shell
Redémarre l'ordinateur en tapant la commande shutdown /r
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
31 oct. 2013 à 13:40
31 oct. 2013 à 13:40
Merci pour la procédure
J'ai pu reprendre la main sur la session utilisateur sans être bloqué. Je viens de passer MalwareByte qui m'a trouvé 22 elements douteux. Je vais passer Adwcleaner et une analyse avec l'antivirus. Je pense passer Hijackthis pour voir s'il y a des lignes douteuses.
Voilà, bon encore merci
j'ai le log de Mawarebyte au cas ou
J'ai pu reprendre la main sur la session utilisateur sans être bloqué. Je viens de passer MalwareByte qui m'a trouvé 22 elements douteux. Je vais passer Adwcleaner et une analyse avec l'antivirus. Je pense passer Hijackthis pour voir s'il y a des lignes douteuses.
Voilà, bon encore merci
j'ai le log de Mawarebyte au cas ou
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
31 oct. 2013 à 13:41
31 oct. 2013 à 13:41
ok pour le rapport Malwarebytes :)
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
31 oct. 2013 à 16:49
31 oct. 2013 à 16:49
Voici le log
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.31.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
VAQUIE :: VAQUIE-8D918486 [administrateur]
31/10/2013 13:15:56
MBAM-log-2013-10-31 (13-36-01).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226887
Temps écoulé: 18 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 12
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09F1ADAC-76D8-4D0F-99A5-5C907DADB988} (Rogue.Multiple) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent (PUP.Optional.Iminent.A) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent\Log (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Fichier(s) détecté(s): 6
C:\Documents and Settings\VAQUIE\Application Data\Other.res (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iv9NiaV0.exe (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\nvxwputadnwmohnssws.bfg (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\b34btbztdb0vavaw.exe (Trojan.FakeMS) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\jar_cache5616085435557361991.tmp (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\rundll32.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.10.31.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
VAQUIE :: VAQUIE-8D918486 [administrateur]
31/10/2013 13:15:56
MBAM-log-2013-10-31 (13-36-01).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226887
Temps écoulé: 18 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 12
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Adware.ISTBar) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09F1ADAC-76D8-4D0F-99A5-5C907DADB988} (Rogue.Multiple) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent (PUP.Optional.Iminent.A) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iminent\Log (PUP.Optional.Iminent.A) -> Aucune action effectuée.
Fichier(s) détecté(s): 6
C:\Documents and Settings\VAQUIE\Application Data\Other.res (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\Iv9NiaV0.exe (Malware.Packer.SCD) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\nvxwputadnwmohnssws.bfg (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\b34btbztdb0vavaw.exe (Trojan.FakeMS) -> Aucune action effectuée.
C:\Documents and Settings\VAQUIE\Local Settings\Temp\jar_cache5616085435557361991.tmp (Trojan.Ransom) -> Aucune action effectuée.
C:\Documents and Settings\All Users\Application Data\rundll32.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
(fin)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
31 oct. 2013 à 17:08
31 oct. 2013 à 17:08
c'est bon, sécurise ton PC.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
oulipien
Messages postés
10
Date d'inscription
jeudi 10 décembre 2009
Statut
Membre
Dernière intervention
1 novembre 2013
1 nov. 2013 à 16:16
1 nov. 2013 à 16:16
Merci beaucoup pour le retour
Le poste n'est pas à moi, mais je vais passer la consigne pour la mise à jour des éléments en cause. J'ai tout nettoyé et j'ai fait le max de mises à jour avant de contrôler qu'il n'y avait plus de traces visible de l'infection.
En tout cas un grand merci pour l'assistance et pour les liens.
Comment tu as su pour le registre ?
Cordialement
Michel
Le poste n'est pas à moi, mais je vais passer la consigne pour la mise à jour des éléments en cause. J'ai tout nettoyé et j'ai fait le max de mises à jour avant de contrôler qu'il n'y avait plus de traces visible de l'infection.
En tout cas un grand merci pour l'assistance et pour les liens.
Comment tu as su pour le registre ?
Cordialement
Michel
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 1/11/2013 à 17:26
Modifié par Malekal_morte- le 1/11/2013 à 17:26
parce que le jour où tu as posté, y avait une poussée de la variante Urausy :)
donc c'était casi sûr que c'était celle la.
donc c'était casi sûr que c'était celle la.