Ukash police nationale .

Résolu
patisijm Messages postés 29 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai également chopé cette saleté , et en suivant ce fil https://forums.commentcamarche.net/forum/affich-25579019-svp-virus-ukash-police-national-merci , j'ai réussi à débloquer le PC . Je sollicite votre aide pour poursuivre la desinfection . J'ai utilisé Roguekiller et malwarebytes et effectivement mon PC est reparti .

merci d'avance .

<config>Windows Vista Firefox 14.0.1</config>

17 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    relance roguekiller
    choisit proxyfix
    poste le rapport

    ...............

    2)
    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    1
  2. patisijm Messages postés 29 Statut Membre 1
     
    Bonjour ,
    Voici le rapport proxy RAZ

    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: ollivier [Droits d'admin]
    Mode: Proxy RAZ -- Date: 25/07/2012 12:21:50

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps=;) -> DELETED

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    1
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bien

    pour terminer on fait le ménage

    tout est ecrit là :
    https://gen-hackman.kanak.fr/

    (merci à mon ami g3n-h@ckm@n)
    1
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    poste les rapports correspondants stp
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. patisijm Messages postés 29 Statut Membre 1
     
    voilà :

    le N°1 RogueKille

    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: ollivier [Droits d'admin]
    Mode: Recherche -- Date: 24/07/2012 15:49:33

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : voegzijssqnzecb (C:\ProgramData\voegzijs.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-2190754121-2052044488-3879660155-1000[...]\Run : voegzijssqnzecb (C:\ProgramData\voegzijs.exe) -> FOUND
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps=;) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000AAKS-07YGA0 ATA Device +++++
    --- User ---
    [MBR] 2181f80d3dd6bf08014ddb924964c04f
    [BSP] 80a022beef8ea7d2766938c1d25c7c1d : Linux MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 310626 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 660742144 | Size: 134311 Mo
    3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 935813118 | Size: 20000 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    le N° 2 RogueKiller

    RogueKiller V7.6.4 [17/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: ollivier [Droits d'admin]
    Mode: Suppression -- Date: 24/07/2012 15:51:45

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : voegzijssqnzecb (C:\ProgramData\voegzijs.exe) -> DELETED
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=;ftp=;hxxps=;) -> NOT REMOVED, USE PROXYFIX
    [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000AAKS-07YGA0 ATA Device +++++
    --- User ---
    [MBR] 2181f80d3dd6bf08014ddb924964c04f
    [BSP] 80a022beef8ea7d2766938c1d25c7c1d : Linux MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 310626 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 660742144 | Size: 134311 Mo
    3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 935813118 | Size: 20000 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  7. patisijm Messages postés 29 Statut Membre 1
     
    ensuite malwarebytes 1

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.24.05

    Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    ollivier :: PC-DE-OLLIVIER [administrateur]

    24/07/2012 15:55:15
    mbam-log-2012-07-24 (15-55-15).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|J:\|M:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 486967
    Temps écoulé: 1 heure(s), 27 minute(s), 38 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\ollivier\0.019029453294574172.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    et le N° 2

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.24.03

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    ollivier :: PC-DE-OLLIVIER [administrateur]

    24/05/2012 16:30:01
    mbam-log-2012-05-24 (16-30-01).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 188162
    Temps écoulé: 6 minute(s), 35 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Voilà pour l'instant .
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    dans roguekiller as tu utilisé PROXYFIX ?
    0
  9. patisijm Messages postés 29 Statut Membre 1
     
    Non , j'ai suivi seulement ce qui était préconisé dans le fil auquel je fait réference dans le premier message .
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    Copie tout le texte présent en gras ci-dessous (tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



    SysRestore
    EMPTYTEMP
    EMPTYFLASH
    O43 - CFD: 23/09/2011 - 10:01:54 - [0,000] ----D C:\Users\ollivier\AppData\Roaming\C__Users_ollivier_Desktop_HideIPEasy (2).exe => Infection FakeAlert (Possible)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.bbDpng", 29); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.cntry", "FR"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.firstRun", false); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.hdrMd5", "3222B81423F0ED1647F4FC750FDC3E3D"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.id", "e6acc45cad294d06b5c7ac34321414db"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.instlDay", "15154"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.lastActv", "29"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.lastDP", 29); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.BabylonToolbar.sid", "e6acc45cad294d06b5c7ac34321414db"); => Infection BT (Toolbar.Babylon)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("extensions.Fissa.lastRunTime", "Tue, 16 Nov 2010 19:40:08 GMT"); => Infection PUP (PUP.OfferBox)
    O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("keyword.URL", "http://search.babylon.com/?babsrc=toolbar2&q=");
    O43 - CFD: 10/04/2010 - 10:41:54 - [0,001] ----D C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools
    O43 - CFD: 11/05/2012 - 15:02:45 - [0,202] ----D C:\ProgramData\Ask => Toolbar.Ask
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DaemonTools
    C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools



    Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

    * Une fois l'outil ZHPFix ouvert ,

    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ..........................

    2)

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    https://toolslib.net

    Lance le, clique sur SUPPRESSION puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleane.txt

    .....................

    3)
    Redemarre le pc et dis moi si tu as encore des soucis
    0
  11. patisijm Messages postés 29 Statut Membre 1
     
    Voici le rapport ,

    Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
    Fichier d'export Registre :
    Run by ollivier at 25/07/2012 13:47:06
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Valeur(s) du Registre ==========
    ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

    ========== Préférences navigateur ==========
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.bbDpng", 29);
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.cntry", "FR");
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.firstRun", false);
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.hdrMd5", "3222B81423F0ED1647F4FC750FDC3E3D");
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.id", "e6acc45cad294d06b5c7ac34321414db");
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.instlDay", "15154");
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.lastActv", "29");
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.lastDP", 29);
    SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.sid", "e6acc45cad294d06b5c7ac34321414db");
    SUPPRIME Mozilla Pref: user_pref("extensions.Fissa.lastRunTime", "Tue, 16 Nov 2010 19:40:08 GMT");
    SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.babylon.com/?babsrc=toolbar2&q=");

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:
    SUPPRIME Folder: C:\Users\ollivier\AppData\Roaming\C__Users_ollivier_Desktop_HideIPEasy (2).exe
    SUPPRIME Folder: C:\Program Files\DAEMON Tools Toolbar
    SUPPRIME Folder: C:\ProgramData\Ask

    ========== Fichier(s) ==========
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:
    ABSENT Folder/File: c:\program files\daemon tools toolbar

    ========== Restauration Système ==========
    Point de restauration non crée

    ========== Récapitulatif ==========
    1 : Valeur(s) du Registre
    5 : Dossier(s)
    3 : Fichier(s)
    11 : Préférences navigateur
    1 : Restauration Système

    End of clean in 00mn 07s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 25/07/2012 13:47:06 [2259]
    0
  12. patisijm Messages postés 29 Statut Membre 1
     
    Et le AdwCleaner :

    # AdwCleaner v1.703 - Rapport créé le 25/07/2012 à 13:54:23
    # Mis à jour le 20/07/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : ollivier - PC-DE-OLLIVIER
    # Exécuté depuis : C:\Users\ollivier\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Fichier Supprimé : C:\Users\ollivier\AppData\Roaming\Mozilla\Firefox\Profiles\hnq1ic9o.default\searchplugins\daemon-search.xml

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\DT Soft
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v14.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Users\ollivier\AppData\Roaming\Mozilla\Firefox\Profiles\hnq1ic9o.default\prefs.js

    Supprimée : user_pref("browser.search.defaultthis.engineName", "Free Game Bar Customized Web Search");

    -\\ Google Chrome v20.0.1132.57

    Fichier : C:\Users\ollivier\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [1966 octets] - [25/07/2012 13:53:47]
    AdwCleaner[R2].txt - [2026 octets] - [25/07/2012 13:54:13]
    AdwCleaner[S1].txt - [1969 octets] - [25/07/2012 13:54:23]

    ########## EOF - C:\AdwCleaner[S1].txt - [2097 octets] ##########
    0
  13. patisijm Messages postés 29 Statut Membre 1
     
    Apparemment après redemarrage , il n'y à plus de soucis .
    0
  14. patisijm Messages postés 29 Statut Membre 1
     
    Merci pour ton aide .
    Je me mets au ménage sans tarder .
    Encore une question , dois je desinstaller tous les outils ayant servis à la desinfection ?
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ca fait parti du ménage...
      (sourire)
      0
  15. patisijm Messages postés 29 Statut Membre 1
     
    OK .
    0
  16. patisijm Messages postés 29 Statut Membre 1
     
    Ca y est le ménage est fait .

    Merci encore .
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    C'est tout bon

    sauf soucis

    => Résolu

    bonne continuation

    (sourire)

    0