Infection Ukash (ministère de l'intérieur)
Résolu
Podux
Messages postés
21
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comme pas mal de monde j'ai été infecté par Ukash (ça m'apprendra à ne pas utiliser d'antivirus -_-). Bref, en parcourant un peu les forums j'ai suivi la procédure suivante :
1 : j'ai redémarré en mode sans échec avec prise en charge réseau et fait les démarches avec Rogue Killer
Voilà le rapport :
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierrot [Droits d'admin]
Mode : Suppression -- Date : 22/12/2012 10:25:30
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[STARTUP][Rans.Gendarm] runctf.lnk @Pierrot : C:\Windows\System32\rundll32.exe|C:\Users\Pierrot\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> F:\windows\system32\config\SOFTWARE
-> F:\Users\Default\NTUSER.DAT
-> F:\Users\Default User\NTUSER.DAT
-> F:\Users\Pierrot\NTUSER.DAT
-> F:\Documents and Settings\Default\NTUSER.DAT
-> F:\Documents and Settings\Default User\NTUSER.DAT
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 935c0e53e68ace3a0e995598619a044f
[BSP] caaa589fe4be151df1ae686543cbf91f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 82000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 167938048 | Size: 871867 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD6400AAKS-75A7B2 ATA Device +++++
--- User ---
[MBR] 08eb52af501cdff907feb76fe2c6d534
[BSP] bd7d0ff1c3b82a8753ca6c2beb764b5c : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 51238 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 104936580 | Size: 559239 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++
--- User ---
[MBR] a0dd5729daf2e9c10b40f19bb971fcf9
[BSP] 96545aae4c3a8e5d84fbb99372be0652 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_22122012_052530.txt >>
RKreport[1]_S_22122012_052407.txt ; RKreport[2]_D_22122012_052530.txt
2 : j'ai redémarré le pc sans pb et j'ai dl malwerbytes que j'ai mis à jour. J'ai lancé un scan complet en supprimant les infections trouvées. Voilà le rapport :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pierrot :: PIERROT-PC [administrateur]
22/12/2012 10:33:26
mbam-log-2012-12-22 (10-33-26).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 667891
Temps écoulé: 1 heure(s), 4 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Pierrot\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
(fin)
J'ai lu qu'il pouvait y avoir des "restes" même après ces 2 opérations. Faut il faire autre (à part mettre un antivirus) ou suis je maintenant tranquille ?
Merci d'avance.
Comme pas mal de monde j'ai été infecté par Ukash (ça m'apprendra à ne pas utiliser d'antivirus -_-). Bref, en parcourant un peu les forums j'ai suivi la procédure suivante :
1 : j'ai redémarré en mode sans échec avec prise en charge réseau et fait les démarches avec Rogue Killer
Voilà le rapport :
RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Pierrot [Droits d'admin]
Mode : Suppression -- Date : 22/12/2012 10:25:30
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[STARTUP][Rans.Gendarm] runctf.lnk @Pierrot : C:\Windows\System32\rundll32.exe|C:\Users\Pierrot\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
-> F:\windows\system32\config\SOFTWARE
-> F:\Users\Default\NTUSER.DAT
-> F:\Users\Default User\NTUSER.DAT
-> F:\Users\Pierrot\NTUSER.DAT
-> F:\Documents and Settings\Default\NTUSER.DAT
-> F:\Documents and Settings\Default User\NTUSER.DAT
¤¤¤ Infection : Rans.Gendarm ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 935c0e53e68ace3a0e995598619a044f
[BSP] caaa589fe4be151df1ae686543cbf91f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 82000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 167938048 | Size: 871867 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: WDC WD6400AAKS-75A7B2 ATA Device +++++
--- User ---
[MBR] 08eb52af501cdff907feb76fe2c6d534
[BSP] bd7d0ff1c3b82a8753ca6c2beb764b5c : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 51238 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 104936580 | Size: 559239 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++
--- User ---
[MBR] a0dd5729daf2e9c10b40f19bb971fcf9
[BSP] 96545aae4c3a8e5d84fbb99372be0652 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2]_D_22122012_052530.txt >>
RKreport[1]_S_22122012_052407.txt ; RKreport[2]_D_22122012_052530.txt
2 : j'ai redémarré le pc sans pb et j'ai dl malwerbytes que j'ai mis à jour. J'ai lancé un scan complet en supprimant les infections trouvées. Voilà le rapport :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.22.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Pierrot :: PIERROT-PC [administrateur]
22/12/2012 10:33:26
mbam-log-2012-12-22 (10-33-26).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 667891
Temps écoulé: 1 heure(s), 4 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Pierrot\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.
(fin)
J'ai lu qu'il pouvait y avoir des "restes" même après ces 2 opérations. Faut il faire autre (à part mettre un antivirus) ou suis je maintenant tranquille ?
Merci d'avance.
A voir également:
- Infection Ukash (ministère de l'intérieur)
- Mail ministère de l'intérieur - Guide
- Télécharger simulateur de peinture intérieur gratuit - Télécharger - Divers Photo & Graphisme
- Logiciel aménagement intérieur gratuit - Guide
- Ecran de tablette cassé de l'intérieur - Forum iPad
- Sweet Home 3D - Télécharger - Architecture & Déco
