Virus Ukash Ordinateur bloqué.

Question

Bonjour, 

J'ai un PC portable HP qui tourne sous windows XP pro et j'utilise Firefox, et Java entre autres.

Depuis hier j'ai été infecté par le fameux virus ukash qui bloque le PC avec un écran m'indiquant devoir payer 100 euros avec un compte à rebours de 47 heures etc...

J'arrive à le faire démarrer en mode sans échec et du coup j'ai testé des utilitaires comme malwairebyte ou encore adwcleaner.exe, mais le virus prend le dessus pendant le scan...

J'ai  lancé winlogon.exe qui me donne un message d'erreur au bout d'un bon moment de scan.

Il faudrait donc un utilitaire qui puisse "figer" le PC pendant le scan et la suppression il me semble.

Est-ce qu'une âme charitable peut m'aider à résoudre le problème?

Mille mercis d'avance :)

g3n-h@ckm@n · Accepted Answer

vi ^^

g3n-h@ckm@n · Answer

salut quel winlogon.exe ?

almossadra · Answer

Salut,

ça fait deux réponses que je poste et ils disparaissent, est-ce normal?

Comme si un modo les supprimait :s

g3n-h@ckm@n · Answer

inscris-toi sur commentcamarche , suivant ce que tu donnes comme reponse ca passe pas sinon

Almossadra · Answer

C'est fait.

Donc je disais que le winlogon je l'ai pris d'un lien proposé en réponse à une demande similaire à la mienne ici.
Il me semble que c'est toi qui l'avais proposé en plus, si je ne me trompe pas.

Comme je ne retrouve pas le topic je vais l'uploader et te donner le lien dans la prochaine réponse.

Almossadra · Answer

Ça y est j'ai compris pourquoi mes messages sont caviardés!

Peux-tu me dire quel hébérgeur est toléré ici stp?

nqqb · Answer

J'ai eu ce virus, j'ai redémarré l'ordinateur en mode sans échec puis j'ai télécharger rogekiller, et sa le supprime. 

Ensuite tu va dans le fichier où le viru était caché et supprime les truc restant (image etc, je crois qu'il resté un .exe).

Almossadra · Answer

Le même problème qu'avace les autres...

Pendant le scan le virus charge et masque tout... :'(

Il faut que j'arrive à empêcher le lancement du virus pendant le scan et la suppression.

Sinon rien à faire...

nqqb · Answer

Si démarre ton ordinateur en mode sans echec avec prise en charge réseau, tu tapote la touche F8 quand ton windows démarre. 

Ton ordinateur ne sera plus bloqué, ensuite tu télécharge Roguekiller. Sa t'enlèvera le virus.

Ensuite tu redémarre ton PC, et tu supprime les elements restant image etc...

g3n-h@ckm@n · Answer

prends la derniere version de Pre_scan ici  

http://www.archive-host.com 

et passe l'option scan|kill en mode sans echec sans prise en charge reseau et s'il se lance tout seul , laisse tourner

  
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Almossadra · Answer

nqqb même en mode sans échec le virus se lance et bloque tout.

g3n-h@ckm@n je teste ça de suite!

g3n-h@ckm@n · Answer

ah ok !

mauvaise idée de transférer les disques infectés sur d'autres machines tant qu'on ne sait pas de quoi est infecté le disque malade

Almossadra · Answer

J'ai encore du mal avec les différentes façons de répondre et mon écran ne me facilite pas les choses...

Du coup je reposet ici, sans vouloir flooder :'(  

Oula!
Ton Utilitaire est bien puissant!
Ça zigouille même le virus brontok? Il m'avait bien embêté à son temps!

Je vais le garder sous le coude! Parfait!

Pour en revenir à notre scan, il a passé le stade où j'obtenais un message d'erreur hier, et zigouillé pas mal de fichier il me semble.
Là il continue son affaire LOL.

Je suis d'accord avec toi sur le transfert de disques infectés. Mais quelque chose me disait que ce virus là 'uchek) se lançait après un redémarrage postérieur à l'infection (c'est ce qui s'est passé sur le PC infecté) du coup j'ai pris le risque.

Mais ce qui est bizarre c'est que le disque n'a pas été reconnu sur mon second PiCi...

g3n-h@ckm@n · Answer

Je vais le garder sous le coude! Parfait!   

nan il est mis à jour plusieurs fois par jour dans 3 h il sera obsolète :)  

et pour Brontok il ne traite pas totalement l'infection , il supprime uniquement des fichiers lui appartenant au passage grâce à la recherche sur les extensions

si tu es infecté par Brontok mieux vaut usbfix

================  

en general cette infection ne vient pas toute seule , elle est souvent accompagnée d'un rootkit ZeroAccess   
   
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Almossadra · Answer

Je vois, LOL!

Alors donne-moi le lien où je pourrai télécharger la version la plus à jour en cas de besoin s'il te plaît...


Et du coup avec cet utilitaire je zigouille la majorité des infections connues? Pas la peine de bourrer ma clé USB d'une myriade d'utilitaires dont j'oublie l'utilisation avec le temps? 

Une sorte de couteau suisse anti infection?

g3n-h@ckm@n · Answer

Principalement , son but est de supprimer tout démarrage d'infection .

j'y ai ensuite rajouté la suppression des rogues , etc......;ben tiens si ca t'interesse de la lecture sur l'evolution de l 'outil depuis sa création avec les ajouts , les retraits , etc.....

https://gen-hackman.kanak.fr/

Almossadra · Answer

Je garde ton lien pour le lire sur l'écran de mon premier PC une fois réparé.

En attendant tu peux me dire ce que tu entends par "rouge"?

Ce sont les infections comme la mienne qui bloquent l'utilisation du PC?

g3n-h@ckm@n · Answer

oui

j'ai pas dit rouge mais rogue lol ^^

Almossadra · Answer

Je te ferai voir une capture de mon écran et tu verras que lire à une lettre décalée près est déjà un exploit!!! LOL

Rogue, donc est une infection comme la mienne qui bloque le PiCi?

g3n-h@ckm@n · Answer

nan toi c'est ca plutot

https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel

Almossadra · Answer

ça y est, j'ai trouvé! 

Escroquerie, quoi.... Infection fictive ou réelle poussant l'utilisateur à télécharger un logiciel payant ou payer un code pour "débloquer" le PC infecte :) J'ai bon?

Almossadra · Answer

Pre_Scan
Searching : C: l .ico

D:\AdvencedConfig_Beta.rar


Ça fait un peu plus de dix minutes que le scan est bloqué sur ce fameux fichier advenced config qui n'est qu'un petit programme inoffensif pour le Windows Phone. Et il ne pèse qu'un Méga octets à  peine.


Normal?


PS: La seconde barre de scan (donc scan global) est avancée de 2/3...

Almossadra · Answer

Bon là il a finit et a fait un reboot tout seul.
On va voir le résultat  :)

Almossadra · Answer

Wooow! balèèèèèèèze! 


Le problème est résolu! C'est nickel! 

Le PC a l'air d'avoir rajeuni :) 

Mille mercis encore, tu auras un don la semaine prochaine :) Promis. 


Porte-toi bien!


PS: comment je peux mettre le topic en résolu? Je dois éditer la demande initiale?

g3n-h@ckm@n · Answer

je peux avoir le rapport hébergé sur cjoint.com ?

Almossadra · Answer

Il ne m'en a pas proposé. Comment faire?

g3n-h@ckm@n · Answer

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Almossadra · Answer

Le voici:)
https://www.cjoint.com/?3BpqCgOCSMe

g3n-h@ckm@n · Answer

relance l'outil , clique sur diag , heberge le rapport pre_diag et donne le lien

Almossadra · Answer

Le voilà : 
https://www.cjoint.com/?3BprfiMAXGF 

Tu comprends quoi dans tout ce charabia?


PS: Tu veux bien activer mon insciption sur ton site steuplait?

g3n-h@ckm@n · Answer

desinstalle Adobe Reader 9.x

==============================================
 
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\ciaunwdm.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.
 
==============================================

selectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[IMJPMIG8.1]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[TaskTray]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[PWRISOVM.EXE]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[NPSStartup]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-861567501-823518204-682003330-1003\Software\?? ?? ???? ????? ??? ?? ????] 
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[26675:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[1900:UDP] 
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[2869:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]|[26675:TCP] 
[HKCR\Installer\Products\4EA42A62D9304AC4784BF238120612FF]

File|Fold::
C:\Documents and Settings\Discovery\2445566.dll 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\BRONTOKRemoval Tool 
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrageunctf.lnk 
C:\Documents and Settings\Discovery\Application Data\WPVXAP.setting 
C:\Documents and Settings\All Users\Application Data\6655442.js 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Bron.tok-15-18 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Bron.tok-15-16 
C:\Program Files\BRONTOKRemoval Tool 
C:\WINDOWS\system32	mp*.FOT 

Driver::
12627722
92116600

Clean::

MBR::

Reboot::       

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Almossadra · Answer

Pour C:\WINDOWS\ciaunwdm.exe  Virus total m'a dit que le fichier avait été analysé en 2009 et que zéro virus avait été identifié.

Malgré ça j'ai demandé à ce qu'il soit re-analysé.

Il serait pas plus simple de le zigouiller plutôt que de se casser la tête pour savoir s'il est infecté ou non?

Pour le reste je dois m'absenter jusqu'à ce soir, on continue ça à mon retour ou demain si tu le veux bien?

Mille mercis en tout cas!

Porte-toi bien :)

g3n-h@ckm@n · Answer

j'aurais voulu le lien de la page pour virus total
et le rapport du script aussi

Almossadra · Answer

Pour virustotal:
https://www.virustotal.com/gui/file/f78348f6b354fbaf8879a6178e22f605befe7fe222b92413cffd129472253388


Pour le rapport :
https://www.cjoint.com/?3Bpspj7RQHI


Merci :) Je suis en retard je file!

A bientôt :)

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Almossadra · Answer

Hello,

Merci pour le coup de main.

Voici le rapport de malwarebyte:
https://www.cjoint.com/?3Bqan4BUgXw

Porte-toi bien ;)

g3n-h@ckm@n · Answer

re par sécurité :

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur" 

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

Almossadra · Answer

Hello,

Bien dodo? lol

Pour USBfixe il va pas zigouiller mes cracks? Parce que j'en ai quelques uns que j'ai difficilement trouvés et qui ne sont pas infectés.

Autre chose, je peux brancher mes disques un par un et poster le rapport séparément? Parce que j'ai plusieurs disques externes et un seul boitier :)

g3n-h@ckm@n · Answer

non

si tu veux

Virus Ukash Ordinateur bloqué.

39 réponses

Votre réponse

Newsletters