Ransomware : plugin erreur critique 0x00874324

Aujourd’hui, rammassé par le bot un Ransomware : http://forum.malekal.com/http-blendarsen-org-file-crack-extra-dvd-pocket-ripper-exe-t32716.html
Pour rappel un Ransomware est un malware qui bloque le système (Trojan.Winlock) ou l’accès à des données en les cryptant – exemple GPCode et vous demander de verser une somme afin de débloquer l’accès à ces données.
Bien souvent, l’envoie se fait à travers un SMS on a alors affaire à un Trojan-SMS-Ransomware, quelques exemples :

http://forum.malekal.com/flash-player-exe-ransomware-t26652.html?hilit=ransomware
http://forum.malekal.com/http-mms2u-info-exe-php-6067178d6665bcfe-t26727.html#p216584
http://forum.malekal.com/sms-ransomware-trojan-winlock-t21772.html?hilit=ransomware

La détection du dropper au moment où sont écrites ces lignes : http://www.virustotal.com/file-scan/report.html?id=3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4-1303881232

File name: Serial-G_DATA_Antivirus_2011.exe
Submission date: 2011-04-27 05:13:52 (UTC)
Current status: finished
Result: 5 /40 (12.5%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.27.01     2011.04.27     –
AntiVir     7.11.7.7     2011.04.25     –
Antiy-AVL     2.0.3.7     2011.04.26     –
Avast     4.8.1351.0     2011.04.26     –
Avast5     5.0.677.0     2011.04.26     –
AVG     10.0.0.1190     2011.04.27     –
BitDefender     7.2     2011.04.27     Trojan.Generic.KD.204154
CAT-QuickHeal     11.00     2011.04.27     –
ClamAV     0.97.0.0     2011.04.27     –
Commtouch     5.3.2.6     2011.04.27     –
Comodo     8488     2011.04.27     TrojWare.Win32.Trojan.Agent.Gen
DrWeb     5.0.2.03300     2011.04.27     Trojan.Siggen2.27637
eSafe     7.0.17.0     2011.04.26     –
eTrust-Vet     36.1.8293     2011.04.26     –
F-Prot     4.6.2.117     2011.04.26     –
Fortinet     4.2.257.0     2011.04.27     –
GData     22     2011.04.27     Trojan.Generic.KD.204154
Ikarus     T3.1.1.103.0     2011.04.27     –
Jiangmin     13.0.900     2011.04.26     –
K7AntiVirus     9.98.4485     2011.04.26     –
Kaspersky     9.0.0.837     2011.04.27     –
McAfee     5.400.0.1158     2011.04.27     –
McAfee-GW-Edition     2010.1D     2011.04.26     –
Microsoft     1.6802     2011.04.26     –
NOD32     6073     2011.04.27     –
Norman     6.07.07     2011.04.26     –
Panda     10.0.3.5     2011.04.26     –
PCTools     7.0.3.5     2011.04.27     –
Prevx     3.0     2011.04.27     Medium Risk Malware
Rising     23.55.01.05     2011.04.26     –
Sophos     4.64.0     2011.04.27     –
SUPERAntiSpyware     4.40.0.1006     2011.04.27     –
Symantec     20101.3.2.89     2011.04.27     –
TheHacker     6.7.0.1.183     2011.04.26     –
TrendMicro     9.200.0.1012     2011.04.27     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.27     –
VBA32     3.12.16.0     2011.04.26     –
VIPRE     9132     2011.04.27     –
ViRobot     2011.4.27.4432     2011.04.27     –
VirusBuster     13.6.322.0     2011.04.26     –
Additional information
MD5   : a35d9ce265063aec1151efba099415bd
SHA1  : 6308a5baa45ed51c804175c908bbc995cd503ad7
SHA256: 3dcf4d04f50e5d93958ef60028236ff453f698ec45bcc59e86477bd5fe45b8f4

Ce dernier remplace la clef Userinit afin de charger le malware au démarrage.
Cela signifie que le malware sera actif en mode sans échec.

