Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection Ukash + alerte sécurité


jagacuba

Messages recommandés

Mon PC est infecté par le virus UKASH qui bloque ma session (je ne peux pas lancer malewarebytes) et j'ai depuis quelques temps des alertes de sécurité concernant différent certificats (java puis maintenant twitter!). Pouvez vous m'aider à résoudre ces problèmes?

 

Merci

Modifié par jagacuba
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Première chose à tenter: une restauration système remontant à 1 ou 2 jours avant l'apparition du phénomène, suivi de RogueKiller et MBAM à jour et analyse complète.

 

Si la restauration système ne suffit pas ou n'est pas possible à faire, utiliser RogueKiller et MBAM dans la foulée.

 

------------------

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

---->> Clique sur Suppression et poste le rapport.<<<---

 

Explications de Tigzy: [RogueKiller] V7 - Tutorial officiel

 

Poste les rapports obtenus après chaque demande de manip stp.

 

 

Autres options:

 

- Suppression

- HostRAZ

- Proxyraz

- DNS Raz

- RaccourcisRaz (si les icônes ont disparu, uniquement).

- Rapport

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir;

Impossible de faire restauration: PC bloqué des le départ par la fenêtre UKASH.

 

Rogue killer se carge, mais le driver reste en rouge. Après le scan le rogue.ANTISPY-AH est détecté.

 

Voici le rapport:

 

RogueKiller V8.4.1 [Dec 23 2012] by Tigzy

mail : tigzyRK<at>gmail<dot>com

Feedback : RogueKiller - Geeks to Go Forums

Website : RogueKiller

Blog : http://tigzyrk.blogspot.com/

 

Operating System : Windows XP (5.1.2600 ) 32 bits version

Started in : Normal mode

User : SYSTEM [Admin rights]

Mode : Scan -- Date : 12/25/2012 18:16:46

 

¤¤¤ Bad processes : 1 ¤¤¤

[RESIDUE] IEXPLORE.EXE -- X:\I386\IEXPLORE.EXE -> KILLED [TermProc]

 

¤¤¤ Registry Entries : 1 ¤¤¤

[FILEASSO] HKLM\[...]\command : (X:\I386\IEXPLORE.EXE) -> FOLDER NOT FOUND

 

¤¤¤ Particular Files / Folders: ¤¤¤

 

¤¤¤ Driver : [NOT LOADED] ¤¤¤

 

¤¤¤ Extern Hives: ¤¤¤

-> C:\windows\system32\config\SOFTWARE

-> C:\Documents and Settings\All Users\NTUSER.DAT

-> C:\Documents and Settings\Default User\NTUSER.DAT

-> C:\Documents and Settings\Jean-Claude\NTUSER.DAT

-> C:\Documents and Settings\LocalService\NTUSER.DAT

-> C:\Documents and Settings\Margaux\NTUSER.DAT

-> C:\Documents and Settings\NetworkService\NTUSER.DAT

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ HOSTS File: ¤¤¤

--> X:\i386\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Check: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 60f6b9002dfeba358cf5c45879c88cd6

[bSP] f962f4e7c4331d1b724a5bfa86d5ac8f : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 190771 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: +++++

--- User ---

[MBR] 0fa2fce7fdff3d1c2c580cf1abce5f66

[bSP] d9933392e1cec36403b17b04b6c09126 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 190779 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Finished : << RKreport[5]_S_12252012_02d1816.txt >>

RKreport[1]_S_12252012_02d1746.txt ; RKreport[2]_S_12252012_02d1748.txt ; RKreport[3]_S_12252012_02d1811.txt ; RKreport[4]_D_12252012_02d1816.txt ; RKreport[5]_S_12252012_02d1816.txt

Modifié par jagacuba
Lien vers le commentaire
Partager sur d’autres sites

Passe l'option suppression comme demandé plus haut stp.

 

Poste le rapport.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

J'ai déjà tenté suppression plusieur fois, mais cela ne change rien: si je relance le rogue est toujours là: est-ce du au fait que le driver reste en rouge?

