Reveton (Virus Gendarmerie) : Rapport OTLPE [Résolu/Fermé]

Signaler
Messages postés
4
Date d'inscription
samedi 11 septembre 2010
Statut
Membre
Dernière intervention
4 juin 2015
-
Malekal_morte-
Messages postés
174158
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 janvier 2020
-
Bonjour,


On m'a filé un pc (win xp sp3) pour un "petit soucis" de virus, il ne bootait même pas en mode sans echec a cause d'un virus "hadopi" variante Urausy apparemment..

Du coup j'ai boot sur un cd live malekal's, mais je n'arrive pas à lancer Roguekiller, ce même après avoir essayé plusieurs .exe, renommé etc ...BREF il ne marche pas ça me saoule.

Du coup apparemment OTLPE fait la même chose ,j'ai suivi ce tuto http://forum.malekal.com/otlpe-live-t23453.html#p213090
Ensuite il m'a pondu un rapport que vous trouverez ici : http://pjjoint.malekal.com/files.php?id=20150604_d9o14l12c14e15

Evidemment j'ai rien compris, quelqu'un saurait me dire quoi faire? ?

merci




4 réponses

Messages postés
174158
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 janvier 2020
19049
Salut,

Ce n'est pas Urausy, il n'existe casi plus mais Reveton.
Mais bon ça change pas grand chose =)

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - [2014/05/23 15:47:13 | 000,098,981 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Documents and Settings\All Users\Application Data\914A98A806384567EAAD1B319097631F\rfveqne.cpp -- (winmgmt)
SafeBootMin: WinMgmt - C:\Documents and Settings\All Users\Application Data\914A98A806384567EAAD1B319097631F\rfveqne.cpp (Microsoft Corporation)
SafeBootNet: WinMgmt - C:\Documents and Settings\All Users\Application Data\914A98A806384567EAAD1B319097631F\rfveqne.cpp (Microsoft Corporation)
C:\Documents and Settings\All Users\Application Data\914A98A806384567EAAD1B319097631F
  • poste le rapport ici



Redémarre ton ordinateur sur Windows normalement.

puis :

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner http://forum.malekal.com/adwcleaner-t33839.html ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


Messages postés
4
Date d'inscription
samedi 11 septembre 2010
Statut
Membre
Dernière intervention
4 juin 2015

Salut, merci de ta réactivité !

Voici le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
C:\Documents and Settings\All Users\Application Data\914A98A806384567EAAD1B319097631F\rfveqne.cpp moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\WinMgmt\ deleted successfully.
File c:\documents and settings\all users\application data\914a98a806384567eaad1b319097631f\rfveqne.cpp not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\WinMgmt\ deleted successfully.
File c:\documents and settings\all users\application data\914a98a806384567eaad1b319097631f\rfveqne.cpp not found.

OTLPE by OldTimer - Version 3.1.39.0 log created on 06052015_011345


Pendant ce temps je redémarre l'ordi, c'est qu'il est pas violent...
Messages postés
4
Date d'inscription
samedi 11 septembre 2010
Statut
Membre
Dernière intervention
4 juin 2015

Bon ben nickel ! J'ai un session a peut prêt normale, me reste a faire le ménage en suivant le tuto que tu m'a indiqué.

J'ai rien compris a ce que tu m'a fait faire , et je pense qu'il ne vaut mieux pas que je cherche a comprendre ! En tout cas merci beaucoup
Messages postés
174158
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 janvier 2020
19049
=)

le centre de sécurité doit merder aussi, tu peux le remettre en suivant le paragraphe Reveton de cette page : http://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html


~~


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Désactive Java de tes navigateurs WEB : http://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious-blocage-site-malveillant-t46656.html