Virus gendarmerie

R34 SUPERIORITY Messages postés 17 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Je possède un packard bell Windows 7 64 bits et j'ai été attaqué par le virus UKASH.
La première fois était la version "ministère de l'intérieur" avec élément firefox.exe et j'ai restauré à partir de Windows.
J'ai été attaqué une seconde fois 2 jours plus tard par le virus UKASH GENDARMERIE. J'ai suivi la méthode avec Roguekiller, malwarebytes puis une méthode vue sur youtube (Deception404) avec changement "iexplore"(échec).
Je souhaite faire une restauration complète de mon ordi mais je voudrais savoir comment me protéger à l'avenir de ce virus. Les 2 attaques successives se sont logées au niveau de firefox.exe
Merci d'avance.

34 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est une infection par le ransomware UKASH sur un PC Windows 7 64 bits, les attaques ciblant firefox.exe et se reproduisant après une première restauration. Plusieurs conseils essentiels portent sur la mise à jour de Flash et Java pour éviter les vecteurs d'infection, et sur le contrôle du PC à l'aide d'outils spécialisés. Pour diagnostiquer et nettoyer, certains préconisent l'exécution d'OTL en mode administrateur, l'analyse du système puis la création d'un rapport, ensuite l'utilisation d'AdwCleaner et de RogueKiller avant de nettoyer les traces. D'autres recommandations ajoutent d'éviter les sources douteuses et de surveiller les processus système et les extensions du navigateur, afin de prévenir une récidive.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. fjbvqlkjhv Messages postés 359 Statut Membre 27
     
    Salut,

    Mets à jours flash et java...
    3
    1. g3n-h@ckm@n
       
      +2 même !
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour,

    +1 pour la mise à jour Java et Flash :-)

    On va contrôler l'état du PC :

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration
    Note : si l'option "Avec analyses 64 bits" apparaît, coche la.

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    A+
    2
  3. R34 SUPERIORITY
     
    Bonsoir,

    Voici le lien du fichier OTL

    https://forums-fec.be/upload/www/?action=d&id=4256005937

    mERCI
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Et extras.txt ?
      0
  4. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    Je ne l'ai pas eu, j'ai relancé la manip
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ouais c est que t as pas lu les consignes ...
    0
  7. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    J'ai recommencé la manip et toujours pas de extras.txt.
    Comment puis-je le récupérer?
    En avez-vous besoin à tout prix?
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    et si tu fais F5 dans le dossier où tu as mis OTL, il apparait ?
    Tu as bien ajouté les instructions dans le cadre ?

    Ben oui si j'ajoute des analyses personnalisées c'est pour les lire :)
    0
    1. g3n-h@ckm@n
       
      allez julien un petit batch pour retrouver le fichier perdu ^^
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      dir %homedrive%\extras.txt /S /B | more >> %homedrive%\rapport.txt

      :p
      0
    3. g3n-h@ckm@n
       
      for /f "tokens=*" %%a in ('dir /A/B/S "%Homedrive%\*.*" | findstr /IV "\\extra.txt"') do (   
      echo %%~a >> %Homedrive%\rapport.txt )  
      notepad %Homedrive%\rapport.txt 
      del /f /q %Homedrive%\rapport.txt


      ^^
      0
  9. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    extras.txt n"est pas là.

    J'ai fermé OTL et relancé en collant le contenu et c'est reparti.
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    tiens lance ça : https://forums-fec.be/tools/searchextras.exe

    g3n tu te casse la tête pour rien ^^
    0
    1. g3n-h@ckm@n
       
      je sais mais c'est plus joli ^^
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      avec mon icône c'est plus joli \o/
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      mouhahahahahhahahahaha ^^

      faudrait que je le refasse en autoit :)
      0
    4. g3n-h@ckm@n
       
      bah tu pourrais .... avec une petite fenetre où tu rentres le nom du fichier à chercher ^^

      tu l'apellerais Search_me ^^

      faudrait que je le refasse en autoit :)

      l'autoIt aussi se decompile ^^
      0
  11. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    Salut, quoi de neuf aujourd'hui?
    0
  12. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    Maintenant que j'ai lancé, que dois-je faire?
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    il cherche ? ben attend
    il ouvrira un rapport tu me le colle
    0
  14. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    Par curiosité, il faut combien de temps pour obtenir le rapport?
    Car j'ai rien pour le momnt
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    il fait indiqué quoi dans la fenetre ?
    0
  16. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    Je viens d'avoir un nouveau rapport OTL. Je t'envoie le lien

    https://forums-fec.be/upload/www/?action=d&id=3546721520
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ...

    Poste le rapport de mon outil !

    36 messages dans le vent là ça stagne on perd du temps ...

    C:\rapport.txt
    0
  18. R34 SUPERIORITY Messages postés 17 Statut Membre
     
    https://forums-fec.be/upload/www/?action=d&id=4177115955
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ouais ben tu fais mal OTL ...

    dis moi comment tu t'y prends?
    0
  • 1
  • 2