Perte du pare-feu et du centre de sécurité

[adgm1]

bonjour

j'ai récemment eu le virus qui avertit d'une amende par la gendarmerie nationale pour téléchargement illégal ("activité illicite démêlée... On a relevé l'infraction à la loi de votre IP..."). J'ai fait un nettoyage avec RogueKiller, CCleaner et Malwarebytes, et depuis je n'ai plus le message de la gendarmerie. Par contre je ne peux plus activer ni le pare-feu Windows ("le pare-feu ne peut pas modifier certains de vos paramètres. Code d’erreur 0x8007042c") ni le centre de sécurité Windows ("impossible de démarrer le service centre de sécurité). Je suis sous Seven x64 Pro.

 

Si quelqu'un avait un peu d'aide à m'apporter,

Merci.

[Apollo]

Bonjour,

 

"Récemment", tu sais exactement quel jour?

Le première chose à tenter quand on chope ce ransomware, c'est de faire une restauration système remontant un jour ou deux avant l'apparition de cette gendarmerie de carnaval. Cela arrange parfois le problème.

 

Ce genre d'infection est souvent dû à des applications qui ne sont pas à jour, genre Java, Flash Player... etc.

 

Si ça ne remonte pas trop loin, essaie la restauration puis repasse Rogue Killer en recherche et suppression (poste les rapports).

 

Ensuite, lance MBAM, à jour, dans une analyse complète et poste le rapport également. (à condition qu'on ait plus besoin de rogue killer, selon les rapports que je verrai.

 

Sinon, solution proposée par Microsoft: http://support.microsoft.com/kb/2530126/fr

 

@++

[adgm1]

ok merci pour cette reponse.

J'ai en fait chopé ce virus il y a quelque jours et j'essai de réparer ces problemes de pare feu et service de securite.

Alors aucune restauration possible car visiblement la sauvegarde n'était pas activée. Java et flashplayer sont a jour.

 

voici deja le rapport rogue killer :

 

ROGUE KILLER

 

Remontees: [RogueKiller] Remontées (1/60)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Adrien [Droits d'admin]

Mode : Suppression -- Date : 23/09/2012 18:17:22

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST2000DM001-9YN164 ATA Device +++++

--- User ---

[MBR] 26700c8307aecb619fd221881e274f03

[bSP] 19978587a23f501ed53ef96425a58a63 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 327344 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 670609345 | Size: 1580280 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: WD My Book 1110 USB Device +++++

--- User ---

[MBR] f996fd77510a47cc885f469f0130aeb7

[bSP] 1afd54edd23389de79be7cf676986e13 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1430128 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

[Apollo]

Les solutions proposées par Microsoft ne marchent pas?

 

Si MBAM tourne en ce moment, fais ceci après.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[adgm1]

j'ai déjà essayé la solution de microsoft sans résultat.

voici le rapport de malwaresbyte, je fait la manip zhpdiag.

 

 

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.09.23.04

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Adrien :: ADRIEN-PC [administrateur]

 

23/09/2012 18:22:01

mbam-log-2012-09-23 (19-04-40).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 512318

Temps écoulé: 41 minute(s), 59 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\Adrien\Downloads\Cryptload 1.1.8\Cryptload1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Aucune action effectuée.

 

(fin)

[Apollo]

Aucune action effectuée.

 

Il faut le supprimer sinon MBAM n'aura servi à rien.

[adgm1]

voici le rapport de ZHPdiag

 

Lien CJoint.com BIxupwIJQqx

 

Que faut-il faire à l'issue du scan? je ne trouve rien à supprimer .

[Apollo]

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O23 - Service: KMService (KMService) . (...) - C:\Windows\SysWOW64\srvany.exe      
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
SS - | Auto  0 |  (KMService) . (...) - C:\Windows\system32\srvany.exe    
firewallraz
emptytemp
emptyflash   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

-----------------

2) Étape 1: TDSSKiller (de Kaspersky), installation

Téléchargez tdsskiller.zip depuis le lien ci-dessous:

 

TDSSKiller ou

 

http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

 

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.

 

 

Étape 2: TDSSKiller (de Kaspersky), exécution

Faites un double clic sur TDSSKiller.exe pour le lancer.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche:

 

Cochez la case située devant Loaded modules

 

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".

 

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

 

Le PC redémarre.

 

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

 

Soyez patient, et attendez que vos programmes se chargent.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche.

Cochez toutes les cases, comme ceci:

 

puis cliquez sur le bouton OK.

 

Cliquez maintenant sur Start scan pour lancer l'analyse.

 

Déroulement de l'analyse:

 

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

 

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas

*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.

*- soit Delete -

 

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:

 

Ensuite cliquez sur le bouton Continue

 

Un redémarrage est nécessaire:

 

Cliquez sur Reboot computer

 

 

Étape 3: Résultats

Envoyez en réponse:

*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)

%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

 

Héberge le rapport: Accueil de Cjoint.com et donne-moi le lien stp.

 

++

[adgm1]

Voici déjà le rapport de ZHPfix

J'effectue les étape suivante avec TDSSKiller

 

 

 

Rapport de ZHPFix 1.3.01 par Nicolas Coolman, Update du 22/09/2012

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23-09-2012-20-31-17.txt

Run by Adrien at 23/09/2012 20:31:16

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

 

 

========== Clé(s) du Registre ==========

ERREUR Key****: Service: KMService

 

========== Valeur(s) du Registre ==========

ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\syswow64\srvany.exe

ABSENT File: c:\windows\system32\srvany.exe

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

4 : Valeur(s) du Registre

2 : Dossier(s)

4 : Fichier(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 23/09/2012 20:31:17 [1080]

[adgm1]

Et voici le rapport TDSSKiller

 

Lien CJoint.com BIxu2Y8VL0e

 

Pour info le scan n'a détecté qu'un seul élément (Suspicious objects), j'ai donc laissé l'action sur "skip" et aucun démarrage du pc n'a été demandé.

Modifié le 23 septembre 2012 par adgm1