Virus gendarmerie nationale/ Ukash - wgsdgsdgdsgsd.dll [Résolu/Fermé]

Signaler
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013
-
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
-
Bonjour à tous,

Suite à une infection par le fameux virus indiqué dans le titre du topic, j'ai réussi à le neutraliser sans coup d'aspirines (tout manuellement), mais souhaite m'assurer que mon ordinateur soit parfaitement revenu à l'état normal.
Car effectivement, j'ai beau avoir réussi à le rendre inactif de manière manuelle, je ne suis pas assez prétentieux pour me permettre de vous dire que je suis sorti d'affaire ! ;-)


Voici en détail toutes les actions que j'ai faites :

Pour information j'ai réussi à « isoler » les fichiers suivants :
- C:\Documents and Settings\Nom Utilisateur\wgsdgsdgdsgsd.dll
- C:\Documents and Settings\Nom Utilisateur\Menu Démarrer\Programmes\Démarrage\runctf
- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf
- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js
- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad

Le fichier est passé via une faille de Java (et une faille de moi, en ayant validé l'instant avant d'être infecté l'accès à Java sur le net via mon pare-feu, d'où mon assurance en disant que la faille vient de cette appli plutôt que d'une autre).
Ainsi j'ai par précaution désinstallé tout Java, + Supprimé manuellement tous les dossiers de Java dans [Documents and Settings\ * \ *java*] pour le réinstaller ensuite.

J'ai remis à niveau [Malwarebytes] pour le lancer en mode scan complet.

Et je m'apprête à tester [AdwCleaner] ainsi qu'à revérifier si Adobe, Windows, etc. sont bien mise à jour sur mon ordinateur.


Voilà, je sais que je fonctionne un peu comme le faisaient les gars au moyen-âge en utilisant peu les logiciels de sécurités, mais jusqu'ici çà a toujours marché ^^

Merci de m'indiquer si j'oublie de grandes phases inévitables et impardonnables quand on tente de supprimer un tel virus.


Pour info auprès de spécialistes confirmés : Ce virus serait très récent (04/12/2012). J'ai durant ma manipulation gardé une copie de tous les fichiers cités plus haut. Ces copies ont maintenant des extensions bidons et j'ai ajouté des lignes en début de fichiers les rendant normalement inoffensifs.
Pour ma part je suis incapable d'exploiter ces données, mais si quelqu'un d'entre vous, bien intentionné et j'insiste là-dessus, je pense entre autre à g3n-h@ckm@n qui à l'air fortement intéressé par le développement de ce virus pour nous aider à le contrer, je suis prêt à refiler le fauve mise en cage. Faites-moi en la demande, en précisant vos réelles motivations. (Et le net me permettra de confirmer vos motivations réelles)


Cordialement,
Tequiller

15 réponses


salut lol ^^

c:\windows\system32\dsgsdgdsgdsgw.exe

t'as pas eu ça?
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Négatif, tu m'as même donné l'idée de faire une recherche sur tous les sous-dossier windows (que j'ai trouvé un peu trop rapide à mon goût, pourtant avec les options cochées fichiers systèmes / cachés... :-/ ), mais rien d'alarmant.

Ni même d'un quelconque fichier [twexx32.dll] qui serait (si j'ai bien compris) en réalité l'[explorer.exe]...


Pour l'instant je pense m'en être définitivement débarrassé, mais je crois qu'il va falloir que je passe ma prochaine journée à changer tous mes mots de passe sur Internet, et ne suis pas encore trop rassurer pour du paiement en ligne.
Selon toi, il ne devrait pas y avoir plus (tout est relatif) de risque qu'avant l'infection ?

Merci en tout cas d'avoir répondu si vite.

Dis moi si selon toi je peux passer en Résolu, à moins que tu n'es en tête d'autres points à checker... En tout cas, sacré virus ^^

Ni même d'un quelconque fichier [twexx32.dll] qui serait (si j'ai bien compris) en réalité l'[explorer.exe]...


tout à fait

===============

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Merci bien, j'y regarderai ces jours-ci.

