Besoin d'aide.. Virus "uqlfnuf.exe"

Breizhcola -  
 Utilisateur anonyme -
Bonjour à tous,

J'ai récupéré un PC sur lequel il y a visiblement un trojan nommé "uqlfnuf.exe".
Dès que windows démarre, il m'indique :

uqlfnuf.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru... blablablabla

Alors j'ai essayé de l'enlever du démarrage avec ccleaner : impossible, il coupe directement le PC.
J'ai voulu arrêter le processus dans le gestionnaire de tache : impossible d'accéder au gestionnaire "Le gestionnaire des tâches a été désactivé par votre administrateur".
et je ne peux plus me connecter à internet via la wifi.

Quelqu'un a t'il déjà rencontré ce pb ? Quelqu'un saurait-il m'aider à éliminer ce trojan ?

Merci d'avance

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un PC apparemment infecté par le trojan uqlfnuf.exe démarre et fait planter le processus, le gestionnaire des tâches est désactivé et l’accès Internet est bloqué, la demande porte sur l’élimination du malware.
Des pistes privilégient l’utilisation d’un support bootable et d’outils de diagnostic comme OTLPE, afin d’analyser les fichiers système et d’effectuer une restauration sans démarrer Windows.
D’autres préconisent des nettoyages complémentaires via OTCleanIt et CCleaner, puis la purge des points de restauration infectés et la vérification des erreurs pour stabiliser le système.
En cas d’impossibilité de réparation locale, l’usage d’un support externe, comme une clé USB amorçable ou un CD avec OTLPE, est suggéré afin de diagnostiquer et réparer les fichiers critiques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonsoir

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+
    0
    1. Bretzcola
       
      C'est un peu long désolée. j'ai installé le logiciel, il s'est mis en route tout seul, puis sur la fin, il m'affiche 256 erreurs détectées. Je l'ai fermé puis recherché dans Program files... mais rien.. aurais-je fait une erreur ?
      0
    2. Utilisateur anonyme
       
      Re

      Recommence ;)
      0
    3. Bretzcola
       
      Non toujours rien...
      0
    4. Bretzcola
       
      Je retente.Aller on espère ! La 3e c'est la bonne !
      0
    5. Bretzcola
       
      ça y est !!! http://www.cijoint.fr/cjlink.php?file=cj201006/cijnFIIhrK.txt

      Merci d'avance
      0
  2. Utilisateur anonyme
     
    Re

    Sous quel OS es tu?
    XP .Vista;Seven
    @+
    0
    1. Bretzcola
       
      XP
      0
  3. Utilisateur anonyme
     
    Re

    1)Télécharge Rkill sur le bureau ; à partir d'un de ces liens :
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Si le premier lien ne fonctionne pas ; passe au suivant et ainsi de suite.
    http://download.bleepingcomputer.com/grinler/rkill.pif
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    Double clic pour le lancer.
    Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
    Pour Vista ou Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    Rkill désactive les processus de Windows et ceux lié aux infections afin de commencer un nettoyage

    2)Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's.

    Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    3) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
    Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Suppression

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+

    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
    1. Bretzcola
       
      Désolée, ça met du temps... Je suis sur 2 PC... pffff, quelle galère. Merci en tout cas de ton aide
      0
  4. Bretzcola
     
    Tandis que l'autre tourne toujours sur malwarebytes. J'ai mon 2e PC qui est infecté... quelle poisse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Terminons la première désinfection ;on passera à l'autre ensuite.
    @+
    0
    1. Bretzcola
       
      ça tourne ça tourne... ça va faire 1 heure. du coup j'en ai profité pour installer malwarebytes sur le 2e PC. et j'ai lancé l'analyse.
      0
  7. Bretzcola
     
    Voila le poste de mon 2e PC après tes instructions :
    Utilisateur: Emmanuelle (Administrateur) # PC-MAISON [ ]
    Mis à jour le 01/06/10 par El Desaparecido & C_XX
    Lancé à 22:33:21 | 02/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
    CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Activé

    RAM -> 1022 Mo
    C:\ (%systemdrive%) -> Disque fixe # 75 Go (54 Go libre(s) - 73%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [EMMIE] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Documents and Settings\Emmanuelle\nioulo.exe
    Supprimé! E:\rstail.exe
    Supprimé! E:\rstail.scr
    Supprimé! C:\DOCUME~1\EMMANU~1\LOCALS~1\Temp\a.dat
    Supprimé! C:\DOCUME~1\EMMANU~1\LOCALS~1\Temp\Qrg.exe
    Non supprimé ! E:\Autorun.inf
    Supprimé! C:\Recycler\S-1-5-21-606747145-1563985344-839522115-1004
    Supprimé! E:\Documents .lnk
    Supprimé! E:\Music .lnk
    Supprimé! E:\New Folder .lnk
    Supprimé! E:\Passwords .lnk
    Supprimé! E:\Pictures .lnk
    Supprimé! E:\Video .lnk

