VIRUS - violation de la loi française

Votre ordinateur a été bloqué pour violation de la loi française.

un nouveau virus a fait récemment son apparition, L’ordinateur de la victime affiche un message dont l’intitulé est le suivant :

Voici le message: il vous est demandé de payer une amende de 200 euros !! Bien entendu il ne faut surtout pas la payer.!

Si vous voyez ce texte sur votre écran c’est vous êtes infecté par un Trojan.Winlock / Tropan.Ransomware : Virus Police ! Il peut être attrapé sur certains sites de streaming.
Si c’est le cas, c’est que certains de vos logiciels ne sont pas à jour !

Voici la méthode que a utiliser pour supprimer ce virus

La version de ce virus existe sous plusieurs formes, c’est pourquoi la technique pour supprimer ce virus n’est pas unique. Voici trois des variantes disponibles pour ce virus.

1. Virus qui créer une clef Run dans la base de registre. Pour désinfecter, c’est facile il suffit d’aller en mode sans échec avec prise en charge du réseau et de scanner avec Malwarebyte ou RogueKiller avec l’option 2.
2. Une autre forme modifie la clef Shell (cela remplace le bureau par le malware, le bureau est inactif, le malware le remplace). Celle-ci est évoquée sur ce lien : http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/
3. Et la dernière variante qui remplace explorer.exe ; c’est la version la moins simple à supprimer.

Désinfection du « Virus Gendarmerie Nationale »

Mode sans échec

Pour commencer et connaitre la variante qui a infecté votre ordinateur (ou celui de votre client) vérifier si le virus est actif en mode sans échec.

Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapotez sur la touche F8, un menu va apparaître, choisissez Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.

Télécharger et lancer RogueKiller avec l’option 2

Télécharger et faites un scan avec Malwarebyte’s Anti-Malware en supprimant les éléments détectés.

Si pas mieux : Éventuellement, faites une restauration du système, cela peux corriger le problème.

Redémarrez normalement, cela devrait fonctionner.

Si le mode sans échec ne fonctionne pas

Si le virus se lance également en mode sans échec, alors cela signifie que vous avez été infecté par la variante qui remplace le fichier explorer.exe. Dans ce cas, passez aux procédures suivantes.

Le site Malekal.com donne plusieurs procédures, si bien suivi, une seule fonctionne, mais je les donne toutes.

Procédure pour Windows XP

Cette procédure est spéciale pour Windows XP. (Entre autres, à cause de l’UAC, sauf s’il est désactivé)
Les étapes :

• Pouvoir accéder aux fichiers comme expliqués avec l’astuce donnée dans la vidéo ci-dessous
• Aller renommer explorer.exe en ce que vous voulez.
• Chercher le fichier twexx32.dll, le renommer en explorer.exe
• Redémarre l’ordinateur

Vidéo : http://www.youtube.com/watch?v=7BBYTjLq_NI&feature=player_embedded

Si aucun explorer.exe n’est restauré, vous aurez votre fond d’écran ce qui permet d’aller télécharger un explorer.exe (voir à la fin de la procédure générale).

Attention cependant, si un explorer.exe trop vieux est remis, cela peux générer des plantages.

Après avoir renommé le explorer.exe comme indiqué dans la vidéo, il faut faire un reset pour redémarrer l’ordinateur, comme on a accès à rien, on ne peut pas dire à Windows de redémarrer.

Tous systèmes : Restaurer explorer en invite de commandes en mode sans échec

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menus de démarrage et choisissez invite de commandes en mode sans échec.

Sur la fenêtre cmd.exe – tapez la commande suivante puis valider par la touche entrée.

copy c:\windows\twexx32.dll c:\windows\explorer.exe

Si un message vous demande de remplacer le fichier, accepter. Vous devez avoir le message 1 fichier(s) copié(s).
Saisir exit pour redémarrer l’ordinateur
Redémarrez l’ordinateur et vérifiez si l’infection continue à se lancer.

NOTE : Il est aussi possible de passer la commande SFC /scannow toujours en invites de commandes en mode sans échec.

Le scan devrait restaurer le fichier explorer.exe

Tous Systèmes : Restauration du système en ligne de commandes mode sans échec

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menus de démarrage et choisissez invite de commandes en mode sans échec.

Saisir les commandes suivantes en validant par entrée :

cd %windir%
cd system32
cd restore
rstrui.exe

Ce qui devrait lancer la restauration système de Windows – laissez vous guider et prenez une date antérieure.

Redémarrez en mode normal et constatez si l’infection est toujours présente, si c’est le cas, passer à la procédure suivante.

