Virus ukash pour Gen

Résolu
billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,

salut Gen,

j'ai le virus ukash sur le pc d'une copine...

le pc démarre en mode sans échec, mais le mode sans échec disparaît pratiquement de suite

je t'écris le message de mon pc, mais le pc de la copine est w7 éditon familiale

merci pour ta collaboration

@+

36 réponses

  • 1
  • 2
Résumé de la discussion

Le fil porte sur une infection par le logiciel ukash sur un ordinateur sous Windows 7 Famille, où le démarrage en mode sans échec est instable et disparaît presque immédiatement. Des mesures essentielles incluent l'utilisation de Defogger pour désactiver temporairement les logiciels d'émulation, puis l'exécution de ComboFix en tant qu'administrateur et le redémarrage si nécessaire, sans intervenir durant le processus. En cas de reprise des erreurs après le redémarrage, il est conseillé de redémarrer de nouveau et de réactiver immédiatement l'antivirus et les antispywares, puis d'analyser les rapports générés pour confirmer la suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut il demarre en invité de commande ?
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      re

      oui et la page ne disparaît pas^^

      @+
      0
  2. g3n-h@ckm@n
     
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      salut Gen

      je viens de rentrer du boulot, je fais ce que tu me préconises et je reviens te dire de quoi il en

      retourne

      merci @+
      0
    2. g3n-h@ckm@n
       
      ok
      0
    3. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      re Gen

      run scanner error

      target is not windows 2000 or later

      je fais quoi?

      merci
      0
    4. g3n-h@ckm@n
       
      ben tu cliques sur le dossier windows comme indiqué , cette erreur indique que tu ne cliques pas sur le dossier windows qui est installé
      0
    5. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      re

      sur le pc j'ai la partition C: system reserved 71,8 MO libre sur 99,9
      D: ACER 148 libre sur 219
      E: PQSERVICE 2,07 libre sur 12,9
      X: BOOT 248 libre sur 251
      F: LECTEUR CD 4,05 libre sur 4,37

      j'ai lancé prescan de X boot (le C et le D me mettent l'erreur target is not windows 2000 or later

      https://pjjoint.malekal.com/files.php?id=20121129_j12g13x8g15i13

      @+
      0
  3. g3n-h@ckm@n
     
    supprime ca :

    C:\Users\nico\Documents\Windows\winsvcs.exe

    redemarre normalement et passe le pre_scan normal
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      re Gen

      en fait il est dans D (je pense que c'est normal du fait que l'os soit installé sur le D)

      dis moi si je le supprime de là

      merci
      0
  4. g3n-h@ckm@n
     
    oui
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      ok

      j'ai supprimé et ça redémarre normalement

      par contre je te ferai le rapport ce soir car je pars bosser

      merci et a ce soir (+- 22h45)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok ne pas utiliser le pc entre temps
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      salut Gen

      j'ai téléchargé pré_scan sur clé usb et l'ai transféré sur le bureau du pc malade

      j'ai désactivé le pare feu et désinstaller l'antivirus (mcafee) je mettrai avast a la fin de la désinfection

      dis moi si je clic sur scankill pour démarrer

      merci
      0
  7. g3n-h@ckm@n
     
    oui
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      c'est parti, je poste le rapport dès qu'il a terminé

      merci
      0
  8. g3n-h@ckm@n
     
    t'aurais pas un peu oublié de desactiver des protections .?
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      je pense pas, j'ai bien désactiver le pare feu et j'ai désinstaller mcaffe avec son logiciel de désinstallation

      comme ce n'est pas mon pc il y a peut être quelque chose que je n'ai pas vu (en protection)

      merci
      0
  9. g3n-h@ckm@n
     
    relance l'operation en mode sans echec c'est pas normal
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      ok

      je le fais et je poste quand c'est fini

      merci
      0
    2. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      voilà c'est fait

      https://pjjoint.malekal.com/files.php?id=20121130_o10x12n6p5v13

      j'ai bien fait le tout en MSE

      pre_scan a demandé 1 reboot et j'ai cliqué sur ok puis j'ai redémarré en MSE

      et je l'ai laisser achever son scan

      @+ merci
      0
  10. g3n-h@ckm@n
     
    va falloir que je corrige ca.....

    ==

    tant pis on va la faire sauter comme ca en attendant

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
    0
  11. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
     
    ok

    je te fais cela demain matin

    merci pour ton aide et bonne nuit^^

    @+
    0
  12. g3n-h@ckm@n
     
    tu verras dans OTL t'auras une ligne F3 on la fera sauter :)

    bonne nuit
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      salut Gen

      voilà les 2 rapports

      olt.txt https://pjjoint.malekal.com/files.php?id=20121130_i11p11z9q5u7

      olt extras.txt https://pjjoint.malekal.com/files.php?id=20121130_s10s11q1314h13

      ps:pour info

      au départ j'avais ceci dans le pc (dans ordinateur et gestion des disques)

      C: system reserved 71,8 MO libre sur 99,9
      D: ACER 148 libre sur 219
      E: PQSERVICE 2,07 libre sur 12,9

      et maintenant j'ai ceci (dans ordinateur)

      acer C: 148 de libre sur 219
      lecteur dvd D:
      pictures(\\NICO-PC\users\nico W:

      et ceci dans gestion des disques

      disque 0 (de base 232,88 en ligne)

      13 go sain (partition de récupération) pas de lettre attribuée au lecteur
      je pense que c'est le recovery?

      system reserved 100 mo ntfs (système, actif, partition principale) pas de lettre attribuée au lecteur
      je pense que je devrai ré-attribué la partition a la partition C?

      acer C: 219,79 sain (démarrer, fichier d'échange,vidage sur incident, partition principale)

      et le cd-rom 0 dvd D:


      @+ merci
      0
  13. g3n-h@ckm@n
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    PRC - [2012/11/26 20:05:59 | 000,086,016 | -H-- | M] (Cueillais ve'ne're'es http://www.Rattrapables.com) -- C:\Users\nico\Documents\crss.exe
    PRC - [2012/11/26 20:05:59 | 000,086,016 | -H-- | M] (Cueillais ve'ne're'es http://www.Rattrapables.com) -- C:\Users\nico\crss.exe
    PRC - [2011/12/05 12:42:22 | 000,114,992 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
    MOD - [2011/12/05 12:42:54 | 000,282,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll
    MOD - [2011/12/05 12:42:54 | 000,074,032 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll
    MOD - [2011/12/05 12:42:50 | 000,049,456 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll
    MOD - [2011/12/05 12:42:34 | 000,168,240 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mghooking.dll
    MOD - [2011/12/05 12:42:32 | 000,065,840 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgconfig.dll
    MOD - [2011/12/05 12:42:30 | 000,036,656 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll
    MOD - [2011/12/05 12:42:28 | 000,282,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgcommon.dll
    MOD - [2011/12/05 12:42:24 | 000,026,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll
    MOD - [2011/12/05 12:42:22 | 000,114,992 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
    MOD - [2006/07/11 18:35:42 | 000,503,808 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\SweetIM\Messenger\msvcp71.dll
    MOD - [2006/07/11 18:35:38 | 000,348,160 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\SweetIM\Messenger\msvcr71.dll
    IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=108388&tt=3112_6&babsrc=SP_def&mntrId=3adb32dc0000000000004c0f6e7be82d
    IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=en_US&apn_ptnrs=HQ&apn_dtid=YYYYYYYYFR&apn_uid
    IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = https://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F2E9B980-C293-4A89-9428-C834B9888247}
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: ""
    FF - prefs.js..browser.search.defaulturl: ""
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - prefs.js..extensions.enabledAddons: ffxtlbr@funmoods.com:1.5.1
    FF - prefs.js..extensions.enabledAddons: {C9B68337-E93A-44EA-94DC-CB300EC06444}:5.30.4
    FF - prefs.js..extensions.enabledAddons: plugin@yontoo.com:1.20.00
    FF - prefs.js..browser.startup.homepage: "https://fr.ask.com/?l=dis&o=15788"
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\webbooster@iminent.com: C:\Program Files (x86)\Iminent\webbooster@iminent.com
    [2012/09/22 16:56:57 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\nico\AppData\Roaming\mozilla\Firefox\Profiles\82it67jo.default\extensions\plugin@yontoo.com
    [2012/08/06 08:47:06 | 000,002,333 | ---- | M] () -- C:\Users\nico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\Search.xml
    [2011/12/14 18:56:10 | 000,003,915 | ---- | M] () -- C:\Users\nico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\SweetIM Search.xml
    [2011/12/14 18:56:00 | 000,003,915 | ---- | M] () -- C:\Users\nico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\sweetim.xml
    [2012/07/31 07:32:24 | 000,002,350 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files (x86)\IMinent Toolbar\tbcore3.dll ()

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    0
  14. g3n-h@ckm@n
     
    je sais pas ce que t'as fait mais t'as mer$é ^^
    0
  15. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
     
    salut Gen

    j'ai copier tout ce qui est en gras

    https://www.cjoint.com/?BLbk1zQ0tnR

    j'ai lancé olt.exe en tant qu'administrateur (suis sous w7)

    j'ai coller tout ce qui est en gras dans "personnalisation"

    j'ai cliquer sur correction et j'ai eu ce rapport

    https://www.cjoint.com/?BLbk2OSvOyc

    je fais tout par clé usb

    ps: je n'ai pas reconfigurer olt comme pour la recherche mais je ne pense pas qu'il y avait besoin

    @+
    0
  16. g3n-h@ckm@n
     
    tu copies ligne par ligne ou tout d'uin trait ?
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      d'un trait

      @+
      0
  17. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\


    Desactive tes protections : https://forum.pcastuces.com/default.asp

    clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

    Avant d'utiliser ComboFix :

    Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    0
  18. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
     
    re Gen

    j'ai encore fait 1 bêtise (j'ai pas redémarrer le pc après avoir utiliser defogger)

    ceci dit je ne pense pas qu'il y ai de logiciel d'émulation sur le pc

    j'ai vu aussi qu'il y avait microsoft security essentials (que j'ai désactivé)

    je te signale ceci car tu m'avais posé la question dans ce message

    https://forums.commentcamarche.net/forum/affich-26565521-virus-ukash-pour-gen#23

    c'est uniquement pour ton info (vis a vis de pré_scan)

    je te poste le rapport combofix mais si tu veux que je recommence en redémarrant

    le pc après utilisisation de défogger dis le moi

    https://www.cjoint.com/?BLbnVPiXKj3

    @+ merci
    0
  19. g3n-h@ckm@n
     
    c'est quoi ca ?

    c:\program files (x86)\fly2.exe
    .
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      je ne sais pas, et quand je suis le chemin pour le chercher il n'existe pas

      @+
      0
  20. g3n-h@ckm@n
     
    si combofix l'a mis dans son listing....il invente pas des fichiers quand meme ! ^^
    0
    1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
       
      oups!!! j'ai trouvé (il est en bas de page et c'est juste renseigner fly2)

      par contre quand je clic dessus j'ai le message d'erreur suivant (fly2.exe- erreur système)

      impossible de démarrer le programme car il manque NCSEcw.dll sur votre ordinateur

      essayer de réinstaller le programme pour corriger ce problème

      @+
      0
  • 1
  • 2