Malekal's forum

[melon]

Bonjour j'ai été infectépar le virus de la police nationale.

J'ai analysé avec RogueKiller : http://pjjoint.malekal.com/files.php?id ... 5r5n6q7k12
Et avec OTL : http://pjjoint.malekal.com/files.php?id ... d8d14u5p14
http://pjjoint.malekal.com/files.php?id ... 8d7j5w5j14

Que dois-je faire maintenant ? Merci de m'aider ;)
Je vais essayé la désinfection avec pjjoint on verra ce que cela donne (combien de temps cela prend plus ou moins pour l'analyse ? ). En attendant si vous avez une autre solution je suis preneur.

Satané Virus...

PS: Les site dans le fichiers Hosts c'est moi qui les ai rajoutés pour pouvoir les bloquer afin d'empêcher qu'on aille dessus ^^

[melon]

J'ai restaurer mon ordinateur a une date antérieure je crois que c'était la meilleure solution. Maintenant comment être sur que le virus est bel et bien supprimé ? Merci ;)

[hackinginterdit]

Bonjour,

Fais ceci:

Télécharge MalwareByte's Anti-Malware sur ton Bureau. Prendre l'option free.

Mets le à jour fais un scan rapide supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!



Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

Télécharge OTL sur ton Bureau.

Lance OTL
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
SAVEMBR:0

* Clique sur le bouton Analyse.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports, et poste les liens dans ta prochaine réponse
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

tuto : http://www.malekal.com/tutorial_OTL.php

[melon]

Bonjour, merci de ta réponse. Voici l'analyse faites avec Malware:

http://pjjoint.malekal.com/files.php?id ... 5g13y8i6h6

A première vue, aucune trace de ce virus. Dois-je quand même analyser avec OTL ? Merci ;)

[angelique]

ça parait OK ;)

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
[2012-06-14 15:19:44 | 000,000,000 | ---D | C] -- C:\Users\Melon\Desktop\RK_Quarantine
:commands
[emptytemp]
[resethosts]

» Un rapport texte apparrait au redemarrage du pc .


==> Téléchargez AdwCleaner ( d'Xplode ) sur votre bureau:
http://general-changelog-team.fr/telech ... adwcleaner

=> Lancez le, cliquez sur [Suppression] puis patientez le temps du scan.

=> Une fois le scan fini, un rapport s'ouvrira.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



===> relance OTL et clic purge outils , un redemarrage sera demandé !!!



***************************************************************************************************


===> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

List FR + EasyList << à mettre à jour regulièrement

• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

Maitriser Noscript:





A LIRE

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash


Téléchargez TFC par OldTimer sur votre Bureau à utiliser régulierement :
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista\7) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système; sinon redemarre manuellement