Process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Userinit
New value:
Type: REG_SZ
Value: C:\Documents and Settings\Mak\Application Data\svchost.exe
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

puis fait redémarre la machine

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\Documents and Settings\Mak\Application Data\svchost.exe
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Command line: »C:\Documents and Settings\Mak\Application Data\svchost.exe » -reboot

et enfin lance un fichier batch

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe
PID: 2232
Information: Dvrpbqir Xqasnw Xusvurvqn (Dvrpbqir Software)
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Interpréteur de commandes Windows (Microsoft Corporation)
Command line:cmd /c « C:\Documents and Settings\Mak\Application Data\delself.bat »

qui a pour but de supprimer le dropper…
@echo off
:try
del « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe »
if exist « C:\Documents and Settings\Mak\Bureau\files\a35d9ce265063aec1151efba099415bd.exe » goto try
del « C:\Documents and Settings\Mak\Application Data\delself.bat »

Au redémarrage on obtient ce message bloquant le démarrage de Windows : Système de plugin à l’adresse 0x00874324 a reçu l’erreur critique, s’il vous plaît suivez ces étapes pour le désactiver.
La personne doit composer un numéro de téléphone surtaxé où une clef de déblocage lui sera communiqué.

A noter que le message est en français ce qui est assez rare, vu les fautes, on imagine qu’un traducteur a été utilisé et que la langue est définie selon l’OS.

Ransomware : plugin erreur critique 0x00874324Les solutions

Deux solutions possibles.

Première solution :

  • Démarrer sur la console de récupération
  • puis copier le fichier C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe :
    • via la commande : copy C:\Windows\system32\userinit.exe vers C:\Documents and Settings\Mak\Application Data\svchost.exe
  • Ainsi lors du prochain démarrage de Windows, ce sera le fichier userinit qui sera chargé et non le malware.
  • Faites ensuite une restauration du système pour remettre la clef Userinit correcte.

Seconde solution :

PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 40 times, 3 visits today)

18 thoughts on “Ransomware : plugin erreur critique 0x00874324

  1. HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit|C:\WINDOWS\System32\userinit.exe /E :invalid edit format. Invalid data type.

    OTLPE by OldTimer – Version 3.1.46.0 log created on 04282011_193341
    voila le log de OTL apres correction et ca ne mqrche toujours pas snif

  2. Bonjour bonjour,

    J’avais le même problème et la même réponse que pij dans le log, j’ai simplement enlevé les sauts de lignes dans le texte à coller et il n’y avait plus d’erreur dans le log… parcontre maintenant le PC reboot sans arrêt et ne démarre plus. Avant de choper le ranconware il rebootait déjà au moins 5 fois avant de se lancer, mais la c’est pire… est-ce que j’ai aggravé le problème ?
    En tout cas merci infiniment pour ce super site et le boulot que vous abattez pour aider des pauvres gars comme moi qui vérole leur PC à tour de bras…

  3. salut mouchak merci pour l’info mais est ce que vous pouvez me donner le log correcte que vous avez utilisé

  4. salut mouchak merci pour l’info mais pouvais vous me donnez le log correcte que vous avez utilisé et merci d’avance

  5. Mea culpa, ca ne marche pas toujours pas, ce matin j’ai encore l’ecran qui me demande d’appeler un numero… (y’a vraiment des gens qui appellent d’ailleurs ?) bref, j’ai recommencé la manip et je n’obtiens jamais le même log que hier ( je me rappelle plus ce qu’il y avait dedans je suis désolé mais je suis sur que je n’avais pas de message d’erreur…)
    Maintenant suivant ce que j’essaye en changeant simplement les sauts de ligne c’est des choses dans ce style:

    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit|C:\WINDOWS\System32\userinit.exe, /E :invalid edit format. Invalid data type.

    OTLPE by OldTimer – Version 3.1.46.0 log created on 05042011_112918

    ou

    Error: Unable to interpret in the current context!

    OTLPE by OldTimer – Version 3.1.46.0 log created on 05042011_113201

    ou

    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!

    OTLPE by OldTimer – Version 3.1.46.0 log created on 05042011_113435

    Une seule configuration me retourne un log sans commentaire (les deux dernières ligne sur la même ligne), j’ai essayé de redémarrer: c’est un échec….

    Bref, tjs le meme soucis… si je récupère mes données, formate et réinstalle, est ce que le problème devrait avoir disparu ??

    Courage à tous.

  6. Alors là, je ne sais pas quoi dire car je crois que même un ENORME MERCI ne pourrait pas convenir ! Bref vous avez compris, le problème est résolu et je suis vraiment soulagé, merci encore pour ce travail hallucinant et surtout votre réactivité ! Le log ci-aprés, juste pour le bonheur de lire ‘successfully’

    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\ »Userinit »| »C:\\WINDOWS\\system32\\userinit.exe, » /E : value set successfully!

