Virus Ukash

[vincent1218]

bonjour,

 

je me tourne aujourd'hui vers vous car j'ai un soucis avec mon PC.

 

en effet, j'ai chopé ce matin le fameux virus UKASH gendaremrie (en regardant les infos sur 20 min.fr ???).

j'ai regardé plusieurs forum sur le net et ici mais j'ai un souci supplémentaire que je n'ai pas encore trouvé ailleur.

 

Lorsque je veux lancer "invite commande mode sans échec" j'arrive sur la page d'accueil avec les comptes utilisateurs et d'un seul coup, il redémarre, je n'ai donc pas ccès à mon ordi pour tenter deréparer.

 

si l'un d'entre vous peux me donner un coup de pouce merci d'avance.

[bernard53]

Bonsoir

Fait ceci s.t.p

 

 

► Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau ou http://www.itxassociates.com/OT-Tools/OTLPENet.exe

 

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.

* Patiente le temps de la décompression et de la gravure du CD.

* demarrer sur le cdrom crée de Reatogo , voir exemple: booter-sur-dvd-t9447.html

 

 

 

 

 

 

 

 

 

 

* Ton système doit montrer un bureau REATOGO-X-PE

* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.

* Double-click sur l'icone OTLPE

 

» à ceci valider par ok:

 

 

 

» à ceci sélectionner sa session:

 

 

 

** si le systeme d'exploitation est Vista ou Seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

 

 

 

 

 

 

* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

 

» OTLPE se lançe alors

 

 

 

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

csrss.exe

smss.exe

svchost.exe

services.exe

spoolsv.exe

alg.exe

ctfmon.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

i8042prt.sys

cdrom.sys

disk.sys

ndis.sys

tcpip.sys

imapi.sys

RDPCDD.sys

mountmgr.sys

aec.sys

rasacd.sys

redbook.sys

intelide.sys

mrxsmb10.sys

mrxsmb20.sys

termdd.sys

mrxsmb.sys

win32k.sys

storport.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

CREATERESTOREPOINT

 

* clic Run Scan pour demarrer le scan.

* une fois terminé , le fichier se trouve là C:\OTL.txt

* copie_colle le contenu dans ta prochaine reponse

 

Si ton rapport est trop long, utilise le site Accueil de Cjoint.com ou Cliquez ici. pour envoyer ton rapport, et mets le lien dans ta prochaine réponse.

 

Ensuite avant de lancer ce scan télécharge via cet environnent RoqueKiller sur Internet.

choisi après le scan de RoqueKiler le mode suppression.

si tu n'as pas Internet alors utilise un autre pc et mets RoqueKiller sur une clé usb..

 

Une vidée explicative.

Modifié le 2 août 2012 par bernard53

[vincent1218]

rebonsoir,

et d'abord merci de t'être interressé à mon problème.

 

le cd ne fonctionne pas il ne lance pas.

 

par contre bonne nouvelle (enfin j'espère) j'arrive à entrer sur l'ordinateur via un autre compte utilisateur que j'ai modifié en compte administrateur ce qui pourrait nous ouvrir d'autres possibilités, du coup j'ai lancé malwarebyte sur ce compte en espérant qu'il me nettoie le pc complètement.

je vais essayé ensuite de téléchargé l'autre logiciel antivirus (celui que tu m'indiquais en fin de ta réponse) et je vais voir si je réusii à partir de là, si ça ne marche pas je serai vite de retour su rle forum.

 

merci de ton attention, si toutefois tu penses pouvoir m'aider n'hésites pas il vaut mieux qui sait que plusieurs qui cherchent comme on dit chez nous.

 

A+

[bernard53]

le cd ne fonctionne pas il ne lance pas.

Tu as bien graver le cd comme une image .ISO et non comme un fichier de données?

Ton boot est bien réglé sur ton lecteur dvd?

 

Très bien que tu peux utiliser un autre utilisateur.

Passe RoqueKiller comme je t'ai dis s.t.p

[vincent1218]

bonjour Bernard,

 

bon hier soir (tard) j'ai réussi à passer roguekiller après malwarebyte, et ça remarche, j'ai récupéré toutes les fonctionnalites du PC.

 

reste à savoir si le virus est bien mort ou juste en sommeil quelque part.

 

je joint le rapport de roguekiller :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: ewan et gael [Droits d'admin]

Mode: Recherche -- Date: 02/08/2012 22:45:08

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] ztohpwzq.exe -- C:\ProgramData\ztohpwzq.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST31000528AS ATA Device +++++

--- User ---

[MBR] c09a2e953126af2fcc8f271294444372

[bSP] 36980062a8f9247c97b77433f7e1859f : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 70 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 145408 | Size: 9842 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 20301824 | Size: 943955 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

voilà merci en tous les cas pour ton aide, j'espère que j'en ai fini avec ce virus

[bernard53]

ok pour voir si tu as encore des restes d'intrus.

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers