virus ministère de l'interieur / ukash Résolu

Question

Bonjour, 

j'ai choppé le virus ukash hier soir, et après pas mal de recherches, je ne trouve pas de solutions qui me convienne ou qui soit compréhensible, alors voila le problème, je lance le pc infecté en mode normal, l'écran ukash apparait, je le lance en mode sans echec avec prise en charge réseau, ukash apparait, je le lance en mode sans echec et ukash apparait toujours.

voila voila, pouvez vous m'aidez ?

j'ai windows 7 sur le pc portable et sur le pc infecté aussi.

Cordialement, sthyxzero.

Configuration: Windows 7 / Chrome 21.0.1180.89

g3n-h@ckm@n · Answer

salut

et en invité de commandes ?

sthyxzero · Answer

je lance le mode invité de commande en mode sans echec (j'ai que ça) et j'ai une fenetre noire avec ecrit C:\Windows\system32>
avec en image de fond (dérrière la fenetre de commande) un écran noir avec ecrit mode sans echec au 4 coins

g3n-h@ckm@n · Answer

formidable 

tape regedit 

le registre s ouvre-t-il ?  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

oui un registre s'ouvre avec 5 fichiers qui commences tous par HKEY_blabla_blabla

g3n-h@ckm@n · Answer

ok on va faire ca et si pas on verra dans les dossiers :)

deplie avec les petit "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\windwos NT
\CurrentVersion
\Winlongon

clic gauche sur winlogon

fenetre de droite , as -tu une valeur "Shell" ?

sthyxzero · Answer

pas de shell en vue, j'ai 5 elements :

nom :                        type :

(par defaut)                reg_sz
buildnumber                reg_dword
excludeprofiledirs       reg_sz
first logon                   reg_dword
parseautoexec           reg_sz

c'est tout ce qui est affiché avec un clic gauche sur winlogon.

g3n-h@ckm@n · Answer

ok c'est l'autre variante

c'est quoi le systeme malade ? XP ? , Vista ? , 7 , 8 ?

sthyxzero · Answer

le système qui est malade c'est windows 7

(et qu'elle est cette "autre variante " ?)

g3n-h@ckm@n · Answer

bien dans le fenetre noire tape :

cd "%appdata%"

sthyxzero · Answer

j'ai écris cd %appdata% a la suite de C:\windows\systeme32>
et j'ai une autre ligne qui apparait
C:\users\MonNom\appdata\roaming>

je fais quoi maintenant ?

g3n-h@ckm@n · Answer

tape cd "Start menu" 

puis

cd "Programs"

Puis cd "Startup"
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

Le chemin d'acces spécifié est introuvable (j'ai essayé avec et sans les " )

g3n-h@ckm@n · Answer

edit ah non je me suis planté

cd microsoft
cd windows
cd "start menu"
cd "Programs"
cd "Startup"
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

ok la c'est bon j'ai : 

C:\user\monNom\appdata\roaming\microsoft\windows\start menu\programs\ startup> 

je fais quoi ?

g3n-h@ckm@n · Answer

tape dir

sthyxzero · Answer

j'ai un gros pavé :

Le volume dans le lecteur C n'a pas de nom
Le numero de serie du volume est 4af8-90ad

répertoir de C:\user [...] programs\startup

11/01/2013 21:33 <REP> . (y'a un point)
11/01/2013 21:33 <REP> .. (et ici il y en a 2)
11/01/2013 21:33 1 051 runctf.link
1 fichier(s) 1 051 octets
2 rép(s) 817 727 860 736 octets libres

C:\user [...] \programs\startup

voila c'est tout ce qui est écrit.

g3n-h@ckm@n · Answer

tape 

del /f /q runctf.lnk   
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

ok c'est fait, j'ai re-tapé dir, et le runctf.lnk n'est plus la, tu veux tout le pavé ?

g3n-h@ckm@n · Answer

non :)

regarde si tu peux demarrer ton pc normalement

sthyxzero · Answer

j'ai un écran tout gris après mettre conecté sur ma session, j'ai la souris, ukash n'apparait pas, mais je n'ai rien d'autre que du gros, pas de barre de taches, rien.

g3n-h@ckm@n · Answer

redemarre en mode sans echec avec prise en charge reseau

sthyxzero · Answer

en mode sans echec avec prise en charge réseau, ukash est toujours la

g3n-h@ckm@n · Answer

bon ok je voulais te l'eviter mais il va falloir faire ca :

https://gen-hackman.kanak.fr/

sthyxzero · Answer

heuu j'ai pas de cd a graver, mais j'ai une clé usb, j'ai crus voir a un moment qu'il existait une version avec une clé USB ? c'est possible ?

g3n-h@ckm@n · Answer

oui

https://gen-hackman.kanak.fr/

sthyxzero · Answer

ok je télécharge le truc, et je te dis plus tard ce que ça donne (une simple question, tu pense que mon pc malade va être désinfecté avant 15h ? car après cette heure je dois partir et j'aurais pas acces a mon ordinateur malade avant vendredi prochain )

g3n-h@ckm@n · Answer

ca doit etre jouable je pense

sthyxzero · Answer

ok je viens de lire , qu'il faut a un moment séléctionner la clé usb en premier démarage dans le bios, le bios, c'est bien le menu bleu et gris quand on clic sur f12 au démarage  ? dans ce cas, la clé usb c'est quoi car j'ai pleins de USB (fdd, zip, cdrom, hdd)

g3n-h@ckm@n · Answer

usb hdd  

au fait tu as essayé de faire une restauration systeme avant le probleme .?
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

non j'ai pas essayé, mais j'ai pas d'acces au bureau sur le pc malade donc je vois pas vraiment comment faire.

sinon pour le logiciel je charge comment les ISO/ima ?

sthyxzero · Answer

ha oui ok j'avais pas vu, sinon pour la restauration système tu pense que ça fonctionnerais ?

g3n-h@ckm@n · Answer

certaines variantes la suppriment mais c'est testable

en invité de commandes devant :

C:\Windows\System32>_

tu tapes 

rstrui.exe 

et tu cherches un point de restauration avant l'infection

sthyxzero · Answer

ok j'essaye une restauration du système avant de faire la manip avec la clé usb, si la restauration fonctionne je fais quoi ? pour vérifié si le virus est présent ou pas ?

g3n-h@ckm@n · Answer

on passera un outil

sthyxzero · Answer

arf même avec la restauration du système a la date avant l'infection ukash est toujours la, bon je passe a la méthode avec la clé usb

sthyxzero · Answer

quand je fais entrer avec USB-HDD j'ai un ecran noir, avec écrit, loading operating systeme ...
boot error

? pourtant j'ai bien selectionner la clé usb dans le boot menu,

mon Bios est comme ceci :

Boot Menu

select a boot first device

ls120
+ Hard disk
cdrom
zip
usb-fdd
usb-zip
usb-cdrom
usb-hdd
legacy lan


dessins de fleche vers le haut et vers le bas, : move  enter : accept  ESC : exit

g3n-h@ckm@n · Answer

tente celui-ci

usb-fdd

sthyxzero · Answer

ok j'ai pas de boot error, j'ai un chargement, je retourne sur ton site pour la suite.
par contre j'ai une réparation du démarrage qui se lance, c'est normal ?

sthyxzero · Answer

j'ai pas vraiment eu le temps de voir, la j'ai une fenetre de réparation du démarage, 
et je peux pas annuler.

sthyxzero · Answer

même avec usb-fdd quand je lance avec ça, quand je me connecte a ma session, ukash est la.

g3n-h@ckm@n · Answer

ca veut dire que ca demarre pas sur la clé

sthyxzero · Answer

et ducoup je fais comment pour qu'il demarre sur la clé ?

sthyxzero · Answer

je sens que je vais faire un formatage de mon pc moi.

g3n-h@ckm@n · Answer

bon j'ai une autre solution

mets ca sur la clé :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

ensuite , mets la dans le pc malade et redemarre en invité de commandes

ensuite tu tapes 

dir D:
dir E:

etc...jusqu'à lire le contenu de la clé

ensuite 

si la clé est E:

E:\winlogon.exe

si c'est F:

F:\Winlogon.exe

etc

sthyxzero · Answer

je supprime sardu de la clé avant ?

sthyxzero · Answer

y'a un chargement qui est tres long, il est a un peu plus de la moitier.

juju666 · Answer

Salut si g3n a un soucis de connexion il m a demandé de continuer avec toi :)
Donc  Pre_Scan (winlogon) est en fonction là ? :)

sthyxzero · Answer

ouep Pre scan tourne la, c'est super long.

sthyxzero · Answer

sinon juju666, une question me turlupine l'esprit, tu jouait pas sur le xboxlive avec le pseudo " juju666t " ? par hasard ?

sthyxzero · Answer

a par ça, le pre scan vien de me demander de redémarer le pc malade.


EDIT : je suis enfin sur le bureau ! youhouuuu, ok on fait quoi maintenant pour vérifier que le virus est bien parti ?

juju666 · Answer

Non je n ai pas de xbox mdr
Par contre je joue à WOW MoP sur PC ^^'

sthyxzero · Answer

ok c'est bon j'ai acces au bureau, on fait quoi maintenant, pour vérifier qu'il est bien partit ?

juju666 · Answer

à priori pasc a perdu sa connexion ^^

Vois si tu as un rapport Pre_Scan_Date_heure à la racine de ton disque dur c:\ ou sur ta clé

si oui envoie le sur https://www.cjoint.com/ et poste le lien

sthyxzero · Answer

https://www.cjoint.com/c/CAnmTrXlGrh

g3n-h@ckm@n · Answer

ton pc est redemarré en normal je presume ?

sthyxzero · Answer

oui

g3n-h@ckm@n · Answer

bien relance l'optioon scan|kill il a pas terminé son boulot

===

 ensuite :

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

===

ensuite :

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

sthyxzero · Answer

quelle option Scan|kill ?

tu veux parler de winlogon ?

sthyxzero · Answer

voici le rapport du deuxieme scan de winlogon  

https://www.cjoint.com/c/CAnm7tuZCNI

je passe a la suite avec adwcleaner

sthyxzero · Answer

voici le rapport de ADWcleaner 

https://www.cjoint.com/c/CAnneiPbKFO

g3n-h@ckm@n · Answer

vu nickel :)

sthyxzero · Answer

je telecharge malwarbytes la

sthyxzero · Answer

voici le rapport de malwarebytes :

https://www.cjoint.com/c/CAnnQjV4MJS

sthyxzero · Answer

voici le rapport pre_diag :

https://www.cjoint.com/c/CAnobKcE1sA

sinon j'ai rien pigé a ce que vous venez de dire :)

g3n-h@ckm@n · Answer

selectionne ce texte :

Kill::

Key::
[HKLM64\Software\BrowserChoice]     
[HKLM64\Software\IB Updater]     
[HKLM64\Software\WNLT]     
[HKCR\AppId\PricePeep.DLL]
[HKCR\AppId\SoftwareUpdate.exe]

File|Fold::
C:\Program Files (x86)\Software     
C:\Users\ALEXAN~1\AppData\Local\Temp\Low\did.xml 
C:\Users\ALEXAN~1\AppData\Local\Temp\Low\ppd.xml 
C:\Users\ALEXAN~1\AppData\Local\Temp\Low\upn2.xml 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore  
C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA 
C:\Windows\System32\Tasks\WPD         
C:\Windows\system32\dmwu.exe 

Clean::

MBR::

Reboot::  

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

====================

et le menage final :

https://gen-hackman.kanak.fr/

sthyxzero · Answer

voici pour le pre_script

https://www.cjoint.com/c/CAnoKCAsTo4

sthyxzero · Answer

le pre_script (2eme version) :

https://www.cjoint.com/c/CAnoXzsEAwm

PS : le pre_script sur le bureau était vide, il faut prendre celui qui est dans C:

g3n-h@ckm@n · Answer

parfait tu peux commencer le menage final tu le finira à ton retour :)  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

sthyxzero · Answer

ok dans le menage final ,j'ai des rapport a te donner ?

Virus ministère de l'interieur / ukash

69 réponses

Votre réponse

Discussions similaires

Newsletters