Virus Ukash demande aide après rapport roguekiller Fermé

Question

Bonjour, le virus Ukash vient de s'inviter sur mon ordi. (police, payer 100 €, etc.) J'ai commencé la procédure mais je suis un peu bloqué et aurais besoin d'aide. J'ai d'abord redémarré mon ordi en mode sans échec. Suis revenu à la dernière configuration enregistrée. (je ne sais plus le nom exact) J'ai ensuite téléchargé Rogue Killer. Fait le scan. Appuyé sur supprimé. Et demandé le rapport. D'après le rapport, si je comprend bien ce que je dois encore traiter c'est ceci : "[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]" Est-ce que quelqu'un peut m'aider parce que là je bloque. Est-ce que ce rapport est fiable ou je dois encore faire quelque chose d'autre? Ci dessous une copie du rapport : D'avance merci pour votre aide. Chris RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Virginie [Droits d'admin] Mode : Suppression -- Date : 18/11/2012 16:12:51 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD50 00BPVT-55HXZT2 SATA Disk Device +++++ --- User --- [MBR] 4a89562851186c611223aac0b68bcfcd [BSP] 63f49d6e9114d8f4a14013d2c7bff32e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4]_D_18112012_161251.txt >> RKreport[1]_S_18112012_154127.txt ; RKreport[3]_S_18112012_161219.txt ; RKreport[4]_D_18112012_161251.txt Configuration: Windows 7 / Firefox 16.0

g3n-h@ckm@n · Answer

salut poste tous les rapports de roguekiller l un après l autre

Christvu · Answer

Waouw, merci pour la réponse rapide. ;-) Voici les rapports : Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Virginie [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 15:41:27 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [SHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Virginie\AppData\Roaming\msconfig.dat) -> TROUVÉ [SHELL][Rans.Gendarm] HKUS\S-1-5-21-3945141590-426061527-2896850265-1001[...]\Winlogon : shell (explorer.exe,C:\Users\Virginie\AppData\Roaming\msconfig.dat) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD50 00BPVT-55HXZT2 SATA Disk Device +++++ --- User --- [MBR] 4a89562851186c611223aac0b68bcfcd [BSP] 63f49d6e9114d8f4a14013d2c7bff32e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_18112012_154127.txt >> RKreport[1]_S_18112012_154127.txt

Christvu · Answer

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Virginie [Droits d'admin] Mode : Suppression -- Date : 18/11/2012 16:01:02 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD50 00BPVT-55HXZT2 SATA Disk Device +++++ --- User --- [MBR] 4a89562851186c611223aac0b68bcfcd [BSP] 63f49d6e9114d8f4a14013d2c7bff32e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_18112012_160102.txt >> RKreport[1]_S_18112012_154127.txt ; RKreport[2]_D_18112012_160102.txt

Christvu · Answer

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Virginie [Droits d'admin] Mode : Recherche -- Date : 18/11/2012 16:12:19 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD50 00BPVT-55HXZT2 SATA Disk Device +++++ --- User --- [MBR] 4a89562851186c611223aac0b68bcfcd [BSP] 63f49d6e9114d8f4a14013d2c7bff32e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14315 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29319168 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29523968 | Size: 462523 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_S_18112012_161219.txt >> RKreport[1]_S_18112012_154127.txt ; RKreport[2]_D_18112012_160102.txt ; RKreport[3]_S_18112012_161219.txt

Christvu · Answer

Voilà les 3 rapports que j'ai fait. 

Merci,  

Chris

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

Christvu · Answer

Bonjour, j'ai essayé de scanné plusieurs fois mais l'opération s'arrête tout le temps avant la fin. 
La première fois il s'est arrêt" sur Shell... ? J'ai installé l'extension, les autres firewall/overall (pourtant j'ai désactivé mon antivirus et firewall windows)
J'ai également essayé de le lancé en mode sans échec mais il s'arrête également?

Une idée de ce qui pourrait coincer?

g3n-h@ckm@n · Answer

il s'arrete comment ? donne des precisions

Christvu · Answer

juste il arrête de scanner les fichiers, je dois redémmarer l'ordi ou couper le programme dans le gestionnaire de tâche pour relancer.

g3n-h@ckm@n · Answer

t'es trop pressé laisse tourner tant qu'il a pas fini il est pas bloqué en realité

Christvu · Answer

Effectivement il fallait être très patient, 

voici le lien pour le rapport.

https://forums-fec.be/upload/www/?a=d&i=3992083219

g3n-h@ckm@n · Answer

et t'as pas desactivé McAfee

Christvu · Answer

Je pensais l'avoir fait.
Je dois tout recommencer?

g3n-h@ckm@n · Answer

oui desinstalle McAfee il t'a apparemment pas protegé , et toutes facons il vaut pas un clou et il va nous bloquer les outils pour la desinfection et j'ai pas envie de galérer pour un antivirus qui sait uniquement arrêter les outils de desinfection et pas les infections

Christvu · Answer

Bonjour, 

voici le rapport suite au rescan sans Mcfee et firewall

https://forums-fec.be/upload/www/?a=d&i=5099241898

g3n-h@ckm@n · Answer

nickel relance l'outil clique sur diag et heberge le rapport

Christvu · Answer

Voilà

https://forums-fec.be/upload/www/?a=d&i=5338704201

g3n-h@ckm@n · Answer

ok desinstalle uTorrentBar_FR Toolbar  

 Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

============

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Christvu · Answer

Voici les deux rapports : 

https://forums-fec.be/upload/www/?a=d&i=3431290100

et 

 	https://forums-fec.be/upload/www/?a=d&i=2196776245

g3n-h@ckm@n · Answer

ok refais un diag avec pre_scan stp

Christvu · Answer

Voici le lien du rapport

https://forums-fec.be/upload/www/?a=d&i=6754587554

g3n-h@ckm@n · Answer

nan l'option Diag lol

Christvu · Answer

Meeeeerde.... ;-)

Bon je relance...

g3n-h@ckm@n · Answer

tes navigateurs sont un peu ..... poussiéreux on va dire ^^

=====

 Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

Christvu · Answer

# AdwCleaner v2.008 - Rapport créé le 20/11/2012 à 02:10:23
# Mis à jour le 17/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Virginie - VIRGINIE-VAIO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Virginie\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Virginie\AppData\Roaming\Mozilla\Firefox\Profiles\vz71fmvu.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v23.0.1271.64

Fichier : C:\Users\Virginie\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.41] : icon_url = "hxxps://isearch.avg.com/favicon.ico",

*************************

AdwCleaner[S1].txt - [29943 octets] - [19/11/2012 21:40:47]
AdwCleaner[S2].txt - [1069 octets] - [20/11/2012 02:10:23]

########## EOF - C:\AdwCleaner[S2].txt - [1129 octets] ##########

g3n-h@ckm@n · Answer

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : http://cjoint.com/12nv/BKucIOtpAkE.htm

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

christvu · Answer

Voilà, 

https://forums-fec.be/upload/www/?a=d&i=5770661270

g3n-h@ckm@n · Answer

t'as pas fait comme il faut

christvu · Answer

Je l'ai déjà lancé 2 fois mais il se bloque là je l'ai laissé tourner 5h.

Ou bien j'ai raté quelque chose?

g3n-h@ckm@n · Answer

fais le en mode sans echec alors tu dois pas tout desactiver comme demandé et ca bloque l outil

Virus Ukash demande aide après rapport roguekiller

30 réponses

Discussions similaires