Virus ukash pas de point de restauration

Résolu
Mikool Messages postés 4 Statut Membre -  
 Paris94 -
Bonjour
Je viens de choper un virus ukash
Pb': pas possible de redémarrer même en modes ans échec
Dans invité de commande en mode sans échec j ai essayé la restauration mais j'ai un message "pas de point de restauration"
Du coup je ne sais plus trop quoi faire...jeune peux pas télécharger de roguekiller ni rien
Help!

Merci d'avance

10 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Toujours en invite de commande tape regedit

    le registre s'ouvre

    deplie avec les petits "+"

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows NT
    \CurrentVersion
    \Winlogon

    clique gauche sur winlogon

    tableau de droite , supprime la valeur shell

    ferme le registre, tape shutdown -r

    le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
    Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue.
    2
    1. Paris94
       
      Bonjour
      Je crois avoir rattrapé la même maladie et je cherchais de suivre vos suggestions mais j'arrive seulement jusqu'à \microsoft. Après je n'ai pas de windowsnt ni winlogon, mais seulement \windows\WinTrust. Et pas de shell!!!
      Pouvez vous m'aider?
      Merci d'avance
      Mad
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut
      Tu descend pas assez. Si t'as pas de clé winlogon, ton pc ne démarre pas du tout.
      Ouvres-toi un nouveau sujet si tu veux de l'aide.

      A+
      0
    3. Paris94
       
      Hallo à nouveau et merci pour ta réponse. J'ai ouvert un nouveau post mais on me suggère de télécharger des programmes et en ce moment je n'ai pas un autre ordinateur à disposition. J'ai décidé donc de reessayer avec ta procedure.
      Je trouve Windows NT dans HKEY_LOCAL_MACHINE et non dans HKEY_CURRENT_USER
      Ça change qq chose?
      J'ai continué jusqu'à effacer Shell (il y a par contre Autorestartshell qui est activé...) mais l'invite de commande ne reconnait pas shutdown comme une commande....
      Quoi fqire?
      Merci d'avance.
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Donne le lien de ton nouveau sujet que je vois ça STP.
      0
  2. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 3 591
     
    salut à tous

    il lui restait une fin de nettoyage

    ** Cat **%hpvlf%o [HKCU\Software\AppDataLow\Software\Yahoo] => Catégorie inconnue
    [HKCU\Software\Marseille]
    [HKCU\Software\Marseillesoft]

    ( espion pro 2011 marseille soft )
    savoir si des petites fenêtres ne s' ouvrent pas de temps en temps

    à+
    1
    1. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   3 591
       
      à mikool

      cela donne quoi ton affichage

      Support Drivers
      http://www.dell.com/support/drivers/fr/fr/frdhs1/Product/inspiron-17r-n7110

      - déjà le Intel Graphics
      - après le NVidia

      encore quelqu'un qui n'a pas lu tous les postes
      0
    2. mikool
       
      pas lu tous les posts??
      je fais les mises a jour demandees...
      0
    3. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   3 591
       
      toi , tu n'es pas concerné
      continue ce qui est demandé et indiqué
      0
    4. mikool
       
      telecharge le dell intel graphics , puis unzipped dans dell /drivers/- PTRYM je fais quoi?
      merci!
      0
    5. mikool
       
      c tout good, j'ai retrouvé mon affichage normal + plus de pbs de virus..

      MERCI a vieu bison boiteu +juju666+rossi46du77
      bonne soirée a tous les 3*
      A bientot
      0
  3. Mikool Messages postés 4 Statut Membre
     
    Hello
    Ça a marche
    Je redemarre
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    On va virer le fichier responsable :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mikool
     
    ÿþMalwarebytes Anti-Malware 1.70.0.1100

    www.malwarebytes.org

    Version de la base de données: v2013.02.21.08

    Windows 7 Service Pack 1 x64 NTFS

    Internet Explorer 9.0.8112.16421

    mikool :: MIKOOL-PC [administrateur]

    28/03/2013 10:11:24

    mbam-log-2013-03-28 (10-11-24).txt

    Type d'examen: Examen complet (C:\|)

    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers |

    Options d'examen désactivées: P2P

    Elément(s) analysé(s): 394330

    Temps écoulé: 1 heure(s), 56 minute(s), 42 seconde(s)

    Processus mémoire détecté(s): 0

    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0

    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0

    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0

    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0

    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0

    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1

    C:\Users\mikool\AppData\Roaming\skype.dat (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Bien, rencontres-tu encore des soucis particulier ?
    Pages de pub intempestives ou autres ?
    As-tu bien mis à jour Java ?

    A+
    0
  8. mikool
     
    tout semble ok revenu a la normale...
    merci pour ton aide précieuse....
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    et mes questions ???

    Si tu as Spybot, désinstalle, il est dépassé et inefficace.
    Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
    Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

    ~~

    Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    ~~

    Fais des scans réguliers avec Malwarebytes, il est efficace.

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      tu veux me faire mourir :D

      EDIT :

      c'est sympa mikool; la prochaine fois n'espère même plus un coup de main de ma part.
      Bye !
      0
    2. Utilisateur anonyme
       
      met spybot il te tiendra en vie et en forme ;-)
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      attend je teste advanced bidon à la noix
      sensé détecter adware/spyware
      mouhahahahaha après 1 min de scan MBAM détecte 28 éléments et lui QUE DALLE
      il va repartir aussi vite qu'il est venu avec son KKsoft le canadien :D
      0
    4. Utilisateur anonyme
       
      j'suis étonné :DD
      0
  10. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 3 591
     
    Intel HD Graphics = fichier R311294.exe
    NVidia GeForce GT 435M = fichier R300420.exe

    sur C:\
    tu crées un répertoire C:\Vidéo

    et dedans deux sous répertoires
    - C:\Vidéo\ Intel
    - C:\Vidéo\ NVidia

    dans le Intel , tu exécuteras le fichier R311294.exe
    dans le NVidia , tu exécuteras le fichier R300420.exe

    tu auras des fichiers setup.exe dans ces sous répertoires
    que tu exécuteras
    - le Intel , tu redémarres le PC
    - puis le NVidia , tu redémarres le PC
    et tu regardes si tu peux régler la définition de l' écran

    ( dans Dell \Drivers\ , je ne sais pas si le chemin ne sera pas trop long )
    0
  11. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 3 591
     
    il faut finir la désinfection
    0