Ordinateur bloqué par arnaque : comment faire le ménage ?

[svernoux]

Ben moi j'étais pas sur un site de streaming... Quand ça m'est arrivé, le seul site nouveau que j'avais ouvert récemment était celui d'un confrère traducteur, alors j'espère bien que ça ne venait pas de lui !

[Latinus]

Il suffit qu'une page d'un site soit piratée. A moins d'être une grosse structure, qui a les outils pour surveiller ses propres pages, on ne s'en rend même pas compte.

[svernoux]

Hmmm ouais, pas cool

[arkayn]

La fille de Leo ayant eu des problèmes, je vous donne une démarche (sans garantie de succès vu qu'il y a des variantes à ce rançonware).

-Démarrer en appuyant sur F8 et choisir INVITE DE COMMANDES EN MODE SANS ECHEC. Cliquer sur Entrée.
- Quand vous êtes sur la page toute noire (le CMD.exe) où est affiché normalement c:\ taper "regedit" . Entrée.
- Dans le registre, ouvrir :
+HKEY LOCAL MACHINE
_+SOFTWARE
__+MICROSOFT
___+WINDOWS NT
____+CURRENT VERSION
_____+WINLOGON

Dans la fenêtre de droite, vous verrez divers lignes. Clic droit sur le fichier SHELL et modifier puis renommer Explorer.exe en explorer.exe. Entrée.

-Fermer la fenêtre et dans la fenêtre CMD.exe taper "shutdown -r" puis entrée
- Votre pc va se redémarrer et le virus gendarmerie aura disparu.

Vous pouvez maintenant rescanner votre disque dur !

[Andergassen]

Ca marche aussi avec d'autres marques d'essence ?

[leo]

merci Arkayn, j'ai regardé, tout me semble bon... on verra la prochaine fois

[Latinus]

Les "hadopi" et "gendarmerie nationale" aiment bien s'inscrire dans cette clé oui.

Ceux nettoyés cette semaine par mes mimines, s'ajoutaient à la suite de "explorer.exe"... genre "explorer.exe,c:\users\profile\appdata\roaming\fichierpasgentil.ext" ... une première étape est donc de ne laisser que "explorer.exe" (il n'y a que lui qui doit être là de toute façon), ça permet au moins d'accéder à sa session pour lancer divers outils de nettoyage.

Un malwarebyte à jour, par exemple, en scan complet.

[leo]

Un malwarebyte à jour, par exemple, en scan complet.

oui bien d'accord avec toi, mais même avec spybot, mse et autres, ça n'empêche pas, avec rog**killer on peut enlever, mais pas prévenir, avant t'es bien planté... et ce qui énerve c'est que tu ne sais pas pourquoi c'est arrivé, si tu te sens en faute je dis pas, mais là, parfois

[Latinus]

Ce sont des "exploit" de type "zero day". C'est à dire l'exploitation de failles de sécurité qui viennent d'être découvertes et qui n'ont donc pas encore de correctif.
Ça passe par java (ça en devient gavant !) et aussi flash, dans la plus grande partie des cas.

L'exploitation de failles permet parfois de contourner les protections résidentes (antivirus) et même certaines stratégies de sécurité comme, par exemple, travailler avec un compte de type utilisateur.
Enfin, on a déjà expliqué tout ça dans d'autres posts

Tu peux oublier spybot, par contre, cet outil est dépassé.

[svernoux]

Ouais, du coup, je refuse toutes les màj automatiques de Java et je le mets à jour depuis le site de temps en temps. Mais c'est un peu pénible...

[leo]

en quoi Spybot serait il obsolète ?, oui on le dit, mais... je viens de tester Malwarebytes, 40mn d'examen, pas plus concluant que ça
maintenant, en ce qui concerne les màj Java et flash, comme le dit Lat, il y a bien trop de failles, donc màj nécessaires non ?

[Latinus]

Il vaut mieux être le plus à jour possible, oui.

Spybot n'offre aucune protection contre ce type de menace. Tout au plus il permet de détecter certaines choses (il est orienté spyware, d'où son nom, mais ça ne couvre pas l'ensemble des menaces) en déclenchant une analyse mais les outils "tels que" (MB n'est pas plus une référence à mes yeux qu'autre chose) MalwareByte sont plus efficaces.
Quant à la durée d'une analyse, y'a pas de miracle hein... J'éviterai de te parler d'analyses exclusivement "heuristiques" qui mettent plusieurs heures

[leo]

ayéhhh, j'y ai encore eu droit à la "gendarmerie"... si on peut plus aller sur le net, faut le dire
alors, F4, F5, F8... mode sans échecs de multiples façons, ça redémarre sans que je puisse faire qq chose et reblocage !!! je voulais essayer la méthode Arkayn...
j'ai enfin vu l'option réparer l'ordi (via F8)... sur chaque pc c'est différent... ben là on me propose de redémarrer en date antérieure... bingo
je précise ça pour tous les pauvres utilisateurs qui se font toujours piéger

[Latinus]

Attention, manip à ne réaliser que si vous avez l'assurance que la date "antérieure" est assez proche... sinon vous allez trouver un système avec bien peu de choses.

[leo]

je trouve que sous Seven ça marche relativement bien, pas plus de 2 à 3 jours antérieurs, ce n'était pas le cas sous XP (et souvent la restauration ne marchait pas !), mais ça dépend aussi de la machine je pense, là pc tour HP, nickel