Virus ukash ministère de l'interieur

Résolu
gradille57 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -  
Jane90 Messages postés 4 Statut Membre -
Bonjour,
Depuis hier j'ai le virus ukash ministère de l'interieur.
Comment dois-je proceder pour l'enlever?
Je suis actuellement en mode sans echec avec prise en charge réseau.
Merci d'avance pour votre aide

9 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous les programmes en cours
    * Lance RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Clique sur Scan.
    * A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  2. gradille57 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci pour la réponse,
    Voici le rapport du scan :

    RogueKiller V8.2.2 [03/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Pierre et Rachèle [Droits d'admin]
    Mode : Recherche -- Date : 06/11/2012 13:05:02

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> TROUVÉ
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] U : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
    --- User ---
    [MBR] 47926d9fbef4f8d14dd568f01faa2f17
    [BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_06112012_130502.txt >>
    RKreport[1]_S_06112012_130502.txt
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Si Roguekiller est toujours ouvert clique sur surpression puis sur rapport et poste le rapport

    Sinon:

    * Lance RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Clique sur Scan.
    * A la fin du scan clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

    Smart
    0
  4. gradille57 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Voici le rapport

    RogueKiller V8.2.2 [03/11/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Pierre et Rachèle [Droits d'admin]
    Mode : Suppression -- Date : 06/11/2012 13:48:57

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [STARTUP][HJNAME] ctfmon.lnk @Pierre et Rachèle : C:\ProgramData\lsass.exe -> SUPPRIMÉ
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\ACER(N~1.SCR) -> REMPLACÉ (C:\Windows\system32\logon.scr)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Users\Pierre et Rachèle\AppData\Local\{da84e53a-c255-5404-6b25-f4693be16ae1}\L --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
    --- User ---
    [MBR] 47926d9fbef4f8d14dd568f01faa2f17
    [BSP] 97aea4accbb15b9cf5ece9da5a935113 : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18944 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 38799360 | Size: 227648 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 505022490 | Size: 230344 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[3]_D_06112012_134857.txt >>
    RKreport[1]_S_06112012_130502.txt ; RKreport[2]_S_06112012_134851.txt ; RKreport[3]_D_06112012_134857.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre le PC en mode normal et fais ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
    1. Jane90 Messages postés 4 Statut Membre
       
      Bonsoir:

      snif, mon ordi est aussi infecté et je ne peux plus rien faire! heureusement que j'ai une cession d'invité sur mon poste!
      J'ai lancé un scan et là, j'attends...déjà 27 fichiers d'infectés!
      Ce qui est marrant c'est qu'une espece de cam est visible et en mouvement sur ladite page mais tout est flou, comme une échographie.
      J'espère vivement qu'avec MLB ca va fonctionner:
      Je vous enverrais le rapport à la fin.
      En tout cas merci poir ce tuto:
      0
    2. Jane90 Messages postés 4 Statut Membre
       
      voiçi le rapport, please help me

      RogueKiller V8.4.1 [Dec 27 2012] par Tigzy
      mail : tigzyRK<at>gmail<dot>com
      Remontees : https://www.luanagames.com/index.fr.html
      Site Web : https://www.luanagames.com/index.fr.html
      Blog : http://tigzyrk.blogspot.com/

      Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
      Demarrage : Mode normal
      Utilisateur : Pipou Lapin [Droits d'admin]
      Mode : Recherche -- Date : 27/12/2012 22:21:11

      ¤¤¤ Processus malicieux : 1 ¤¤¤
      [SUSP PATH] tcbhn.exe -- C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TUÉ [TermProc]

      ¤¤¤ Entrees de registre : 7 ¤¤¤
      [STARTUP][SUSP PATH] tcbhn.lnk @Pipou Lapin : C:\Users\Pipou Lapin\AppData\Roaming\BrowserCompanion\tcbhn.exe -> TROUVÉ
      [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
      [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
      [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ
      [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\Parameters : ServiceDll (C:\Users\PIPOUL~1\wgsdgsdgdsgsd.exe) -> TROUVÉ

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver : [CHARGE] ¤¤¤

      ¤¤¤ Infection : Rans.Gendarm ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      --> C:\Windows\system32\drivers\etc\hosts



      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: +++++
      --- User ---
      [MBR] 4e2aefd6d98403ae8e5b58b2535ed7e1
      [BSP] 7f1fb1433a1a95b85e218560a8ffa956 : Windows 7/8 MBR Code
      Partition table:
      0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
      1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20466810 | Size: 114376 Mo
      2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254710575 | Size: 114102 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[1]_S_27122012_222111.txt >>
      RKreport[1]_S_27122012_222111.txt
      0
    3. Utilisateur anonyme
       
      bonsoir Jane90,

      ouvre ton propre sujer et copie et colle ton rapport de roguekiller, je regarde.

      :-)
      0
    4. Jane90 Messages postés 4 Statut Membre
       
      Coucouuuuuu!bah je l'ai copié! Merciii ca a fonctionné avant hier! Jespere il
      Reviendra plus :((! En tout cas vois etes au top! Kisssss merciiii
      0
  7. gradille57 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour
    Après quelques galères d'installation voici le rapport

    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.11.07.04

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Pierre et Rachèle :: PC-DE-PIERREETR [administrateur]

    07/11/2012 14:04:25
    mbam-log-2012-11-07 (14-04-25).txt

    Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 475814
    Temps écoulé: 3 heure(s), 53 minute(s), 25 seconde(s)

    Processus mémoire détecté(s): 1
    C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> 1840 -> Suppression au redémarrage.

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 4
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinUsr (Adware.Gibmedia) -> Données: C:\Program Files\Winsudate\gibusr.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (PUP.Fbsearch) -> Suppression au redémarrage.
    C:\Users\Pierre et Rachèle\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Trojan.Ransom) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre le PC. Relance MBAM et vide la quarantaine.
    Normalement ti ne devrais plus avoir le Virus "ministère de l'Intérieur.

    On va quand même faire un diagnostic du PC afin de voir s'il y a des restes ou d'autres infections.

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou depuis ce lien si le premier a des soucis:
    http://www.forums-fec.be/ZHP/ZHPDiag2.exe

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu ne m'as pas dit si tu avais toujours le virus Ministère de lintérieur ?

    Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
    - Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
    - Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

    Tu vas faire ceci:

    Tout d'abord je voudrais vérifier une clé de registre

    - Télécharge RegToolExport de Xplode sur ton bureau
    - Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")

    - Copie- la ou les clés en gras ci-dessous
    ---------------------------------------------------
    HKEY_CURRENT_USER\Software\HKEY_LOCAL_MACHINE

    ---------------------------------------------------

    - Colle-la dans la zone de saisie

    - Puis clique sur Exporter
    - Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
    - A "nom de fichier", indique : Export_Date_heure.reg
    - Clique sur Enregistrer
    - Un message de bonne fin va apparaître "Clé exportée avec succès"
    - La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
    - Poste ce fichier via ce lien: http://pjjoint.malekal.com/

    - Télécharge sur ton bureau AdwCleaner de Xplode
    - Lance le
    - Choisis "Recherche" et poste le rapport
    - Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

    Cela fait deux rapports à poster

    Smart
    0