Résolu UwnJktuMvX findlate.org

jpm3102 · le 28 juin 2011

Bonjour,

Mon voisin vient de me m'appeler au secours AVAST vient de détecter ce que je repère comme étant des objets pas sympa du nom de 17227556 et UwnJktuMvX.exe, peu après il parle aussi de findlate.org/dfrg/dfrg.

Le programme anti malware de windows détecte beaucoup d'erreurs irréparable sur le disque dur plus bien d'autres qu'il semble pouvoir réparer.

Rapidement la RAM est surchargée, dans l'onglet programme il n'y a plus rien, manifestement il y a encore bien d'autres symptomes: plus de photos...

En cherchant sur google UwnJktuMvX.exe est connu mais vraiment pas beaucoup...

Est-ce que quelqu'un peut me dire comment m'y prendre?

Modifié le 29 juin 2011 par jpm3102

pear · le 28 juin 2011

Bonsoir,

Votre voisin a dû installer Vista Recovery ou quelque autre rogue aussi pénible.

Tentez cette procédure

Télécharger sur clé Usb et lancer Tdss Killer,Process Explorer , Rogue Killer ,Mbam à partir de la clè.

Télécharger TDSSKILLER

Télécharger Rogue Killer par Tigzy

Téléchargez MBAM

Télécharger Process Explorer

Lancer Process Explorer

Recherher un processus à 8 ou 10 chiffres aléatoires comme 32431864.exe

et un autre à 8 ou 10 lettres aléatoires comme AhGkYJyFIC.exe

ici (17227556 et UwnJktuMvX.exe)

Et les supprimer par Kill process

Lancer Rogue killer

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le prgramme bloque, cliquez droit sur le lien de téléchargement ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Nettoyage du registre Passer en Mode 2

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

Pour supprimer un proxy[/b] Passer en Mode 4

Pour corriger les Dns Passer en Mode 5

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]

Lancez successivement toutes les options

Copier/Coller le contenu des rapports dans la réponse

Redémarrer

Désinstallez Mbam, s'il est installé

lancez Mbam

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Pour lancer Tdsskiller

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection

, ("Malicious objects")

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

jpm3102 · le 28 juin 2011

Merci, j'ai du boulot... je vous donne le résultat.

jpm3102 · le 29 juin 2011

Bonjour,

Je crois que c'est tout bon, j'ai compris en plus que ce n'était pas un programme windows qui scannait l'ordi mais bien une vacherie qui après avoir bien fait peur avec son résultat catastrophique te demande de payer un module complémentaire pour éradiquer ...lui même!! merci j'ai donc en plus appris un truc: le mot rogue.

En tout cas voilà les log sauf le rogue killer option 1 que j'ai perdu:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: mc et jc [Droits d'admin]

Mode: Suppression -- Date : 28/06/2011 20:32:00

Processus malicieux: 0

Entrees de registre: 7

[sUSP PATH] HKCU\[...]\Run : UwnJktuMvX (C:\Documents and Settings\All Users\Application Data\UwnJktuMvX.exe) -> DELETED

[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED

[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED

[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED

[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)

[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\mc et jc\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:

127.0.0.1 localhost

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: mc et jc [Droits d'admin]

Mode: HOSTS RAZ -- Date : 28/06/2011 20:33:28

Processus malicieux: 0

Fichier HOSTS:

127.0.0.1 localhost

Nouveau fichier HOSTS:

127.0.0.1 localhost

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: mc et jc [Droits d'admin]

Mode: Proxy RAZ -- Date : 28/06/2011 20:34:39

Processus malicieux: 0

Entrees de registre: 0

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: mc et jc [Droits d'admin]

Mode: DNS RAZ -- Date : 28/06/2011 20:34:51

Processus malicieux: 0

Entrees de registre: 0

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: mc et jc [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 28/06/2011 20:38:59

Processus malicieux: 0

Attributs de fichiers restaures:

Bureau: Success 15 / Fail 0

Lancement rapide: Success 6 / Fail 0

Programmes: Success 22663 / Fail 0

Menu demarrer: Success 242 / Fail 0

Dossier utilisateur: Success 10052 / Fail 0

Mes documents: Success 5101 / Fail 0

Mes favoris: Success 13 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 27582 / Fail 0

Sauvegarde: [FOUND] Success 185 / Fail 0

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\Harddisk1\DP(1)0-0+7 -- 0x2 --> Restored

[E:] \Device\Harddisk2\DP(1)0-0+8 -- 0x2 --> Restored

[F:] \Device\Harddisk3\DP(1)0-0+9 -- 0x2 --> Restored

[G:] \Device\Harddisk4\DP(1)0-0+a -- 0x2 --> Restored

[H:] \Device\CdRom0 -- 0x5 --> Skipped

[i:] \Device\CdRom3 -- 0x5 --> Skipped

[J:] \Device\CdRom1 -- 0x5 --> Skipped

[K:] \Device\Harddisk5\DP(1)0-0+e -- 0x2 --> Restored

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

Version de la base de données: 6969

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

28/06/2011 21:15:25

mbam-log-2011-06-28 (21-15-25).txt

Type d'examen: Examen complet (C:\|I:\|K:\|)

Elément(s) analysé(s): 216159

Temps écoulé: 28 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 11

Processus mémoire infecté(s):