Infecté par le virus UKASH Gendarmerie... Fermé

Question

Bonjour, Configuration: Windows Vista / Chrome 23.0.1271.95 J'ai donc été infecté par le virus Ukash avec la page de la gendarmerie nationale et je pensais m'être débarrassé de celui-ci, mais le virus ou autre chose m'empêche maintenant d'accéder au centre de sécurité windows. J'ai vu sur le forum qu'on pouvait le réactiver en passant par "services" dans "outil d'administration" mais il a disparu de la liste. Je ne peux donc plus activer le pare-feu ni les mises à jour. En cherchant un peu sur d'autres forums j'ai trouvé un outil censé réparer çà Windows Repair (All in One) by Tweaking.com ainsi qu'une vidéo qui expliquait comment faire. Lorsque je lance la réparation il a effectivement corrigé quelques problèmes(mais pas tous) mais par contre je n'ai plus d'accès internet je suis seulement connecté au réseau local. Je suis obligé alors de faire une restauration du système. Je ne sais plus quoi faire. J'ai lancé une analyse de mon ordi avec Roguekiller qui me trouve toujours les mêmes clés de registre ainsi qu'un examen complet avec MBAM. Voici les rapports, d'avance MERCI : RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : ELVIS [Droits d'admin] Mode : Recherche -- Date : 05/12/2012 08:58:37 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] RtHDVCpl.exe -- C:\Windows\RtHDVCpl.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x82442E35 -> HOOKED (Unknown @ 0x91FEB616) SSDT[289] : NtSetContextThread @ 0x824A410B -> HOOKED (Unknown @ 0x91FEB61B) SSDT[334] : NtTerminateProcess @ 0x82402173 -> HOOKED (Unknown @ 0x91FEB5B7) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91FEB620) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91FEB625) IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD64 00AAKS-22A7B SCSI Disk Device +++++ --- User --- [MBR] 20c278a9c7b7f42bdf98f9a71651f0a3 [BSP] ec46eacbcc0e3516863ff9adb6588181 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 598187 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_05122012_085837.txt >> RKreport[1]_S_05122012_085837.txt RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : ELVIS [Droits d'admin] Mode : Suppression -- Date : 05/12/2012 08:58:55 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] RtHDVCpl.exe -- C:\Windows\RtHDVCpl.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x82442E35 -> HOOKED (Unknown @ 0x91FEB616) SSDT[289] : NtSetContextThread @ 0x824A410B -> HOOKED (Unknown @ 0x91FEB61B) SSDT[334] : NtTerminateProcess @ 0x82402173 -> HOOKED (Unknown @ 0x91FEB5B7) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91FEB620) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91FEB625) IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\CLASSPNP.SYS -> HOOKED ([MAJOR] Unknown @ 0x84D2B1E8) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD64 00AAKS-22A7B SCSI Disk Device +++++ --- User --- [MBR] 20c278a9c7b7f42bdf98f9a71651f0a3 [BSP] ec46eacbcc0e3516863ff9adb6588181 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 598187 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_05122012_085855.txt >> RKreport[1]_S_05122012_085837.txt ; RKreport[2]_D_05122012_085855.txt Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Version de la base de données: v2012.12.05.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 ELVIS :: PC-DE-ELVIS [administrateur] 05/12/2012 09:13:10 mbam-log-2012-12-05 (09-13-10).txt Type d'examen: Examen complet (C:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 422374 Temps écoulé: 1 heure(s), 24 minute(s), 58 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)

Malekal_morte- · Answer

Salut,

Voir là pour remettre les services : https://forum.malekal.com/viewtopic.php?t=36444&start=#p283396

explore1 · Answer

Salut, et merci de m'avoir répondu aussi vite.


J'ai suivi la procédure détaillée sur le lien mais cela ne fonctionne toujours pas.

Le service infrastructure de gestion windows était en manuel je l'ai donc passé en automatique, mais les deux services pour le pare feu windows n'existent pas.

J'ai télécharger le fichier joint pare feu windows et suivi la procédure mais impossible de démarrer le centre de sécurité.

Peux tu m'aider?

explore1 · Answer

Le message quand je démarre le centre de sécurité est "impossible de démarrer le service centre de sécurité"
Je pense avoir fait la bonne manip pour mettre les droits et j'ai redémarré mon pc

Malekal_morte- · Answer

et le service  Pare-feu Windows, il est présent maintenant ?

explore1 · Answer

Oui avec démarrage automatique

Malekal_morte- · Answer

Et il démarre ?
Le pare-feu refonctionne ?

Le centre de sécurité, dépend d'infrastructures de gestion Windows et Appel de procédure RPC.
Ces deux services là démarrent ?

explore1 · Answer

Lorsque j'essaye de démarrer le pare-feu windows dans la fenêtre "Services" il me dit : "Windows n'a pas pu démarrer le Pare-feu windows sur ordinateur local;Pour plus d'informations, consultez le journal d'évènements système.S'il ne s'agit pas d'un service Microsoft, contactez le fournisseur du service et faites réference au code d'erreur spécifique au service : 5 "

et les deux autres services sont marqués démarré

Malekal_morte- · Answer

Fais une capture des permissions sur les SharedAccess et BFE poru voir déjà.

explore1 · Answer

Je ne sais pas comment t'envoyer les captures d'écran mais pour sharedaccess il n'y a pas la case contrôle total de coché

explore1 · Answer

J'ai réussi à démarrer le pare-feu en cochant la case "controle total"mais le centre de sécurité et windows update ne fonctionnent toujours pas

explore1 · Answer

Quand je tape service.msc dans démarrer les 2 services 
Appel de procédure distante RPC
et
Infrastructure de gestion windows

sont marqué comme démarré avec démarrage automatique

explore1 · Answer

La permission sur la clé MpsSvc est contrôle total

explore1 · Answer

La clé wscsvc dans l'arborescence 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

N'existe pas

Malekal_morte- · Answer

ha ok je pensais que tu l'avais.
Tu as un zip en bas de cette page : https://www.malekal.com/fichiers_systeme/
y a  wscsvc.reg dedans pour remettre le service.

Vois pour mettre les bonnes permissions.

Si ça marche pas : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
et tu lances fixdamage.exe

explore1 · Answer

Le centre de sécurité est maintenant démarré mais dans les 4 fonctions essentielles de sécurité la mise a jour automatique est inactif et windows update ne démarre pas il me dit 
"Windows update ne peut pas effectuer des mises à jour car le service n'est pas en cours d'exécution" 
et windows defender ne peut pas effectuer des mises à jour

explore1 · Answer

Bon maintenant ça se complique.
Comme le service windows update ne demarrait pas j'ai lancé fixdamage.exe
Maintenant Windows update s'ouvre dans la barre de tache en bas a droitr mais je n'ai plus de connexion internet, je suis connecté au réseau local seulement
J'ai tenté une restauration du système mais je ne peux toujours pas acceder à internet
Quand je démarre en mode sans echec avec prise en charge réseau c'est pareil
J'ai vraiment besoin d'internet pour mon boulot.

Malekal_morte- · Answer

Tu te connectes comment ?
Le service DHCP est démarré?
T'as une adresse IP ?

explore1 · Answer

Je suis connecté par un cable ethernet
Dans services, client DHCP est marqué demarré, type de démarrage automatique et la dernière colonne c'est marqué Service local
Quand je tape la commande cmd /k ipconfig /all je trouve une adresse IPv6 de liaison locale et une adresse IPv4

Malekal_morte- · Answer

tu peux envoyer le contenu sur http://pjjoint.malekal.com et donner le lien ici pour voir.

explore1 · Answer

Non je peux pas en ce moment j'ai que mon telephone portable pour me connecter a internet
dis moi les lignes importantes pour toi et je les copirai

explore1 · Answer

Adresse IPv6 de liaison locale : fe80: :4513:69f6:f035:17ef%10(préféré)
Adresse d'autoconfiguration IPv4 : 169.254.23.239(préféré)
Masque de sous réseau: 255.255.0.0
Passerelle par défaut : (c'est vide y a rien écrit)
Serveurs DNS :fec0:0:0:ffff: :1%1
                           fec0:0:0:ffff: :2%1
                           fec0:0:0:ffff: :3%1

Malekal_morte- · Answer

Y a pas d'IP ipv4 

Menu Démarrer et tape cmd dans la barre de recherche
valide par  Ctrl-Shift-Enter  pour que le controle des comptes se lance
et dans la fenêtre noire tape : netsh winsock reset  et valide
redémarre le PC.

explore1 · Answer

Une fois la commande tapée il me dit l'operation demandée nécessite une élévation

explore1 · Answer

Salut,
Désolé pour hier soir j'ai écris la commande dans le menu executer et pas dans recherche. C'est pour ça que ça marchait pas.
Bref j'ai tapé la commande et redémarrer le pc mais toujours pas de connexion internet
Y a t'il une solution?

Malekal_morte- · Answer

P'tain pas sympa le fix de Malwarebyte.  

Après faudrait vérifier tous ces points : https://forum.malekal.com/viewtopic.php?t=29460&start= 
Notamment est ce que les services ADF, TCP etc sont démarrés. 
Ils sont dans les gestionnaire de périphériques ceux là.
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

explore1 · Answer

Alors pour commencer dans la liste des services du gestionnaire de peripheriqurs 3 services etaient arrêtés:
Environnement de prise en charge de fournisseur de services non-IFS Windows Sockets 2.0
PCAMp50 NDIS protocol driver
PCASp50 NDIS protocol driver
J'ai redémarré ces 3 services puis le pc mais pas d'internet
les 2 derniers servives se sont rearreter car le type de démarrage est demande
Voila j'essaye de voir plus loin

explore1 · Answer

Salut

Les services AFD NetBT et TCP/IP sont tous démarrés et fonctionnent correctement.

Suite à la commande ipconfig /renew j'ai le message suivant:

"Aucune opération ne peut être effectuée sut Connexion au réseau local 2 lorsque son média est déconnecté.
Une erreur s'est produite lors du renouvellement de l'interface connexion au réseau local:
Un argument non valide a été fourni"

Je ne sais pas comment faire pour mettre une ip fixe

Penses tu que l'on puisses trouver l'erreur ou bien faut il reinstaller Windows (surtout que je n'ai pas le cd d'installation je n'ai que les 3 cd "recovery"  que j'ai gravé)

Je ne sais pas si je vais pouvoir rester encore longtemps sans internet.

Voilà dis moi ce que tu en penses et merci encore une fois de ton aide car comme tu as pu t'en apercevoir je ne suis pas trop doué en informatique.

Infecté par le virus UKASH Gendarmerie...

27 réponses

Discussions similaires

Newsletters