Notez que pour Windows 7, il est possible de faire une restauration du système au démarrage de l’ordinateur via l’option « Réparer l’ordinateur »

Tous OS : Procédure avec clef Shell

Voici une dernière procédure.
Les procédures précédentes fonctionnent bien, en théorie vous ne devriez pas avoir besoin d’appliquer celle-ci qui est un peu plus compliqué.

Cette procédure consiste à changer la clef Shell pour récupérer la main en mode normal.

Redémarrez en invite de commande en mode sans échec : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menus de démarrage et choisissez invite de commandes en mode sans échec.

Sur la fenêtre cmd.exe, tapez regedit et validez

Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon

À droite, chercher Shell, vous devez avoir explorer.exe – remplacer par iexplore.exe
Saisir la commande : shutdown -t 1 pour que l’ordinateur redémarre

Redémarrez l’ordinateur normalement.

Vous devriez avoir Internet Explorer qui se lance tout seul.
Si ce n’est pas le cas :

• Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.
• Sur le gestionnaire de tâches :
• Cliquez sur le Menu Fichier puis nouvelle tâche
• Saisir iexplore.exe – Si vous êtes sur Windows Vista ou Seven, faites SHFIT+CTRL (à gauche de la barre d’espace – Shift est la touche majuscule) et Entrée pour valider, cela va déclencher l’UAC (demande d’autorisation pour modifier le système), pour Windows XP validez simplement – Internet Explorer se lance

Télécharger le Internet Explorer correspondant a votre système.

Windows XP SP2/SP3 : http://www.webastuces.net/download/explorer_XP_SP2.exe

Windows Vista : http://www.webastuces.net/download/explorer_Vista_SP2.exe

Windows Seven SP1 : http://www.webastuces.net/download/explorer_Seven_SP1.exe

Enregistrer le fichier dans le dossier C:\Windows sous le nom explorer.exe en remplaçant celui existant.

• Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en remettant explorer.exe dans la clef.
• Fermez toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à partir du gestionnaire de tâches.
• Redémarrez l’ordinateur, vous devriez avoir accès à votre système.

Vidéo : http://www.youtube.com/watch?v=4pbF-kD5UvY&feature=player_embedded#!

Après la désinfection – Très important

Votre ordinateur est encore vulnérable, car vos logiciels ne sont pas à jour, vous pouvez donc à nouveau vous faire infecter. Pour ce virus, la source de l’infection est le fait que vous n’ayez pas vos logiciels à jour. Il est donc indispensable de mettre à jour vos logiciels (adobe reader, flash… ect…).

Vous pouvez également filtrer les publicités avec Ad-Block pour firefox par exemple.

Edit du 18/01/2012

Pour info e virus tourne encore énormément sur la toile, mais cette fois avec ce texte :

Activite illicite demelee!

Ce blocage de l’ordinateur sert a la prevention de vos actes illegaux. Le systeme d’exploitation a ete bloque a cause de la derogation de lois de la Republique Francaise!

On a releve l’infraction a la loi: de votre IP adresse qui correspond a « 62.***.***.150 » on a realise la requete sur le site qui contient la pornographie, la pornographie d’enfant, la sodomie et des actes de violence envers les enfants. Egalement on a recupere un video avec les elements de violence et la pornographie d’enfants. De meme on a retrouve l’envoi cu courriel electronique sous forme de spam avec les dessous terroristes.

-----------------

SOURCES:
http://www.webastuces.net/virus/votre-ordinateur-a-ete-bloque-pour-violation-de-la-loi-francaise/
Envoyé par Mikaël le 20 déc 2011 dans Virus
SITE : www.WebAstuces.net

QR CODE = CODE BARRE 2D (JAPONAIS)

Un peu d’histoire…

C’est le 26 juin 1974 que ce bon vieux code barre classique est né, scanné pour la toute première fois quelque part dans l’Ohio.

Le code UPC (Universal Product Code – EAN en Europe, voir ci-contre) est utilisé plus de 10 milliards de fois par jour. Ce code à barre classique comporte 95 bits, soit 12 caractères. 5 sont utilisés pour identifier le producteur, et 5 autres pour le produit. Outre sa contrainte de nombre de caractères limités, il ne peut être lu que par un lecteur laser.

Pour l’anecdote, lors de son lancement en 1974, le code à barres avait suscité de nombreuses craintes et même des actions en justice pour atteintes au respect de la vie privée…

Aujourd’hui, le code à barres a évolué vers des versions 2D (2 dimensions) et lisibles par des caméras plutôt que par des rayons laser. Ses avantages sont de pouvoir stocker plus d’informations, d’ajouter des caractères exotiques (dont les kanji), d’être encore lisibles lorsque l’image est partiellement détruite, et enfin de pouvoir être lus par un téléphone mobile équipé d’un logiciel spécial. Le message peut être un prix, une URL, un numéro de téléphone, un texte libre et même un positionnement GPS.

