Virus ministère de l'intérieur très résistant

[eawmm]

Bonsoir,

Je viens vers vous ce soir pour vous demander de l'aide pour me débarrasser d'un virus que je me suis choppé il y a quelques jours : Le virus du ministère de l'intérieur. J'ai déjà réussi à l'enlever (ainsi que celui de la gendarmerie) sur le pc de plusieurs potes, mais là, même en mode sans échec et en mode sans échec en invité de commande, la page du virus s'affiche.

J'ai pris soin, avant de poster mon message, de télécharger, graver et utiliser OTLPE afin de vous passer les résultats du scan de OTLPE

Les voicis :

OTL PE : http://pjjoint.malekal.com/files.php?re ... k5x7e12j12

Petite chose à savoir, j'étais prêt à tout simplement formater (par solution de simplicité) mais impossible à l'utilitaire de restauration via la partition dédiée : faute de temps avant que la page s'affiche.

Merci d'avance pour votre aide

[angelique]

Fait plutot FRST depuis le livecd de Malekal.

https://www.malekal.com/2013/02/22/malekal-live-cd/
https://www.malekal.com/CD_Live/download.php

[*] Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
Le scan se lance, les éléments scannés apparaissent en haut.



[*] Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[eawmm]

Alors j'ai un petit soucis...

Via le livecd gravé, les rapports de FRST ne s'enregistrent pas. (moultes tentatives)

J'ai donc pris le temps de le re télécharger afin de le mettre sur ma clé usb. Quand je boot sur ma clé usb, j'ai le message "Retirez le disque. Pressez une touche pour redémarrer". Puis quand ça redémarre, je tombe sur windows..

J'ai refait ma clé une seconde puis une troisième fois, toujours le même problème ..

Une alternative ? Ou je me la joue psychopathe et je réessaie jusqu'à ce que ça boot ?

Edit : Ah ! J'y pense ! Booter le livecd sur une machine saine et mettre le disque dur de la machine infectée en USB (j'ai l'adaptateur) pourrait fonctionner non ? (si je débranche les disques dur de la machine saine afin de ne pas affecter les résultats)

[Malekal_morte]

Edit : Ah ! J'y pense ! Booter le livecd sur une machine saine et mettre le disque dur de la machine infectée en USB (j'ai l'adaptateur) pourrait fonctionner non ? (si je débranche les disques dur de la machine saine afin de ne pas affecter les résultats)

oui en faisant un scan ou en allant supprimer les fichiers malicieux manuellement.

[angelique]

Via le livecd gravé, les rapports de FRST ne s'enregistrent pas. (moultes tentatives)

tu le retelecharges et tu l"executes depuis le livecd

La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
(Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

[eawmm]

Edit : Ah ! J'y pense ! Booter le livecd sur une machine saine et mettre le disque dur de la machine infectée en USB (j'ai l'adaptateur) pourrait fonctionner non ? (si je débranche les disques dur de la machine saine afin de ne pas affecter les résultats)

oui en faisant un scan ou en allant supprimer les fichiers malicieux manuellement.

J'ai voulu faire ça à la base, mais aucun moyen de voir lesquels sont à supprimer manuellement. J'ai déjà contrôlé le dossier démarrage et vidé les dossiers Temp.

Via le livecd gravé, les rapports de FRST ne s'enregistrent pas. (moultes tentatives)

tu le retelecharges et tu l"executes depuis le livecd

La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
(Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

Je m'en occupe ;)

[eawmm]

Voila mon rapport FRST

http://pjjoint.malekal.com/files.php?id ... 12i7g15m10

Par contre, le rapport addition.txt ne s'est pas créé ...

[angelique]

Télécharge la piece jointe en bas et met fixlist.txt à coté de ton FRST (pas ailleurs!)

clic sur le bouton fix de FRST
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

et redemarre windows voir si ça marche ?

[eawmm]

Voilà le rapport :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 17-11-2013 02
Ran by Système at 2013-11-19 15:20:59 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

Content of fixlist:
*****************
start
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,,C:\Program Files (x86)\Raxco\fEffngaE.exe
HKU\PLAY\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\PLAY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXjbkqKg.exe ()
2013-11-07 22:54 - 2013-11-07 22:59 - 00012600 _____ C:\ProgramData\277irjmq.bxx
2013-11-07 22:54 - 2013-11-07 22:54 - 00000000 ____D C:\Users\PLAY\AppData\Local\LYOUIWCE
2013-11-07 22:54 - 2013-11-07 22:54 - 00000000 ____D C:\Users\PLAY\AppData\Local\DoRODrez
2013-11-07 22:53 - 2013-11-07 22:53 - 00139264 _____ (Microsoft Corporation) C:\ProgramData\qmjri772.dss
2013-11-07 22:53 - 2013-11-07 22:53 - 00061536 ____T (Microsoft Corporation) C:\ProgramData\277irjmq.pss
2013-11-07 22:53 - 2013-11-07 22:53 - 00000000 _____ C:\ProgramData\277irjmq.fvv
C:\Users\PLAY\AppData\Local\Temp\OiWYtPyS.exe
C:\Users\PLAY\AppData\Local\Cooliris\yfSvKoWh.exe
C:\Users\PLAY\AppData\Local\DeltaToolbar.exe


*****************

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.
HKU\PLAY\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableTaskMgr => Value deleted successfully.
C:\Users\PLAY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sXjbkqKg.exe => Moved successfully.
C:\ProgramData\277irjmq.bxx => Moved successfully.
C:\Users\PLAY\AppData\Local\LYOUIWCE => Moved successfully.
C:\Users\PLAY\AppData\Local\DoRODrez => Moved successfully.
C:\ProgramData\qmjri772.dss => Moved successfully.
C:\ProgramData\277irjmq.pss => Moved successfully.
C:\ProgramData\277irjmq.fvv => Moved successfully.
C:\Users\PLAY\AppData\Local\Temp\OiWYtPyS.exe => Moved successfully.
C:\Users\PLAY\AppData\Local\Cooliris\yfSvKoWh.exe => Moved successfully.
C:\Users\PLAY\AppData\Local\DeltaToolbar.exe => Moved successfully.

==== End of Fixlog ====

[angelique]

redemarre windows voir si ça marche ?

[eawmm]

Ah ! Il redémarre ! Merci !

[angelique]

. Fait quand meme un scan MBAM > voir > https://www.malekal.com/malwarebyte-ant ... les-virus/ > supprime ce qu'il trouve.

. supprime c:\FRST


Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur de ce genre d'infection !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > https://download.mozilla.org/?product=f ... in&lang=fr

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/