    OTLPE by OldTimer – Version 3.1.46.0 log created on 05042011_151639

    Enfin en tout cas mon PC s’allume ‘normalement’, il faut quand même qu’il reboot au moins trois avant de démarrer, ca je ne sais pas d’où ca vient… mais je vais faire un beau nettoyage de toutes les choses inutiles qui trainent.
    Sinon je ne suis pas un grand informaticien mais j’ai cru comprendre que la solution donnée permettait de ‘contourné’ le virus à l’allumage mais y’a-t-il un moyen de le supprimer complètement ou en tout cas de savoir où se trouve l’exécutable en question ?

    En tout cas merci encore, vous avez fait un heureux aujourd’hui !

  7. cool 🙂

    Enfin en tout cas mon PC s’allume ‘normalement’, il faut quand même qu’il reboot au moins trois avant de démarrer, ca je ne sais pas d’où ca vient…

    Ben soit prb matériel, soit encore infecté.
    Passe un coup de Malwarebyte : http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/ – il devrait en plus virer les restes.
    Voir aussi si y a pas TDSS => http://www.malekal.com/2011/04/28/rootkit-tdssalueron-tdl-4-nouvelle-variante/

  8. Bonjour a tous.
    Big pb sur mon pc, un netbook samsung, le message d’erreur avec le plugin 0x00874324 apparait et je ne sais pas quoi faire. Pas doue en info bien entendu, ne pouvant appeler les numeros affiches puisqu’en nouvelle zelande et n’ayant pas de lecteur cdroom (car netbook) je ne peux pas lancer un quelconaue programme de demarrage via un cd room! Quelqu’un peut il m’aider???
    merci d’avance…

  9. Il faut accéder à ton disque dur soit par le LAN soit tu le branches en tant qu’esclave sur un autre PC (bien protégé de préference)
    ensuite réalise la manip MALEKALMORTE en remplaçant svchost.exe par userinit.exe => renomme userinit.exe en svchost après avec supprimer l’original.

    Tu devrais pouvoir démarrer sur windows puis néttoyage ton PC

  10. Pour ma part, je me suis servis du lag qu’entraine le démarage de l’ordi pour faire CTRL+Suprr et stopper l’application du Trojan. Une fois parti, explorer.exe c’est chargé et j’ai pu directement changer la clef UserInit. Pour finaliser le tout, j’ai regarde le chemin qu’indiquait la clef modifiée et j’ai fais analyser le fichier par Avast qui l’a tout de suite mît en quarantaine, je l’ai donc envoyé a Avast et supprimer définitivement de mon PC, la clef Userinit restaurée également. Voila si ça peut aider quelqu’un, bonne chance!

  11. Bonsoir, J’en suis actuellement au même point que fut mouchak (mais juste avant les remerciements et prosternations, donc il y a un peu d’espoir). Le log n’est pas pris en compte et n’affiche aucun « sucessfully » (l’ordure), et lorsque je redemarre mon ordinateur normalement, la fenêtre avec numéros de tel et tutti quanti s’affiche encore pour me mépriser très fort en ricanant.
    Bref, ce en quoi je suscite votre aide avec force supplications : Quel log proposez vous d’inscrire exactement ? Avec ou sans sauts en ligne?

    J’ai alternativement essayé d’écrire ceci :
    :reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    « Userinit »= »C:\\WINDOWS\\system32\\userinit.exe, »

    puis ceci :
    :reg
    HKLMSOFTWARE_ON_CMicrosoftWindows NTCurrentVersionWinlogon »Userinit »| »C:WINDOWSsystem32userinit.exe, »

    Et cela ne marche toujours pas. Voilà ce qu’il m’affiche :
    ========== REGISTRY ==========

    OTLPE by OldTimer – Version 3.1.46.0 log created on 06112011_004147

  12. Bonjour,

    J’en suis au même point que Koni Dee, que doit-on écrire après:

    C:\WINDOWS>

    Merci d’avance pour vos réponses

  13. Comme koni et mimi, nous étions bloqués après c:windows (la console de récup ne trouvait pas le lien indiqué). nous avons installé ubuntu 10.10 à côté de windows. les ports usb fonctionnent ainsi et nous avons récupéré les données importantes. puis formatage du disque system, il n’y a plus qu’à tout réinstaller. merci à malekal et longue vie à linux !

  14. Bonsoir,
    mon pc est bloquer. Il est tout bleu et cest ecrit:
    Systeme de plugin a ladressses 0xe4783995 a recu lerreur critique
    ensuite il y a une liste de num que jdois apeler pour obtenir
    une cle didentification. Je nest acces a rien dautre absolument rien…
    Merci de bien vouloir maider
    bonne soiree a tous

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *