virus UKASH sur windows XPRésolu/Fermé

Question

Bonsoir,
j'ai été touché par le fameux virus Ukash!
J'ai déjà commencé à suivre le processus pour résoudre le problème mais j'aurais besoin d'aide sur la fin.
Je suis rendu à l'étape où je démarre mon pc infecté grâce au CDROM Reatogo mais après j'ai des doutes sur la suite de la procédure.
J'attend votre aide afin de résoudre ce problème.

Merci

Malekal_morte- · Answer

Salut,

Sur OTLPE: Fais une recherche de fichiers sur le nom wgsdgsdgdsgsd
Supprime tout ce qui est trouvé. 

Redémarre en mode normal voir si le virus est encore là.

seth cohen · Answer

Désola mais comment on fait une recherche sur OTLPE?
On tape ce que tu m'as dit dans le cadre en bas de la fenetre?

seth cohen · Answer

Désolé je suis en train de faire la recherche.
Sinon j'ai le rapport si çà peut aider

seth cohen · Answer

Je viens de supprimer le fichier que tu m'as demandé.
Si j'ai bien compris, il me reste juste à éteindre et rallumer le pc normalement?

seth cohen · Answer

Après je suppose que je dois utiliser Malware pour tout nettoyer et la procédure sera terminé??

Malekal_morte- · Answer

oui mais avant tu devrais passer un coup d'AdwCleaner :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

seth cohen · Answer

# AdwCleaner v2.104 - Rapport créé le 01/01/2013 à 20:37:58
# Mis à jour le 29/12/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : toshiba - YOUR-3256244CB4
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings	oshiba\Mes documents\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v17.0.1 (fr)

Fichier : C:\Documents and Settings	oshiba\Application Data\Mozilla\Firefox\Profiles\v6co8tj6.default\prefs.js

Présente : user_pref("vshare.install.date", "1357069017");
Présente : user_pref("vshare.install.finished", "1.0.0");
Présente : user_pref("vshare.install.fresh", "false");
Présente : user_pref("vshare.install.guid", "{14d0fc4f-3adc-4366-b0ba-4733ab9adcdd}");
Présente : user_pref("vshare.install.newtab", false);

-\ Google Chrome v23.0.1271.97

Fichier : C:\Documents and Settings	oshiba\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1309 octets] - [01/01/2013 20:37:58]

########## EOF - C:\AdwCleaner[R1].txt - [1369 octets] ##########


Voila le rapport!!

Malekal_morte- · Answer

Ca roule !

Installe Malwarebyte's : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/    - si tu l'as pas.
Fais des scans réguliers avec.


Si tu as Spybot ou McAfee Sécurity scan, désinstalle les.
Sont dépassés et inutiles.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

seth cohen · Answer

En fait Malware il faut que je le mette à jour.
Sinon depuis que j'ai les remis sur pied, le pc ramme pas mal, normal je suppose!
Encore merci

Malekal_morte- · Answer

Tu dois avoir le centre de sécurité qui est planté, pour le remettre :

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html   
Laisse le Pre-Scan se terminer
Lance un scan avec le bouton scan à droite.
Clic sur le bouton Suppression.
Poste le rapport ici.


Eventuellement, on peux voir si y a des programmes au démarrage qui sont superflus :



- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

seth cohen · Answer

RogueKiller V8.4.2 [Dec 31 2012] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : toshiba [Droits d'admin] Mode : Suppression -- Date : 02/01/2013 17:30:28 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\DOCUME~1\toshiba\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll) [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet003\Services\winmgmt\Parameters : ServiceDll (C:\DOCUME~1\toshiba\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 078fa1ce617d70adcc7b2b31121cf90b [BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4]_D_02012013_173028.txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3]_S_02012013_172745.txt ; RKreport[4]_D_02012013_173028.txt Voici le rapport pour Roguekiller

Virus UKASH sur windows XP

11 réponses

Newsletters