Virus Ukash (gendarmerie)

[Résolu/Fermé]
Signaler
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

J'ai le virus ukash (gendarmerie) me bloquant l'accès au bureau et me demandant de payer.
D'habitude, je redemarre en mode sans echec ou en invite de commande en inscrivant rstrui.exe pour restaurer à une date ultérieure.
Le problème c'est que dès que je choisis le mode sans échec ou l'invite de commande mon pc redémarre tout seul.

Je vous ecris de mon iphone et j'ai une clé usb à disposition.

Merci d'avance



11 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
Salut,

Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263

Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.




Si la restauration est impossible :

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionne
Bonjour,

La restauration m'etant impossible sous mon vista car des que je lance mode sans echec ou l'invite de commande mon pc redemarre.

Si je comprends bien il faut que je mette sur ma cle usb ton programme de démarrage.
Il faut que je me procure un autre pc pour faire la gravure...?
Ok j'ai accès à mon lecteur via ma clé usb avec le cd live, j'ai effectué roguekiller mais apres redemarrage ukash est toujours là.

Voici un rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:37:38, on 2013-05-24
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
X:\windows\System32\smss.exe
X:\windows\system32\csrss.exe
X:\windows\system32\wininit.exe
X:\windows\system32\csrss.exe
X:\windows\system32\winlogon.exe
X:\windows\system32\services.exe
X:\windows\system32\lsass.exe
X:\windows\system32\lsm.exe
X:\windows\system32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\system32\winpeshl.exe
X:\Program Files\PEShell\PEShell.exe
X:\windows\explorer.exe
X:\windows\system32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\system32\wbengine.exe
X:\windows\system32\msiexec.exe
X:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
X:\windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.malekal.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O20 - AppInit_DLLs: SPEHook.dll
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - X:\windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\sacsvr.dll,-500 (sacsvr) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - X:\windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - X:\windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - X:\windows\system32\vssvc.exe
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - X:\windows\system32\wbengine.exe
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - X:\windows\system32\wbem\WmiApSrv.exe
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
Lance OTLPE, indique le dossier Windows et la session infectée.
Fais le scan et donne le rapport, si possible en utilisant http://pjjoint.malekal.com
merci pour la réponse, ci-joint :

http://pjjoint.malekal.com/files.php?id=OTL_20130524_u8c10h5p12q15
dois-je également faire un spybot search and destroy ?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
Non c'est de la m*rde Spybot.


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\Armen_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Armen\Documents\53e59f7e.exe ()
[2012-01-11 09:09:40 | 000,066,407 | ---- | C] () -- C:\Users\Armen\AppData\Roaming\msconfig.dat
[2011-12-24 21:16:42 | 000,000,008 | ---- | C] () -- C:\Users\Armen\AppData\Roaming\j38oofklcbrtxn8w.dat
[2013-05-24 10:43:37 | 000,436,865 | ---- | M] () -- C:\Users\Armen\AppData\Roaming\2433f433
[2013-05-24 10:43:36 | 000,436,798 | ---- | M] () -- C:\Users\Armen\AppData\Local\2433f433
[2013-05-24 10:43:11 | 000,037,376 | ---- | M] () -- C:\Users\Armen\Documents\53e59f7e.dll
[2013-05-24 10:43:04 | 000,037,376 | ---- | M] () -- C:\Users\Armen\Documents\53e59f7e.exe
O20 - HKU\Armen_ON_C Winlogon: Shell - (cmd.exe) - cmd.exe (Microsoft Corporation)

* redemarre le pc sous windows et poste le rapport ici


Regarde si tu as le bureau.
Si tu as une fenetre noire, invites de commandes, dis le nous :)
========== OTL ==========
Registry value HKEY_USERS\Armen_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx deleted successfully.
C:\Users\Armen\Documents\53e59f7e.exe moved successfully.
C:\Users\Armen\AppData\Roaming\msconfig.dat moved successfully.
C:\Users\Armen\AppData\Roaming\j38oofklcbrtxn8w.dat moved successfully.
C:\Users\Armen\AppData\Roaming\2433f433 moved successfully.
C:\Users\Armen\AppData\Local\2433f433 moved successfully.
C:\Users\Armen\Documents\53e59f7e.dll moved successfully.
File C:\Users\Armen\Documents\53e59f7e.exe not found.
Registry value HKEY_USERS\Armen_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:cmd.exe deleted successfully.

OTLPE by OldTimer - Version 3.1.29.0 log created on 05242013_173404
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
redémarre sur ton Windows.
J'ai de nouveau accès a l'invite, dois-je faire rstrui.exe ?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
non
tape explorer.exe pusi entrée
ça va ouvrir le bureau.

Menu Démarrer et tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell

Redémarre l'ordinateur
J'ai de nouveau accès à mon bureau après ta manipulation.

Est-ce finis ou dois-je faire autre chose ?

Dans les 2 cas merci beaucoup !
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 207
Passe un coup de Roguekiller sur le PC.

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html