virus gendarmerie Fermé

Question

Bonjour, 
Je possède un packard bell Windows 7 64 bits et j'ai été attaqué par le virus UKASH.
La première fois était la version "ministère de l'intérieur" avec élément firefox.exe et j'ai restauré à partir de Windows.
J'ai été attaqué une seconde fois 2 jours plus tard par le virus UKASH GENDARMERIE. J'ai suivi la méthode avec Roguekiller, malwarebytes puis une méthode vue sur youtube (Deception404) avec changement "iexplore"(échec).
Je souhaite faire une restauration complète de mon ordi mais je voudrais savoir comment me protéger à l'avenir de ce virus. Les 2 attaques successives se sont logées au niveau de firefox.exe
Merci d'avance.



Configuration: Windows 7 / Firefox 17.0

fjbvqlkjhv · Accepted Answer

Salut,

Mets à jours flash et java...

juju666 · Answer

Bonjour,

 +1 pour la mise à jour Java et Flash :-)

On va contrôler l'état du PC : 

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration
Note : si l'option "Avec analyses 64 bits" apparaît, coche la.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

A+

R34 SUPERIORITY · Answer

Bonsoir,

Voici le lien du fichier OTL

https://forums-fec.be/upload/www/?action=d&id=4256005937

mERCI

R34 SUPERIORITY · Answer

Je ne l'ai pas eu, j'ai relancé la manip

juju666 · Answer

Ouais c est que t as pas lu les consignes ...

R34 SUPERIORITY · Answer

J'ai recommencé la manip et toujours pas de extras.txt.
Comment puis-je le récupérer?
En avez-vous besoin à tout prix?

juju666 · Answer

et si tu fais F5 dans le dossier où tu as mis OTL, il apparait ? 
Tu as bien ajouté les instructions dans le cadre ? 

Ben oui si j'ajoute des analyses personnalisées c'est pour les lire :)

R34 SUPERIORITY · Answer

extras.txt n"est pas là.

J'ai fermé OTL et relancé en collant le contenu et c'est reparti.

juju666 · Answer

tiens lance ça : https://forums-fec.be/tools/searchextras.exe

g3n tu te casse la tête pour rien ^^

R34 SUPERIORITY · Answer

Je dois avouer que c'est du chinois pour moi.
Dois-je faire quelque chose en particulier?

R34 SUPERIORITY · Answer

Salut, quoi de neuf aujourd'hui?

juju666 · Answer

Salut ben j'attend ton rapport ...

 https://forums.commentcamarche.net/forum/affich-26857606-virus-gendarmerie#14

tiens lance ça : https://forums-fec.be/tools/searchextras.exe

R34 SUPERIORITY · Answer

Maintenant que j'ai lancé, que dois-je faire?

juju666 · Answer

il cherche ? ben attend
il ouvrira un rapport tu me le colle

R34 SUPERIORITY · Answer

Par curiosité, il faut combien de temps pour obtenir le rapport?
Car j'ai rien pour le momnt

juju666 · Answer

il fait indiqué quoi dans la fenetre ?

R34 SUPERIORITY · Answer

Je viens d'avoir un nouveau rapport OTL. Je t'envoie le lien

https://forums-fec.be/upload/www/?action=d&id=3546721520

juju666 · Answer

...

Poste le rapport de mon outil ! 

36 messages dans le vent là ça stagne on perd du temps ...

C:\rapport.txt

R34 SUPERIORITY · Answer

https://forums-fec.be/upload/www/?action=d&id=4177115955

juju666 · Answer

ouais ben tu fais mal OTL ...

dis moi comment tu t'y prends?

R34 SUPERIORITY · Answer

Lorsque je l'ouvre, "Avec analyses 64 bits" et "rapport standard"sont cochés.

"Avec liste blanche" est coché partout sauf pour "registre approfondi"(aucun est coché)

"Use no company-name-whitelist" est coché.

Je colle ce qui est en gras dans la partie inférieure "personnalisation" et je lance analyse

juju666 · Answer

c'est étrange, jamais observé pareil cas ....

tant pis j'analyse OTL je reviens.

juju666 · Answer

désinstalle regcleanpro c'est de la crotte en barre

===========================

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

R34 SUPERIORITY · Answer

Voici le lien du rapport ADW

https://forums-fec.be/upload/www/?action=d&id=2894761910

juju666 · Answer

voilà c'est déjà plus propre :)

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.



&#x25CF; Uniquement en cas de problème de mise à jour:

&#x25CF; Télécharger mises à jour manuelles MBAM 

&#x25CF; Exécute le fichier après l'installation de MBAM 



&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

R34 SUPERIORITY · Answer

Analyse en route depuis 56 minutes, j'attends que ça se termine

R34 SUPERIORITY · Answer

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.09.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Régis :: RÉGIS-PC [administrateur]

Protection: Activé

09/01/2013 19:49:12
mbam-log-2013-01-09 (19-49-12).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 426322
Temps écoulé: 58 minute(s), 20 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

Bon ça me parait bien 

en fait c'est venu par un exploit java.

pense à bien mettre à jour java à l'avenir

final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

R34 SUPERIORITY · Answer

Je vais suivre le tutoriel de nettoyage ainsi que les instructions pour protéger mon PC.
Un grand merci pour tous ces renseignements

juju666 · Answer

=]

R34 SUPERIORITY · Answer

# DelFix v10.0 - Rapport créé le 09/01/2013 à 22:26:56
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Régis - RÉGIS-PC

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\rapport.txt
Supprimé : C:\Users\Régis\Desktop\AdwCleaner[S1].txt
Supprimé : C:\Users\Régis\Desktop\OTL.Txt
Supprimé : C:\Users\Régis\Downloads\adwcleaner.exe
Supprimé : C:\Users\Régis\Downloads\RogueKillerX64.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

juju666 · Answer

super !

R34 SUPERIORITY · Answer

Total space cleaned: 9.53 MB

juju666 · Answer

vu :)

Virus gendarmerie

34 réponses

Discussions similaires