Virus ukash pas de point de restauration

Résolu/Fermé
Mikool Messages postés 3 Date d'inscription jeudi 28 mars 2013 Statut Membre Dernière intervention 29 mars 2013 - 28 mars 2013 à 00:40
 Paris94 - 25 déc. 2013 à 18:59
Bonjour
Je viens de choper un virus ukash
Pb': pas possible de redémarrer même en modes ans échec
Dans invité de commande en mode sans échec j ai essayé la restauration mais j'ai un message "pas de point de restauration"
Du coup je ne sais plus trop quoi faire...jeune peux pas télécharger de roguekiller ni rien
Help!

Merci d'avance

10 réponses

juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
28 mars 2013 à 00:41
Salut,

Toujours en invite de commande tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell

ferme le registre, tape shutdown -r

le pc va redémarrer normalement mais la désinfection n'est pas finie car nous avons juste supprimé le démarrage de l'infection, le fichier néfaste responsable est toujours sur ton ordinateur.
Donc dès que tu es de nouveau en mode normal, reviens ici mettre un mot et on continue.
2
Bonjour
Je crois avoir rattrapé la même maladie et je cherchais de suivre vos suggestions mais j'arrive seulement jusqu'à \microsoft. Après je n'ai pas de windowsnt ni winlogon, mais seulement \windows\WinTrust. Et pas de shell!!!
Pouvez vous m'aider?
Merci d'avance
Mad
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
1 déc. 2013 à 16:18
Salut
Tu descend pas assez. Si t'as pas de clé winlogon, ton pc ne démarre pas du tout.
Ouvres-toi un nouveau sujet si tu veux de l'aide.

A+
0
Hallo à nouveau et merci pour ta réponse. J'ai ouvert un nouveau post mais on me suggère de télécharger des programmes et en ce moment je n'ai pas un autre ordinateur à disposition. J'ai décidé donc de reessayer avec ta procedure.
Je trouve Windows NT dans HKEY_LOCAL_MACHINE et non dans HKEY_CURRENT_USER
Ça change qq chose?
J'ai continué jusqu'à effacer Shell (il y a par contre Autorestartshell qui est activé...) mais l'invite de commande ne reconnait pas shutdown comme une commande....
Quoi fqire?
Merci d'avance.
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
7 déc. 2013 à 02:04
Donne le lien de ton nouveau sujet que je vois ça STP.
0
vieu bison boiteu Messages postés 43201 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 1 janvier 2023 3 496
28 mars 2013 à 17:09
salut à tous

il lui restait une fin de nettoyage

** Cat **%hpvlf%o [HKCU\Software\AppDataLow\Software\Yahoo] => Catégorie inconnue
[HKCU\Software\Marseille]
[HKCU\Software\Marseillesoft]

( espion pro 2011 marseille soft )
savoir si des petites fenêtres ne s' ouvrent pas de temps en temps

à+
1
vieu bison boiteu Messages postés 43201 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 1 janvier 2023 3 496
Modifié par vieu bison boiteu le 28/03/2013 à 17:15
à mikool

cela donne quoi ton affichage

Support Drivers
http://www.dell.com/support/drivers/fr/fr/frdhs1/Product/inspiron-17r-n7110

- déjà le Intel Graphics
- après le NVidia

encore quelqu'un qui n'a pas lu tous les postes
0
pas lu tous les posts??
je fais les mises a jour demandees...
0
vieu bison boiteu Messages postés 43201 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 1 janvier 2023 3 496
28 mars 2013 à 18:31
toi , tu n'es pas concerné
continue ce qui est demandé et indiqué
0
telecharge le dell intel graphics , puis unzipped dans dell /drivers/- PTRYM je fais quoi?
merci!
0
c tout good, j'ai retrouvé mon affichage normal + plus de pbs de virus..

MERCI a vieu bison boiteu +juju666+rossi46du77
bonne soirée a tous les 3*
A bientot
0
Mikool Messages postés 3 Date d'inscription jeudi 28 mars 2013 Statut Membre Dernière intervention 29 mars 2013
28 mars 2013 à 09:07
Hello
Ça a marche
Je redemarre
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
28 mars 2013 à 10:49
Salut,

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

On va virer le fichier responsable :

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ÿþMalwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org



Version de la base de données: v2013.02.21.08



Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

mikool :: MIKOOL-PC [administrateur]



28/03/2013 10:11:24

mbam-log-2013-03-28 (10-11-24).txt



Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers |

Options d'examen désactivées: P2P

Elément(s) analysé(s): 394330

Temps écoulé: 1 heure(s), 56 minute(s), 42 seconde(s)



Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)



Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)



Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)



Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)



Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)



Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)



Fichier(s) détecté(s): 1

C:\Users\mikool\AppData\Roaming\skype.dat (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.



(fin)
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
28 mars 2013 à 16:15
Re,

Bien, rencontres-tu encore des soucis particulier ?
Pages de pub intempestives ou autres ?
As-tu bien mis à jour Java ?

A+
0
tout semble ok revenu a la normale...
merci pour ton aide précieuse....
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
28 mars 2013 à 16:40
et mes questions ???

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Fais des scans réguliers avec Malwarebytes, il est efficace.

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
Modifié par juju666 le 28/03/2013 à 16:53
tu veux me faire mourir :D

EDIT :

c'est sympa mikool; la prochaine fois n'espère même plus un coup de main de ma part.
Bye !
0
Utilisateur anonyme
28 mars 2013 à 16:53
met spybot il te tiendra en vie et en forme ;-)
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
28 mars 2013 à 16:55
attend je teste advanced bidon à la noix
sensé détecter adware/spyware
mouhahahahaha après 1 min de scan MBAM détecte 28 éléments et lui QUE DALLE
il va repartir aussi vite qu'il est venu avec son KKsoft le canadien :D
0
Utilisateur anonyme
28 mars 2013 à 16:56
j'suis étonné :DD
0
vieu bison boiteu Messages postés 43201 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 1 janvier 2023 3 496
28 mars 2013 à 20:51
Intel HD Graphics = fichier R311294.exe
NVidia GeForce GT 435M = fichier R300420.exe

sur C:\
tu crées un répertoire C:\Vidéo

et dedans deux sous répertoires
- C:\Vidéo\ Intel
- C:\Vidéo\ NVidia

dans le Intel , tu exécuteras le fichier R311294.exe
dans le NVidia , tu exécuteras le fichier R300420.exe

tu auras des fichiers setup.exe dans ces sous répertoires
que tu exécuteras
- le Intel , tu redémarres le PC
- puis le NVidia , tu redémarres le PC
et tu regardes si tu peux régler la définition de l' écran

( dans Dell \Drivers\ , je ne sais pas si le chemin ne sera pas trop long )
0
vieu bison boiteu Messages postés 43201 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 1 janvier 2023 3 496
28 mars 2013 à 22:11
il faut finir la désinfection
0