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [03/05/2010 - 20:42:57 | D ] C:\AddOn
    [03/05/2010 - 20:37:07 | A | 0] C:\AUTOEXEC.BAT
    [03/05/2010 - 20:32:38 | SH | 216] C:\boot.ini
    [05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [03/05/2010 - 20:37:07 | A | 0] C:\CONFIG.SYS
    [03/05/2010 - 20:48:19 | D ] C:\Documents and Settings
    [03/05/2010 - 21:06:36 | A | 1382] C:\FSC-DeskUpdate.txt
    [03/05/2010 - 21:02:29 | D ] C:\fsc.tmp
    [03/05/2010 - 20:37:07 | RASH | 0] C:\IO.SYS
    [03/05/2010 - 20:37:07 | RASH | 0] C:\MSDOS.SYS
    [05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
    [05/08/2004 - 14:00:00 | RASH | 251712] C:\ntldr
    [02/06/2010 - 22:15:48 | ASH | 1610612736] C:\pagefile.sys
    [02/06/2010 - 21:49:22 | RD ] C:\Program Files
    [02/06/2010 - 22:35:49 | SHD ] C:\RECYCLER
    [03/05/2010 - 20:47:16 | SHD ] C:\System Volume Information
    [02/06/2010 - 22:35:44 | D ] C:\UsbFix
    [02/06/2010 - 22:35:54 | A | 2263] C:\Usbfix.txt
    [02/06/2010 - 22:16:02 | D ] C:\WINDOWS
    [02/06/2010 - 20:22:58 | A | 5037536] E:\registrybooster.exe
    [02/06/2010 - 21:00:44 | A | 1502398] E:\ZHPDiag_1.25.14.exe
    [02/06/2010 - 21:04:38 | A | 73785] E:\ZHPDiag.Txt
    [02/06/2010 - 21:11:58 | A | 363520] E:\rkill.exe
    [02/06/2010 - 21:12:52 | N | 144] E:\autorun.inf
    [02/06/2010 - 21:20:52 | A | 6153352] E:\mbam-setup-1.46.exe
    [02/06/2010 - 21:22:22 | A | 608448] E:\comctl32.ocx

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-MAISON.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  8. Utilisateur anonyme
     
    Bonsoir

    J'attends les rapports du premier PC;merci
    @+
    0
  9. Bretzcola
     
    Bonsoir, Le rapport a planté hier, le pc s'est éteint à la fin. j'ai pas eu le temps de récupérer le rapport. du coup je l'ai relancé ce soir. j'attends le rapport.
    Merci
    0
  10. Bretzcola
     
    Il vient de planter à nouveau... je crois que je vais devoir réinstaller windows...
    0
  11. Bretzcola
     
    Il veut plus démarrer... même en mode sans échecs...Aie Aie Aie...
    0
  12. Bretzcola
     
    Bon j'ai réussi le démarrage en mode sans échec. Du coup j'ai lancé le scan en mode sans échec... ça sera bon ?
    0
  13. Bretzcola
     
    Voila le rapport du 1er PC infecté après tes indications :
    ############################## | UsbFix 7.003 |

    Utilisateur: Administrateur (Administrateur) # ACER-4CBE57334B [ ]
    Mis à jour le 01/06/10 par El Desaparecido & C_XX
    Lancé à 00:24:32 | 04/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
    CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Antivirus: Digital Protection 1.0 [Enabled | (!) Outdated]
    Antivirus: McAfee VirusScan [(!) Disabled | Updated]
    Firewall: McAfee Personal Firewall [Enabled]

    RAM -> 1012 Mo
    C:\ (%systemdrive%) -> Disque fixe # 144 Go (130 Go libre(s) - 90%) [ACER] # NTFS
    D:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [EMMIE] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-1852385389-2167395947-3405039426-1006
    Supprimé! C:\Recycler\S-1-5-21-2003303003-413715755-3818886906-1003

    ################## | Registre |

    Supprimé! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
    Supprimé! HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS
    Supprimé! HKLM\SYSTEM\ControlSet002\Services\SSHNAS
    Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableRegistryTools
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR

    ################## | Mountpoints2 |

    ################## | Listing |

    [22/09/2009 - 13:24:09 | D ] C:\304f2bb0d0e6dbc55e
    [26/04/2010 - 03:12:58 | HD ] C:\Acer
    [01/10/2008 - 05:37:05 | A | 0] C:\AUTOEXEC.BAT
    [01/10/2008 - 06:29:05 | D ] C:\Book
    [30/05/2010 - 20:16:52 | RASH | 216] C:\boot.ini
    [14/04/2008 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [01/10/2008 - 05:37:05 | A | 0] C:\CONFIG.SYS
    [03/06/2010 - 22:47:55 | D ] C:\Documents and Settings
    [06/08/2009 - 09:13:55 | ASH | 1061105664] C:\hiberfil.sys
    [28/05/2010 - 09:20:06 | D ] C:\I386
    [01/10/2008 - 05:43:45 | D ] C:\Intel
    [01/10/2008 - 05:37:05 | RASH | 0] C:\IO.SYS
    [27/08/2008 - 07:47:44 | A | 1996] C:\MOD01SET0J00P2000B.enc
    [11/09/2008 - 11:27:43 | A | 2488] C:\MOD01WOS02FRP20001.enc
    [01/10/2008 - 05:37:05 | RASH | 0] C:\MSDOS.SYS
    [01/10/2008 - 06:07:08 | RHD ] C:\MSOCache
    [14/04/2008 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
    [14/04/2008 - 14:00:00 | RASH | 252240] C:\ntldr
    [06/08/2009 - 11:24:31 | ASH | 1585446912] C:\pagefile.sys
    [20/08/2008 - 00:05:12 | A | 79] C:\Preload.aaa
    [04/06/2010 - 00:04:49 | RD ] C:\Program Files
    [04/06/2010 - 00:25:32 | SHD ] C:\RECYCLER
    [01/10/2008 - 05:48:18 | A | 542] C:\RHDSetup.log
    [02/06/2010 - 21:20:39 | A | 496] C:\rkill.log
    [22/04/2010 - 18:14:48 | D ] C:\spoolerlogs
    [05/09/2009 - 13:57:49 | AH | 232] C:\sqmdata00.sqm
    [05/09/2009 - 13:57:49 | AH | 172] C:\sqmdata01.sqm
    [05/09/2009 - 13:57:49 | AH | 172] C:\sqmdata02.sqm
    [05/09/2009 - 13:57:49 | AH | 244] C:\sqmnoopt00.sqm
    [05/09/2009 - 13:57:49 | AH | 172] C:\sqmnoopt01.sqm
    [05/09/2009 - 13:57:49 | AH | 172] C:\sqmnoopt02.sqm
    [03/08/2009 - 17:26:57 | AD ] C:\Sysinfo
    [03/08/2009 - 17:26:57 | SHD ] C:\System Volume Information
    [04/06/2010 - 00:24:56 | D ] C:\UsbFix
    [04/06/2010 - 00:25:42 | A | 3316] C:\Usbfix.txt
    [11/09/2008 - 11:21:58 | D ] C:\VALUEADD
    [04/06/2010 - 00:04:49 | D ] C:\WINDOWS
    [11/11/1999 - 09:17:54 | A | 49] C:\XPH.TAG
    [04/06/2010 - 00:05:26 | A | 14962] D:\mbam-log-2010-06-04 (00-04-49).txt
    [02/06/2010 - 22:32:16 | A | 1168715] D:\UsbFix.exe

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  14. Utilisateur anonyme
     
    Bonjour

    Oui;dans l'attente du rapport
    @+
    0
  15. Bretzcola
     
    Bonsoir

    J'ai posté les 2 rapports Usbfix. Il manque quelque chose ?

    Merci
    0
  16. Utilisateur anonyme
     
    Bonsoir

    Toujours en mode sans echec ;lance une analyse Malwaresbytes et poste moi le rapport;merci
    @+
    0
  17. Bretzcola
     
    Voila, je l'ai lancé hier.
    http://www.cijoint.fr/cjlink.php?file=cj201006/cij4WeIuYq.txt
    0
  18. Utilisateur anonyme
     
    Re

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
  19. Bretzcola
     
    Ok j'ai allumeé le PC en mode sans echec. Je ne peux pas le lancer en mode sans echec avec prise en charge réseau (plantage). J'ai donc téléchargé combofix avec l'autre PC, A l'aide de la clé USB je l'ai installé sur le PC infecté. une fois lancé, il me dit "Votre PC semble ne pas être connecté à internet. SVP, connectez-le avant de cliquer sur ok.

    Que dois-je faire ?
    0
  20. Bretzcola
     
    Voila :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijZ342dJK.txt
    0
  • 1
  • 2
  • 3