Virus UKASH Fermé

Question

Bonjour, 

Nouveau sur ce forum mais pas vraiment un as de l'informatique. Par conséquent, un peu d'indulgence SVP...

J'expose mon problème, classique si je m'en réfère au nombre de posts sur ce sujet.

Alors voilà :
L'autre jour, en surfant à mon domicile avec mon PC portable d'entreprise, la fameuse page "Ukash" s'est affichée. Là, fin du surf et de la bonne utilisation "professionnelle" de mon PC...

J'ai essayé un paquet de trucs - lus sur ce forum et ailleurs -, qui n'ont pas fonctionné, parmi lesquels :
- Je me mets en mode sans échec et plus particulièrement en "invite de commande en mode sans échec", pour pouvoir rentrer des commandes de restauration. Sauf que 1 fois validé la demande "d'invite de commande en mode sans échec", il me met "Windows XP Professionnal blablabla" et de valider ceci en appuyant sur la touche Enter de mon clavier : impossible donc de rentrer la moindre commande puisqu'après ça, j'arrive directement sur ma page d'ouverture de session Windows...
- Autre tentative : je tente, à l'ouverture de la session, de "terminer le processus iexplorer.exe" dans le gestionnaire de tâches. Impossible, il faut croire que sur mon PC, c'est le dernier processus qui se met en place et je n'ai pas le temps de cliquer sur "terminer le processus" que mon PC se bloque et que je n'ai plus accès à mon gestionnaire de tâches...
- Autre essai : ayant pu néanmoins installer, suite à l'infection, AdWCleaner et MalwareBytes, j'essaie de lancer ce dernier en ouverture de session mais rien à faire, impossible de lancer le scan avant que ne se bloque le PC...

=> Bref, chou blanc sur toute la ligne : mon PC se bloque en 30 secondes après l'ouverture de la session, juste après qu'il ait fini de charger ses propres processus/applications/raccourcis et je ne sais quoi d'autres.
De plus, plus d'accès à Internet sinon : page blanche UKASH !

Bon, je suis un peu coincé. Et le problème est qu'il s'agit de mon outil de travail...

Je compte beaucoup sur vous pour me donner un sérieux coup de main.
Merci d'avance !

g3n-h@ckm@n · Answer

salut

fais ca :

https://gen-hackman.kanak.fr/

FABIXL60 · Answer

Salut,

Merci pour ton tuto, que j'ai suivi à la lettre.
Je t'envoie un MP dans lequel je te mets le lien vers le rapport.

Je n'ai donc pas redémarré mon PC, conformément à ce qui est indiqué dans la fin du tuto.

Merci d'avance.

FABIXL60 · Answer

Bon, je ne vois pas comment on peut envoyer un MP, donc voici le lien :
https://www.cjoint.com/?BKjiN3bNa9b

g3n-h@ckm@n · Answer

ca m'a l'air d'un xp bien pourri ca.........ta session est dans un autre disque ?

FABIXL60 · Answer

Comment cela "ma session est dans un autre disque" ??
Désolé si je pose des questions un peu débiles...

g3n-h@ckm@n · Answer

lol regarde dans c:\documents and settings	a session\menu demarrer\programmes\demarrages

dis-moi ce qu il y a dans ce dossier

FABIXL60 · Answer

Pour te dire cela, il faut que je rallume mon PC.
Or, tu disais à la fin de ton tuto qu'il ne fallait pas forcément rallumer son PC car il y avait peut être des manip à faire avant....
Qu'est ce que je fais alors ? Je le rallume normalement ?

g3n-h@ckm@n · Answer

ben non tu y vas avec l'explorateur du live cd voyons..

FABIXL60 · Answer

Alors, en allant sur le menu démarrer de mon disque dur D:\, j'obtiens le fichier suivant :
- ctfmon
- desktop.ini

J'ai déjà vu sur d'autres forums que le problème pouvait (notamment) résider dans la présence du fichier "ctfmon" dans le menu démarrer...

g3n-h@ckm@n · Answer

poubelle ctfmon

FABIXL60 · Answer

Fait...

Quelles sont les prochaines instructions, chef ??

g3n-h@ckm@n · Answer

qu'y-a-t-il  comme executable au nom bizarre dans le dossier C:\windows ?

(hormis explorer.exe ^^ )

FABIXL60 · Answer

En .exe dans ce dossier, j'ai :

hh.exe
explorer.exe
notepad.exe
regedit.exe
taskman.exe
twunk_16.exe
twunk_32.exe
winhelp.exe
winhlp32.exe

g3n-h@ckm@n · Answer

regarde dans c:\documents and settings	a session\application data si y a pas autre chose que des dossiers ?

FABIXL60 · Answer

Si, j'ai aussi :
desktop.ini
JomCap.dll
QuickZip45.ini

g3n-h@ckm@n · Answer

JomCap.dll 

fais le analyser sur virus total celui-ci je pense qu'il est pourri
donne le lien de la page à la fin de l'analyse

======

https://www.virustotal.com/gui/

FABIXL60 · Answer

Le lien :
https://www.virustotal.com/en/file/3550e7c1cd11dd7d03ae5d991913b2911d56929caf0b2bdd966ea9e65f7f7d45/confirmation/?ajax=false&detection-ratio=0/44&blob=AMIfv96qpRCCHq2Dso8wW_17HfgRK-NAfw_zV02w0P5zFp4XlW3bIAcZ0mCpMHsM5TKChl8c-LuEfhJtHzjPMditFH-26r_BaiM2JQAs1ykvhMYYyTcg6MfQOye9u517eJwGzZd76_j7ooPs5WOnU2WBSA7UJugXpWf3mtwbh9l0IwHxZHJZ7eI&last-analysis=1352374513&filename=JomCap.dll

Detection ratio : 0/44

Suite des opérations ?

g3n-h@ckm@n · Answer

re 

clique sur reanalyze stp  

edit::

c'est bon j'ai pu le faire d'ici

regarde si ton pc redemarre normalement
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

FABIXL60 · Answer

Voici le lien du dernier rapport PreScan :
https://www.cjoint.com/?3Kksqh7M8rh

Petite question : il ne faut pas que j'installe un logiciel type MalwareBytes avant, via l'interface sur laquelle je suis lorsque je fais un démarrage via ton CD Burn Iso ?

g3n-h@ckm@n · Answer

tu veux planter ta machine *?

FABIXL60 · Answer

Je viens de redémarrer et la machine est super lente...
Plusieurs minutes avant d'avoir accès au contenu du disque dur. Et lorsque je souhaite ouvrir un document, là encore, il faut attendre plusieurs minutes.
Que se passe t-il ??

Question : dans le BIOS, il faut mieux mettre en "boot start up" le "PCI LAN..." ou le "HDD0 Hitachi..." ?

g3n-h@ckm@n · Answer

ben le disque dur en premier tant qu'à faire !

FABIXL60 · Answer

C'est ce que je viens de faire et mon PC est comme...mort !
Il ne répond à aucune de mes commandes...

g3n-h@ckm@n · Answer

donne un max de precisions stp

FABIXL60 · Answer

Là, c'est simple : je n'arrive maintenant plus à ouvrir le moindre fichier.
Je n'arrive plus à ouvrir mon explorateur Windows...

Franchement, je t'assure : aucune commande ne fonctionne. J'attends que le bureau s'affiche ; ce qui se passe sans heurts particuliers. Mais après, plus rien.
J'arrive à bouger la souris mais c'est bien tout.

g3n-h@ckm@n · Answer

mouais ca sent le rootkit qui reprend le dessus /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

FABIXL60 · Answer

Puisque je n'arrive à rien lorsque je suis sur le bureau, j'imagine que je dois faire cette manipulation lorsque je suis sur la console via le CD que j'ai gravé ?

g3n-h@ckm@n · Answer

non tu m'as dit :

Je viens de redémarrer et la machine est super lente...

FABIXL60 · Answer

Il y a 2 heures, la machine était super lente, maintenant, comme je l'ai dit, il m'est impossible d'ouvrir quelque document que ce soit...

J'imagine donc que je dois faire la manipulation "Combofix" de la console ??

g3n-h@ckm@n · Answer

laisse tomber fais ca :


 https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm

Virus UKASH

30 réponses

Discussions similaires