Infection Urausy : comment s'en débarrasser ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Arcallune

Infection Urausy : comment s'en débarrasser ?

par Arcallune »

Bonjour,

Une connaissance a attrappé un ransomware (apparemment la variante Urausy du « virus gendarmerie ») en visitant un site web infecté. Ce malware affiche une page quelques instants après que le bureau est chargé, qui rend impossible l’accès à quoi que ce soit (y compris au gestionnaire des tâches). Ci-joint une photo de la page en question.

J’ai tenté la solution Roguekiller en passant par le mode sans échec avec prise en charge réseau. Le logiciel a bien détecté puis supprimé des éléments lors du premier scan (une dizaine de processus, semble-t-il), mais le problème demeure (la page du malware s’affiche toujours lors d’un boot normal). J’ai ensuite tenté de lancer Roguekiller depuis une clé USB en mode invite de commande, sans résultat (pas de nouvelles détections).

Aussi, dans l’éditeur de registre, il n’y a pas de clef Shell comme sur cette image : https://www.malekal.com/wp-content/uplo ... gedit2.png (peut-être un effet du premier scan ?).

Merci beaucoup pour votre aide.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Urausy : comment s'en débarrasser ?

par Malekal_morte »

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Arcallune

Re: Infection Urausy : comment s'en débarrasser ?

par Arcallune »

Voici les liens des deux rapports (effectués en mode sans échec, donc).
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Urausy : comment s'en débarrasser ?

par Malekal_morte »

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - Startup: C:\Documents and Settings\Carpentier\Menu Démarrer\Programmes\Démarrage\Other.exe ()
[2013/12/12 09:55:48 | 000,126,976 | ---- | C] () -- C:\Documents and Settings\Carpentier\Menu Démarrer\Programmes\Démarrage\Other.exe
[2008/04/14 13:00:00 | 000,126,976 | ---- | C] () -- C:\Documents and Settings\Carpentier\Application Data\Other.res


* poste le rapport ici


puis redémarre sur la session.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Arcallune

Re: Infection Urausy : comment s'en débarrasser ?

par Arcallune »

Bonjour, ci-dessous le rapport après correction :

========== OTL ==========
C:\Documents and Settings\Carpentier\Menu Démarrer\Programmes\Démarrage\Other.exe moved successfully.
File C:\Documents and Settings\Carpentier\Menu Démarrer\Programmes\Démarrage\Other.exe not found.
C:\Documents and Settings\Carpentier\Application Data\Other.res moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 12132013_092709


En relançant la session, il n'y a effectivement plus de blocage.
Le malware serait donc bien éradiqué ?
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Urausy : comment s'en débarrasser ?

par Malekal_morte »

oui PDT_008


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité : ~~

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec HOSTS Anti-PUPs/Adwares : https://www.malekal.com/2012/01/10/host ... upsadware/

Image

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Arcallune

Re: Infection Urausy : comment s'en débarrasser ?

par Arcallune »

Eh bien un grand merci pour votre dévouement ! Et quelle rapidité...
Le PC a été sécurisé : mise à jour puis désactivation de Java, mise à jour des plugins, de Adobe Reader...
Merci encore.
Dernière modification par Arcallune le 13 déc. 2013 14:31, modifié 1 fois.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Urausy : comment s'en débarrasser ?

par Malekal_morte »

nice PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »