Infection Ukash (ministère de l'intérieur)
Résolu
Podux
Messages postés
21
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comme pas mal de monde j'ai été infecté par Ukash (ça m'apprendra à ne pas utiliser d'antivirus -_-). Bref, en parcourant un peu les forums j'ai suivi la procédure suivante :
1 : j'ai redémarré en mode sans échec avec prise en charge réseau et fait les démarches avec Rogue Killer
Voilà le rapport :
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierrot [Droits d'admin]
Mode : Suppression -- Date : 22/12/2012 10:25:30
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[STARTUP][Rans.Gendarm] runctf.lnk @Pierrot : C:\Windows\System32\rundll32.exe|C:\Users\Pierrot\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> F:\windows\system32\config\SOFTWARE
-> F:\Users\Default\NTUSER.DAT
-> F:\Users\Default User\NTUSER.DAT
-> F:\Users\Pierrot\NTUSER.DAT
-> F:\Documents and Settings\Default\NTUSER.DAT
-> F:\Documents and Settings\Default User\NTUSER.DAT
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 935c0e53e68ace3a0e995598619a044f
[BSP] caaa589fe4be151df1ae686543cbf91f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 82000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 167938048 | Size: 871867 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD6400AAKS-75A7B2 ATA Device +++++
--- User ---
[MBR] 08eb52af501cdff907feb76fe2c6d534
[BSP] bd7d0ff1c3b82a8753ca6c2beb764b5c : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 51238 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 104936580 | Size: 559239 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++
--- User ---
[MBR] a0dd5729daf2e9c10b40f19bb971fcf9
[BSP] 96545aae4c3a8e5d84fbb99372be0652 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_22122012_052530.txt >>
RKreport[1]_S_22122012_052407.txt ; RKreport[2]_D_22122012_052530.txt
2 : j'ai redémarré le pc sans pb et j'ai dl malwerbytes que j'ai mis à jour. J'ai lancé un scan complet en supprimant les infections trouvées. Voilà le rapport :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pierrot :: PIERROT-PC [administrateur]
22/12/2012 10:33:26
mbam-log-2012-12-22 (10-33-26).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 667891
Temps écoulé: 1 heure(s), 4 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Pierrot\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
(fin)
J'ai lu qu'il pouvait y avoir des "restes" même après ces 2 opérations. Faut il faire autre (à part mettre un antivirus) ou suis je maintenant tranquille ?
Merci d'avance.
Comme pas mal de monde j'ai été infecté par Ukash (ça m'apprendra à ne pas utiliser d'antivirus -_-). Bref, en parcourant un peu les forums j'ai suivi la procédure suivante :
1 : j'ai redémarré en mode sans échec avec prise en charge réseau et fait les démarches avec Rogue Killer
Voilà le rapport :
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierrot [Droits d'admin]
Mode : Suppression -- Date : 22/12/2012 10:25:30
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[STARTUP][Rans.Gendarm] runctf.lnk @Pierrot : C:\Windows\System32\rundll32.exe|C:\Users\Pierrot\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> F:\windows\system32\config\SOFTWARE
-> F:\Users\Default\NTUSER.DAT
-> F:\Users\Default User\NTUSER.DAT
-> F:\Users\Pierrot\NTUSER.DAT
-> F:\Documents and Settings\Default\NTUSER.DAT
-> F:\Documents and Settings\Default User\NTUSER.DAT
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 935c0e53e68ace3a0e995598619a044f
[BSP] caaa589fe4be151df1ae686543cbf91f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 82000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 167938048 | Size: 871867 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD6400AAKS-75A7B2 ATA Device +++++
--- User ---
[MBR] 08eb52af501cdff907feb76fe2c6d534
[BSP] bd7d0ff1c3b82a8753ca6c2beb764b5c : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 51238 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 104936580 | Size: 559239 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++
--- User ---
[MBR] a0dd5729daf2e9c10b40f19bb971fcf9
[BSP] 96545aae4c3a8e5d84fbb99372be0652 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_22122012_052530.txt >>
RKreport[1]_S_22122012_052407.txt ; RKreport[2]_D_22122012_052530.txt
2 : j'ai redémarré le pc sans pb et j'ai dl malwerbytes que j'ai mis à jour. J'ai lancé un scan complet en supprimant les infections trouvées. Voilà le rapport :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pierrot :: PIERROT-PC [administrateur]
22/12/2012 10:33:26
mbam-log-2012-12-22 (10-33-26).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 667891
Temps écoulé: 1 heure(s), 4 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Pierrot\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
(fin)
J'ai lu qu'il pouvait y avoir des "restes" même après ces 2 opérations. Faut il faire autre (à part mettre un antivirus) ou suis je maintenant tranquille ?
Merci d'avance.
A voir également:
- Infection Ukash (ministère de l'intérieur)
- Mail ministère de l'intérieur - Guide
- Télécharger simulateur de peinture intérieur gratuit - Télécharger - Divers Photo & Graphisme
- Logiciel aménagement intérieur gratuit - Guide
- Ecran de tablette cassé de l'intérieur - Forum iPad
- Sweet Home 3D - Télécharger - Architecture & Déco
21 réponses
salut
ça m'apprendra à ne pas utiliser d'antivirus
Faux !!! j'en utilise pas mais en revanche j'ai Java à jour et flash player aussi et comme c'est par là que ca rentre.....
des reste oui il en reste certainement
=============
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
ça m'apprendra à ne pas utiliser d'antivirus
Faux !!! j'en utilise pas mais en revanche j'ai Java à jour et flash player aussi et comme c'est par là que ca rentre.....
des reste oui il en reste certainement
=============
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Alors mon flash player est à jour, enfin je pense car il me demande régulièrement de faire des maj.
Pour java je n'ai pas l'impression qu'il m'ait souvent demandé d'en faire (je précise que j'ai le java 32 bits et 64 bits). Dans "panneau de configuration" quand je clique sur java j'ai la version 7 mise à jour 9. Par contre je ne vois pas comment forcer la maj.
Pour java je n'ai pas l'impression qu'il m'ait souvent demandé d'en faire (je précise que j'ai le java 32 bits et 64 bits). Dans "panneau de configuration" quand je clique sur java j'ai la version 7 mise à jour 9. Par contre je ne vois pas comment forcer la maj.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le lien du rapport de pre_scan.
http://cjoint.com/data/0Lwvxn2ZzMU.htm
Espérons qu'il n'y ait rien d'important ^^
http://cjoint.com/data/0Lwvxn2ZzMU.htm
Espérons qu'il n'y ait rien d'important ^^
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BLxkv2DdkZe
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Clique sur ce lien : https://www.cjoint.com/?BLxkv2DdkZe
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Voilà le fichier Pre-script :
http://cjoint.com/data/0LxpLNsPtsM.htm
En tout cas merci pour tes réponses rapides ! :)
http://cjoint.com/data/0LxpLNsPtsM.htm
En tout cas merci pour tes réponses rapides ! :)
Euh... oui ! C'était un peu le but. ^^
Par contre c'est sans risques ? Et une petite question, j'ai vu qu'il y avait des fichiers mis en quarantaine, ne vaut-il pas mieux les supprimer ?
Par contre c'est sans risques ? Et une petite question, j'ai vu qu'il y avait des fichiers mis en quarantaine, ne vaut-il pas mieux les supprimer ?
J'ai fait toutes les démarches de ton lien ci-dessus. Merci.
Faut-il que je te poste les rapport de DelFix, Slowin_killer et PureRa.
Faut-il que je te poste les rapport de DelFix, Slowin_killer et PureRa.
