Ukash...
Résolu/Fermé
Bbird
-
Modifié par Bbird le 23/03/2012 à 14:53
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 mars 2012 à 10:54
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 mars 2012 à 10:54
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
26 mars 2012 à 10:54
26 mars 2012 à 10:54
Salut,
Faire ça :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Faire ça :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Bonjour Bbird,
Ce n'est pas étonnant que même en mode sans échec tu restes toujours bloqué car ce virus qui agit différemment selon les configurations, affecte le mode normal et le mode sans échec dans la configuration windows xp. Seule l'invite de commandes peut te permettre quelques manipulations. Donc ne fais pas "mode sans échec avec prise en charge réseau" mais "invite de commandes en mode sans échec".(3ème ligne)
Tente alors une restauration du système à une date antérieure à l'infection :
Saisis les commandes suivantes en validant par entrée :
cd %windir%
cd system32
cd restore
rstrui.exe
Ce qui devrait lancer la restauration système de Windows. C'est la meillure solution et cela marche dans beaucoup de cas. Reviens une fois que tu as fait cela. Si ça a marché, il restera encore à faire d'autres choses. Sinon il y aura d'autres solutions toujours en invites de commandes en mode sans échec. Bonne chance.
Cordialement Bridget.
Ce n'est pas étonnant que même en mode sans échec tu restes toujours bloqué car ce virus qui agit différemment selon les configurations, affecte le mode normal et le mode sans échec dans la configuration windows xp. Seule l'invite de commandes peut te permettre quelques manipulations. Donc ne fais pas "mode sans échec avec prise en charge réseau" mais "invite de commandes en mode sans échec".(3ème ligne)
Tente alors une restauration du système à une date antérieure à l'infection :
Saisis les commandes suivantes en validant par entrée :
cd %windir%
cd system32
cd restore
rstrui.exe
Ce qui devrait lancer la restauration système de Windows. C'est la meillure solution et cela marche dans beaucoup de cas. Reviens une fois que tu as fait cela. Si ça a marché, il restera encore à faire d'autres choses. Sinon il y aura d'autres solutions toujours en invites de commandes en mode sans échec. Bonne chance.
Cordialement Bridget.
Merci pour toutes ces explications !
Entre temps j'ai téléchargé malwaresbytes.
J'ai fait un scan complet qui m'a ressorti les virus.
J'ai pu les supprimer et en rallumant en mode normal mon ordi.. oh! joie !! tout (re)marche !!
J'ai fait une mise à jour via SXCU.exe des mes logiciels type flash, java et adobe.
SI tu vois autre chose que je pourrais faire.. n'hésite pas !!
Pour info, j'ai chopé le virus via du streaming.. donc je vais déjà aussi commencer par arrêter :-)
Merci
Entre temps j'ai téléchargé malwaresbytes.
J'ai fait un scan complet qui m'a ressorti les virus.
J'ai pu les supprimer et en rallumant en mode normal mon ordi.. oh! joie !! tout (re)marche !!
J'ai fait une mise à jour via SXCU.exe des mes logiciels type flash, java et adobe.
SI tu vois autre chose que je pourrais faire.. n'hésite pas !!
Pour info, j'ai chopé le virus via du streaming.. donc je vais déjà aussi commencer par arrêter :-)
Merci
Bonsoir Bbird,
Bonne initiative d'avoir mis à jour ces logiciels par les failles desquels passent beaucoup d'infections ainsi que ton intention de t'abstenir du streaming dont se servent les nuisibles pour pénêtrer au coeur des ordis. Même le meilleur antivirus ne peut nous protéger totalement , c'est notre pratique du net qui est notre meilleure protection. Pas de streaming, pas de téléchargements imprudents, réfléchir avant de cliquer sur un lien... Maintenant ne pense pas trop vite être débarassé de ce virus qui est capable de se réactiver si tout n'est pas parti. Envoie-moi le rapport généré par MBAM que je vois ce qui a été trouvé.
Ensuite télécharge ZHPDiag de Nicolas coolman sur ton Bureau.
* Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche "Créer une icône sur le bureau")
* Lance ZHPDiag en double cliquant sur l'icône présente sur ton Bureau.
* Clique sur la loupe en haut à gauche, puis laisse l'outil scanner le PC.
* Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.
* Poste le contenu du rapport dans ta prochaine réponse en utilisant ce site : http://www.cijoint.com/
> ... sur le site de cijoint.com :
* Clique sur Parcourir pour rechercher le rapport puis sur Cliquez ici pour déposer le fichier.
* Copie le lien web qui sera généré et mets-le sur ce forum.
Mais le plus sûr serait encore une restauration avant la date de l'infection et ensuite remettre tout à jour. Puis après vérification que tout fonctionne correctement , supprimer tous les points de restauration et en crée un nouveau non infecté.
J'attends de tes nouvelles. Cordialement Bridget
Bonne initiative d'avoir mis à jour ces logiciels par les failles desquels passent beaucoup d'infections ainsi que ton intention de t'abstenir du streaming dont se servent les nuisibles pour pénêtrer au coeur des ordis. Même le meilleur antivirus ne peut nous protéger totalement , c'est notre pratique du net qui est notre meilleure protection. Pas de streaming, pas de téléchargements imprudents, réfléchir avant de cliquer sur un lien... Maintenant ne pense pas trop vite être débarassé de ce virus qui est capable de se réactiver si tout n'est pas parti. Envoie-moi le rapport généré par MBAM que je vois ce qui a été trouvé.
Ensuite télécharge ZHPDiag de Nicolas coolman sur ton Bureau.
* Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche "Créer une icône sur le bureau")
* Lance ZHPDiag en double cliquant sur l'icône présente sur ton Bureau.
* Clique sur la loupe en haut à gauche, puis laisse l'outil scanner le PC.
* Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.
* Poste le contenu du rapport dans ta prochaine réponse en utilisant ce site : http://www.cijoint.com/
> ... sur le site de cijoint.com :
* Clique sur Parcourir pour rechercher le rapport puis sur Cliquez ici pour déposer le fichier.
* Copie le lien web qui sera généré et mets-le sur ce forum.
Mais le plus sûr serait encore une restauration avant la date de l'infection et ensuite remettre tout à jour. Puis après vérification que tout fonctionne correctement , supprimer tous les points de restauration et en crée un nouveau non infecté.
J'attends de tes nouvelles. Cordialement Bridget
Bjr Bridget !
Le week-end est passé et me voici de retour :
Le rapport MBAM :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.23.01
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.5730.13
CB :: CB [administrateur]
23/03/2012 15:53:48
mbam-log-2012-03-23 (15-53-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 287453
Temps écoulé: 30 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|12463 (Spyware.Zeus) -> Données: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmnax.exe -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 1
C:\Documents and Settings\CB\Application Data\NetPumper (Adware.NetPumper) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 3
C:\Documents and Settings\All Users\Local Settings\Temp\msdubmnax.exe (Spyware.Zeus) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F44DF15A-A608-43B1-B834-BE50F3308C40}\RP335\A0067143.rbf (PUP.Dealio.TB) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\CB\Application Data\NetPumper\CB.ini (Adware.NetPumper) -> Mis en quarantaine et supprimé avec succès.
(fin)
Par contre, ça fait longtemps que tu es allée sur le site cijoint.com ?
tu n'aurais pas un autre lien ?
En attendant de tes nouvelles
Le week-end est passé et me voici de retour :
Le rapport MBAM :
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.23.01
Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 7.0.5730.13
CB :: CB [administrateur]
23/03/2012 15:53:48
mbam-log-2012-03-23 (15-53-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 287453
Temps écoulé: 30 minute(s), 59 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|12463 (Spyware.Zeus) -> Données: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmnax.exe -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 1
C:\Documents and Settings\CB\Application Data\NetPumper (Adware.NetPumper) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 3
C:\Documents and Settings\All Users\Local Settings\Temp\msdubmnax.exe (Spyware.Zeus) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F44DF15A-A608-43B1-B834-BE50F3308C40}\RP335\A0067143.rbf (PUP.Dealio.TB) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\CB\Application Data\NetPumper\CB.ini (Adware.NetPumper) -> Mis en quarantaine et supprimé avec succès.
(fin)
Par contre, ça fait longtemps que tu es allée sur le site cijoint.com ?
tu n'aurais pas un autre lien ?
En attendant de tes nouvelles