Sont apparus successivement sur le marché mondial le Maxicode en 1987, le Datamatrix en 1989, le Code One en 1991, le Quick Response Code (ou QRCode) en 1994 et l’Aztec Code en 1995 pour les plus connus.

Mais c’est en 1999 qu’une société japonaise, Denso-Wave, a détourné l’usage industriel du QRCode en utilisant la caméra embarquée d’un téléphone mobile grand public comme lecteur du code 2D. L’idée ? Plutôt que de taper l’URL d’un site Internet sur le clavier d’un téléphone mobile ou même d’un PDA, ce qui s’avère peu pratique, l’utilisateur photographie le code 2D via un logiciel et accède à cette URL. Par leur simplicité d’utilisation et leur côté ludique (prendre une photo), les codes 2D se sont rapidement démocratisés dès 2004 au Japon, en Corée du Sud et plus récemment aux Philippines. L’Europe et les Etats-Unis sont également le théâtre de nombreuses expérimentations.

De par leur taille (de 2cm² à plusieurs m²), les codes 2D, peuvent être édités, imprimés, diffusés sur n’importe quel type de support tangible : presse papier, affiche, écran (TV, cinéma, ordinateur, mobile), sur l’emballage d’un produit, un monument dans la rue, à côté d’un tableau dans un musée, et même sur des aliments, la liste est infinie.

Les codes 2D sont ouverts (domaine public), ou propriétaires (et cryptés). Les QRCodes (Asie) et Datamatrix (USA) sont ouverts. Les Flashcodes (base Datamatrix) sont cryptés et propriétaires, ils ne peuvent être décodés qu’à partir de logiciels fournis par la société MobileTag. Ce format tente d’être imposé par les opérateurs de téléphonie en France, c’est une manière de verrouiller une partie du marché. Toutefois, il est évident que l’usager ne s’encombrera pas de plusieurs logiciels de lecture de code 2D dans son téléphone mobile.

L’opposition entre la stratégie ouverte affichée par les constructeurs et la stratégie propriétaire portée par les opérateurs tend à ralentir le marché. La stratégie des opérateurs est à vue court terme et risque de les enfermer sur des micromarchés.

Le QRCode devient de par sa popularité et le nombre d’applications pratiques déjà existantes, le standard international le plus utilisé au monde.

« Merci aux administrateurs du blog Mobile cross media, qui proposent un contenu technique et une actualité très riche autour des codes 2D. Nous vous invitons à parcourir leur pages http://mobilecrossmedia.blogspot.com/ »

Le maxi code    Le datamatrix      Le QRCode      L'Aztec Code

voici quelques générateurs :
http://qrcode.fr/encoder
http://qrcode.kaywa.com
http://www.unitag.fr/qrcode

Les Kanji quoi t est ce ….:

Configurer NTP pour un domaine AD

Ecrit par Pierre dans Active directory avec les tags configuration NTP, serveur de temps, serveur NTP, TuXwin Magazine Actualités IT et Web

Dans un domaine Active directory il est indispensable que les clients, les serveurs et l’ensemble des machines soient synchronisés à une source de temps faibles.Pour cela on va définir une source de temps externe par exemple un serveur basé sur une horloge atomique. Donc on va se positionner sur le PDC (pour plus d’information sur les rôles) pour qu’il devienne une source de temps pour le domaine en se synchronisant à une source de temps atomique. Pour plus de détails sur les sources de temps et les niveaux (strates 1,2..) c’est par ici

Donc sur le PDC on ouvre une invite et on tape :

net time /setsntp:fr.pool.ntp.org

Cette commande en fait va modifier certaines clés de registres :

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type passera de NT5DS à NTP
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags passera de 10 à 5 en décimal
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer sera créée au besoin et contiendra le nom du serveur NTP utilisé pour la synchronisation, ici fr.pool.ntp.org

Ensuite il faut redémarrer le service du serveur de temps :

net stop w32time

net start w32time

Ensuite on peut forcer la synchronisation pour être sur :

w32tm /resync /rediscover

Les autres contrôleurs de domaines doivent aussi être configurés sur cette source de temps.
Pour les configurés on tape dans une invite de commandes pour effacer une éventuelle configuration:

net time /setsntp

Et ensuite pour la synchro on tape :

w32tm /resync /rediscover

Pour vérifier que tout fonctionne on peut monitorer la différence des horloges avec la commande :

w32tm /monitor

Pour ce qui est des clients du domaine par défaut il se synchronise déjà au PDC donc voilà les horloges du domaine seront uniformes sur tout le réseau.