Virus UKASH sur windows XP

[Résolu/Fermé]
Signaler
-
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013
-
Bonsoir,
j'ai été touché par le fameux virus Ukash!
J'ai déjà commencé à suivre le processus pour résoudre le problème mais j'aurais besoin d'aide sur la fin.
Je suis rendu à l'étape où je démarre mon pc infecté grâce au CDROM Reatogo mais après j'ai des doutes sur la suite de la procédure.
J'attend votre aide afin de résoudre ce problème.

Merci

11 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Salut,

Sur OTLPE: Fais une recherche de fichiers sur le nom wgsdgsdgdsgsd
Supprime tout ce qui est trouvé.

Redémarre en mode normal voir si le virus est encore là.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

Désola mais comment on fait une recherche sur OTLPE?
On tape ce que tu m'as dit dans le cadre en bas de la fenetre?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Dans le menu Démarrer tu dois avoir search files
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

Désolé je suis en train de faire la recherche.
Sinon j'ai le rapport si çà peut aider
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Poste le rapport si tu n'arrives pas à virer les fichiers wgsdgsdgdsgsd
Normalement, si tu vires les fichiers wgsdgsdgdsgsd, ça devrait faire que le virus ne se lance plus.
Du coup, y aura plus qu'à nettoyer les restes.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

je poste le rapport au cas où
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

voici le lien
http://i789wq.1fichier.com/
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

Je viens de supprimer le fichier que tu m'as demandé.
Si j'ai bien compris, il me reste juste à éteindre et rallumer le pc normalement?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
oui, enfin redémarrer.
Tu dois avoir menu Démarrer / Shutdown et dedans restart computer.
Quelque chose comme ça.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

Après je suppose que je dois utiliser Malware pour tout nettoyer et la procédure sera terminé??
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
oui mais avant tu devrais passer un coup d'AdwCleaner :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Essaye Adwcleaner en mode sans échec avec prise en charge du réseau.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

ok je risque de le faire plus tard dans la soirée par contre
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
pas de prb :)
En attendant, évite les sites pornos ou streaming (film classique) car ça vient par des pubs pourries là bas.
Tu risques de réinfecter le PC tant que tu ne l'auras pas sécurisé.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

Ok deja AVG a résolu le cheval de Troie que j'avais sur le pc!!
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
C'est surtout d'avoir viré wgsdgsdgdsgsd qui a enlevé le virus ukash.
Là AVG doit trouver les restes.
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

# AdwCleaner v2.104 - Rapport créé le 01/01/2013 à 20:37:58
# Mis à jour le 29/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : toshiba - YOUR-3256244CB4
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\toshiba\Mes documents\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Fichier : C:\Documents and Settings\toshiba\Application Data\Mozilla\Firefox\Profiles\v6co8tj6.default\prefs.js

Présente : user_pref("vshare.install.date", "1357069017");
Présente : user_pref("vshare.install.finished", "1.0.0");
Présente : user_pref("vshare.install.fresh", "false");
Présente : user_pref("vshare.install.guid", "{14d0fc4f-3adc-4366-b0ba-4733ab9adcdd}");
Présente : user_pref("vshare.install.newtab", false);

-\\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings\toshiba\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1309 octets] - [01/01/2013 20:37:58]

########## EOF - C:\AdwCleaner[R1].txt - [1369 octets] ##########


Voila le rapport!!
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Ca roule !

Installe Malwarebyte's : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ - si tu l'as pas.
Fais des scans réguliers avec.


Si tu as Spybot ou McAfee Sécurity scan, désinstalle les.
Sont dépassés et inutiles.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

En fait Malware il faut que je le mette à jour.
Sinon depuis que j'ai les remis sur pied, le pc ramme pas mal, normal je suppose!
Encore merci
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 230
Tu dois avoir le centre de sécurité qui est planté, pour le remettre :

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Laisse le Pre-Scan se terminer
Lance un scan avec le bouton scan à droite.
Clic sur le bouton Suppression.
Poste le rapport ici.


Eventuellement, on peux voir si y a des programmes au démarrage qui sont superflus :



- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

Messages postés
14
Date d'inscription
mardi 1 janvier 2013
Statut
Membre
Dernière intervention
2 janvier 2013

RogueKiller V8.4.2 [Dec 31 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : toshiba [Droits d'admin]
Mode : Suppression -- Date : 02/01/2013 17:30:28

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\DOCUME~1\toshiba\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet003\Services\winmgmt\Parameters : ServiceDll (C:\DOCUME~1\toshiba\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_D_02012013_173028.txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3]_S_02012013_172745.txt ; RKreport[4]_D_02012013_173028.txt


Voici le rapport pour Roguekiller