Bonnes fêtes de fin d'années !
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Lorsque j'essaie de rentrer sur le site https://forums-fec.be/ (ou directement http://forums-fec.be/ ), j'ai pour message :
" Le site http://forums-fec.be demande un nom d'utilisateur et un mot de passe. Le site indique : « Mot de passe » "
Bref, impossible de m'y connecter... Est-ce normal ?
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Voici le fichier Pre_Scan.txt :
https://www.cjoint.com/c/CAtrQo2Lb62

Pour le Close.log, j'ai dû avoir un soucis d'éxécution : j'ai dû lancer une seconde fois Pre_Scan qui ne s'était pas achevé normalement le premier coup, et ce fameux fichier .log a disparu...

Faut-il tout relancer ?
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

ah... et j'ai aussi remarqué que ma dernière maj Windows daterait de début 2012 ?! Je me rappel pourtant aller bien plus souvent sur le site Windows pour justement me protéger des virus en me mettant à jour...
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
921
re

bah tu peux faire le menage :

https://gen-hackman.kanak.fr/
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci


oué ben bouge-toi sinon l'infection va s'installer encore plus loin....
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Salut g3n-h@ckm@n,

Bein oué, je me suis bougé... J'ai bougé à plus de 800Km d'ici sans mon pc, d'où mon inactivité ^^

Bon, je regarde à tout ce que tu m'as répondu, et je donnerai de mes nouvelles.

Merci
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Dernier état de mon ordinateur :

- Windows Update tourne en boucle lorsqu'il recherche les nouvelles mise à jour à afficher (après avoir cliqué sur Rapide ou Personnalisée). Si je ferme Internet Explorer via la croix, la fenêtre se fige et met bien 40sec avant de se fermer.

- L'activation de la connexion manuelle sur le réseau/internet est instable :
-> si activation via Panneau de configuration\Connexions réseau, alors la connexion aboutie mais fait planter l'Explorateur Windows ouvert.
-> si activation via un raccourcis sur le bureau alors tentative de connexion tourne en boucle sans succès et en mode caché.

(pas la première fois que j'ai ces deux types de problèmes)
Des solutions à ces problèmes ?
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Windows Update fonctionne... il me fallait juste patienter bien 10min avant qu'il ne réagisse... La patience a ses limites, mais tant qu'elle ne dépasse pas les bornes elle s'avère toujours payante ! ^^

re

relance l 'outil clique sur diag heberge le rapport pre_diag et donne le lien
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Voici le lien du Pre_Diag :
https://www.cjoint.com/?0AucCq3rFen

---------------------------------

- à ne pas s'en faire :

¤¤¤¤¤¤¤¤¤¤ | Desktop
[22/12/2012 01:20:09] - |A| - [3213] - C:\Documents and Settings\Anonymous\Bureau\dsgsdgdsgdsgw.js.isolé
[22/12/2012 01:20:07] - |AT| - [1467866] - C:\Documents and Settings\Anonymous\Bureau\dsgsdgdsgdsgw.pad.isolé
[22/12/2012 10:57:41] - |A| - [195914] - C:\Documents and Settings\Anonymous\Bureau\wgsdgsdgdsgsd.dll.isolé

où sont stockés les fichiers du virus que j'ai neutralisé... une fois tout réglé je les supprimerai si tu ne veux pas jouer avec ;-)

---------------------------------

- inquiétant ou pas ?

¤¤¤¤¤¤¤¤¤¤ | Run
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^Anonymous^Menu Démarrer^Programmes^Démarrage^runctf.lnk]

Le fichier physiquement n'existe plus, mais comment se fait-il qu'il soit encore dans le registre ?

Et on y retrouve un fichier que j'ai tenté de faire pour supprimer le virus (c'est bien d'être naïf, mais bon à force d'essayer j'y suis quand même arrivé à le neutraliser ^^)
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^Anonymous^Menu Démarrer^Programmes^Démarrage^suppr.bat]

---------------------------------

Voilà, merci du temps que tu consacre pour mon problème.

Depuis aujourd'hui je constate que certains logiciels sont très long à réagir. Est-ce une conséquence du virus, ou alors une conséquence de l'installation d'Avast effectué aujourd'hui même ?
C'est comme si l'ordinateur planté partiellement, c'est à dire que plusieurs logiciels se figent, je peux continuer à faire autre chose en parallèle, et genre au bout de 2 min il se remet à fonctionner normalement... Et le plus surprenant est qu'il fige une fenêtre Explorateur Windows, la barre Menu Démarrer, mais je peux tout de même ouvrir une deuxième fenêtre Explorateur Windows et naviguer dedans sans problème ni lags !
tu peux mettre ces trois fichiers dans un zip et me les heberger ?

[22/12/2012 01:20:09] - |A| - [3213] - C:\Documents and Settings\Anonymous\Bureau\dsgsdgdsgdsgw.js.isolé
[22/12/2012 01:20:07] - |AT| - [1467866] - C:\Documents and Settings\Anonymous\Bureau\dsgsdgdsgdsgw.pad.isolé
[22/12/2012 10:57:41] - |A| - [195914] - C:\Documents and Settings\Anonymous\Bureau\wgsdgsdgdsgsd.dll.isolé


¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Voilà ton cadeau de Noël avec un peu de retard ;-)
https://www.cjoint.com/?3AurYhn71ZL

Tu as 4 jours pour le DL.

En mot de passe pour le fichier .zip, il te suffit de remplacer les " * ", tout en minuscule. Ça ne devrait pas être trop difficile pour toi ;-) (en même temps ni pour quelqu'un d'autre)
http://***-*******.forum-***.**/
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013


desinstalle ZoneAlarm Security Toolbar
si spybot encore installé , pareil , tu vires

==

selectionne ce texte :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^Anonymous^Menu Démarrer^Programmes^Démarrage^runctf.lnk]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^Anonymous^Menu Démarrer^Programmes^Démarrage^suppr.bat]
[HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper]
[HKLM\Software\BrowserChoice]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[5985:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[80:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[1900:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[2869:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[139:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[445:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[137:UDP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[138:UDP]

File|Fold::
C:\Documents and Settings\Anonymous\Application Data\Mozilla\Firefox\Profiles\nws3sgtr.default\extensions\jid0-bbA9VAawX3LMWDu668aUDrpQVXU@jetpack.xpi
C:\Documents and Settings\Anonymous\Application Data\Mozilla\Firefox\Profiles\nws3sgtr.default\extensions\trash
C:\5b28a1fe943721ac60689f63
C:\Documents and Settings\Anonymous\Application Data\Safer-Networking.log
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\WINDOWS\Tasks\Scan the system (Spybot - Search & Destroy).job

Driver::
SDSCANNERSERVICE
SDUPDATESERVICE
SDWSCSERVICE

Clean::

MBR::

Reboot::


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Bonjour g3n-h@ckm@n,

Et voici le lien ! https://www.cjoint.com/?0AAsrD5C9Dr


Question 1 :
J'ai vu au même titre du dossier [C:\5b28a1fe943721ac60689f63] qui s'est bien mis en quarantaine que j'avais un dossier [D:\945e314dedd2151c1fd2b0622b] comportant les mêmes éléments et dont l'accès est refusé (donc impossible à supprimer même sur le command dos).

Faut-il que je relance le Pre_Script de la sorte ?

--------------------------------------------
Kill::

Key::

File|Fold::
D:\945e314dedd2151c1fd2b0622b

Driver::

Clean::

MBR::

Reboot::

--------------------------------------------

Question 2 :

Je n'ai pas désinstallé comme tu le préconisais mais désactivé ou fermé Zone Alarme et Spybot Search and Destroy.
Est-ce génant ? Et est-ce parce que tu en doutes de leurs capacités ?


Merci ;-) et bon weekend !

spybot ne vaut pas un clou

à lire :

https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

pour le script ceci suffit :

File|Fold::
D:\945e314dedd2151c1fd2b0622b



Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Salut,

Après lancement du Pre_Script (connexion internet, antivirus et tout et tout de désactivés) le dossier est toujours présent (j'ai bien vérifié le nom).
J'ai également bien pris la précaution de laisser un "Entrer" en fin de fichier (est-ce utile ?).
Qu'aurai-je oublié ?

Maintenant que j'ai bien constaté que mon ordinateur était une vraie passoire à virus sur le net bien que je faisais confiance à un pare-feu très bien paramétré (quoique je suis fortement déçu des évolutions de Zone Alarme depuis ces dernières années), que me conseillerais-tu comme type (et nom) de logiciels de protection gratuits ?

* J'ai installé Avast depuis cette histoire... et constate que mon ordinateur est parfois très lent à ouvrir un logiciel. Est-ce une conséquence du virus, ou juste le mode "SandBox" de Avast ?