L afenêtre KASH bloque le PC en mode normal et en mode sans echec donc impossible de lancer MBAM qui est installé sur le PC et que j'utilise presque chaque semaine.

Modifié par jagacuba
Lien vers le commentaire
Partager sur d’autres sites

As-tu remarqué des dossiers et fichiers dont le nom est précédé de "locked"?

 

Fais toujours ceci: en mode sans échec AVEC prise en charge du réseau s'il fonctionne.

 

Pour réparer les associations de fichiers:

 

Sous XP:

 

Télécharge xp_exe_fix.zip de Doug Knox et enregistre-le sur ton bureau.

 

Décompresse le fichier zip, tu obtiendras un fichier *.reg.

 

Fais un clic droit dessus puis clique sur fusionner; accepte la fusion dans le registre.

 

Redémarre ton pc et réessaie d'utiliser tes exécutables.

 

----------------------------------

Sous Vista: File association fixes for Windows Vista

 

http://www.libellules.ch/associations.php

----------------------------------

 

Sous Windows 7: File Association Fixes for Windows 7 - The Winhelponline Blog

 

----------------------

 

Avec RogueKiller, passe l'option Hostraz. >> rapport

 

++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Je suis désolé, mais on ne se comprend pas: mon PC est bloqué par la fenêtre UKASH en mode plein ecran ausi bien en mode normal que sans echec. Pour y accéder j'utilise REATOGOPE, autrement accès impossible.

 

Je ne peux faire des manipulations que dans cet environnement REATOGOPE ou UKASH n'est pas présent.

 

J'ai fait un scan avec OTL PE; voici le lien:

 

http://cjoint.com/?BLzw4aw4T4B

Modifié par jagacuba
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

J'ai repris la main sur le PC en utilisant le mode sans echec en ligne de commande qui est le seul où la fenêtre UKash "Ministère de l'intérieur" n'apparaissait pas.

Je suis allé dans le répertoire Program Files puis Malware Bytes ou j'ai lancé l'éxécutable. Un élément a été trouvé et supprimé.

J'ai alors rebooté et passé en mode sans échec avec réseau et j'ai lancé RogueKiller. Cette fois le driver a été chargé (carré vert) et 4 autres items ont été trouvés et supprimés.

J'ai ensuite lancé AdwCleaner qui a détecté un autre fichier (C:\END) également supprimé.

Ensuite j'ai utilisé l'utilitaire UpdateCheker de FileHippo pour mettre à jour le PC (récemment reconstruit suite à autre virus à l'aide de ce forum): JAVA et différent outils (CCleaner...) et DRivers (ATI) ont été mis à niveau.

 

Pour l'instant le blocage ne revient plus, mais je sais ce virus très corriace et mutant aussi je voudrais savoir si d'autres tests sont à faire comme par exemple ZHPDiag que je ne maitrise pas?

 

Lien des résultats des 3 outils: © CJoint.com, 2012

 

Merci de votre assistance.

Modifié par jagacuba
Lien vers le commentaire
Partager sur d’autres sites

Rebonjour,

 

En attente de votre réponse (on est à Noël, il faut bien profiter), j'ai lancé ZHPDiag et je vous poste le lien du résultat afin que je sache quoi faire maintenant car il semble rester des résidus comme je le pensais non?:

 

pjjoint.malekal.com - Submit a file

 

Encore merci,

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Si l'option suppression d'adwcleaner a été passée, c'est bon.

 

Le rapport ZHPDiag semble clean mais par sécurité, je te suggère de faire une analyse totale avec l'un de ces deux outils:

 

Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français

 

Apollo Et Compagnie :: Analyser avec DrWeb CureIt. Si tu choisis DrWeb, privilégie la seconde option proposée par Nardino;

 

@++

 

 

NB, pour finir et après avoir posté les rapports (s'il y en a), désinstaller les outils spéciaux avec ©©chargements - Outils de Xplode - DelFix

 

Lis également ce topic:

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

~~~~~~~~~~~~~~~~~~~~~~~~~~

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...