Bon dimanche.
Utilisateur anonyme
salut

le mode sandbox et plus là pour faiure ch*er qu'autre chose...

sinon j'ai bien aimé Comodo mais il savoir gérer...
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Remplace-t-il ZA, ou ZA + Avast ?
Utilisateur anonyme
ca depend si tu prends que le parefeu il remplacera que ZA
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Merci g3n de m'avoir suivi durant tout ce temps... il me reste juste ce détail du dossier D:\945e314dedd2151c1fd2b0622b que je n'arrive pas à supprimer.

Je passe ce topic en résolu (avec un peu de retard ^^)
J'espère que les fichiers que tu as téléchargé te seront utiles !

Bonne continuation sur tes démarches pour aider les internautes ;-)
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
921
re on termine tout de meme

pour ton dossier :

relance pre_scan , clique sur Expl/del

colle ca : D:\945e314dedd2151c1fd2b0622b

puis ok , puis force delete

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Échec : en fait l'ordinateur ne se reboot pas.
S'affiche un instant le Command Dos, puis rien.
Quelle nostalgie que d'avoir ce DOS à l'allumage de l'ordinateur :'(
Mais je me demande si je n'ai pas des CD pour lancer Linux via un CD... je vais tenter.
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
921
re

après relance ment manuel le dossier est encore là ?
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Salut,

Oui il est encore là... et c'est plutôt de manière chanceuse que je puisse répondre avec le même ordinateur...
J'ai mon disque SSD qui a fait des siennes en me lâchant une soirée. Là il refonctionne, mais çà n'annonce pas forcément un retour à la normal définitif... Bref soirée passée à faire des sauvegardes au cas où.

Sinon j'ai pu supprimer le dossier en lançant un autre windows sur le même ordinateur (je l'avais oublié ce deuxième boot !)

Et sur ce deuxième boot à version XP très ancienne que j'ai profité à mettre Windows à jour, j'ai pu constater que notre fameux dossier proviendrai d'une des maj de windows XP : J'ai eu le même topo de dossiers à numéro bizarre s'installant sur d'autres racines. À la fin de la maj certains d'entre eux étaient restées. Provenance de windows Update très probable, mais dans quel utilité ???


En faisant un petit check-up de mon pc voici les derniers points :
1. L'application windows gérant la "Connexion au réseau local" plante. Activation et désactivation uniquement réalisable via le "Gestionnaire de périphériques".
2. Certaines applications extrêmement long à s'exécuter (conséquence de l'installation d'Avast ?)
3. Un problème disque dur SSD, mais je pense très fortement que ce problème soit hors sujet dans ce topic.

Voilà, si tu veux tester quelques manips, tu peux me le demander, je compte peut-être formater d'ici 1 mois... (après tout, ça ne fera pas de mal même à un ordinateur sain ^^)
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
921
à ce que je vois le SSD n'est pas si fiable que ca.....
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Oh moi... je ne dis rien à cela : je suis déjà passé pour un revenant de l'autre monde devant un informaticien (qui fut resté bouche bée face à moi) après lui avoir annoncé qu'en moins de 5 ans j'avais perdu 3 HDD, alors que je suis simple utilisateur d'ordinateur qui ne m'amuse pas à traficoter mon matériel... donc si mon SSD venait à tomber, le ratio ne sera pas encore trop inquiétant... ^^
Messages postés
13212
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
2 septembre 2020
921
Provenance de windows Update très probable, mais dans quel utilité ???

dans l'utilité de pouvoir finir l'installation de ses modules après le reboot
Messages postés
20
Date d'inscription
samedi 22 décembre 2012
Statut
Membre
Dernière intervention
12 février 2013

Salut,

Mais pourquoi ne les met-il pas dans le dossier temporaire ? Ne les supprime-t-il pas à la fin ? Y verrouille parfois l'accès ? Et surtout : les met sur une autre partition que celle de windows ?!

En tout cas merci bien pour ton aide et conseils g3n-h@ckm@n, j'espère que les fichiers te seront utiles pour renforcer ton logiciel de nettoyage (et j'espère surtout que tu ne t'es pas fait avoir avec... ;-) )

Si tu veux vérifier certains points sur mon ordi, n'hésites pas. Je ne tarderai pas à y laisser mon dernier message.