Virus ukash police
lulu
-
g3n-h@ckm@n Messages postés 14350 Statut Membre -
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour, j'ai été infecté par le virus ukash version "police nationale" et j'ai installé Roguekiller suite à un coup de chance je pense puisque j'ai réussi à accéder à mon ordinateur avec ma session en mode normal. Bref je voudrais que quelqu'un m'aide car je ne comprend pas trop l'informatique donc voila. Je joindrais le rapport quand quelqu'un me répondra :)
A voir également:
- Virus ukash police
- Virus mcafee - Accueil - Piratage
- Changer police facebook - Guide
- Police aptos - Accueil - Bureautique
- Police instagram - Guide
- Police d'écriture journal ancien ✓ - Forum Graphisme
8 réponses
Merci ^^
Voila:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Lulupopcorn [Droits d'admin]
Mode : Recherche -- Date : 06/06/2013 09:25:49
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[BLPATH] cacaoweb.exe -- C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> TROUVÉ
[RUN][BLPATH] HKUS\S-1-5-21-2823203330-1570677491-1077528394-1013[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ] HKCU\[...]\Command Processor : AutoRun () -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rogue.ProgFiles|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEKT-60A25T1 ATA Device +++++
--- User ---
[MBR] e2a1d2709623cee44d656c8511b30e00
[BSP] bb71540f2be63f19ec6f3e91bb19ca7b : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_06062013_092549.txt >>
RKreport[1]_S_06062013_092549.txt
Voila:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Lulupopcorn [Droits d'admin]
Mode : Recherche -- Date : 06/06/2013 09:25:49
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[BLPATH] cacaoweb.exe -- C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> TROUVÉ
[RUN][BLPATH] HKUS\S-1-5-21-2823203330-1570677491-1077528394-1013[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ] HKCU\[...]\Command Processor : AutoRun () -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : Rogue.ProgFiles|ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEKT-60A25T1 ATA Device +++++
--- User ---
[MBR] e2a1d2709623cee44d656c8511b30e00
[BSP] bb71540f2be63f19ec6f3e91bb19ca7b : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_06062013_092549.txt >>
RKreport[1]_S_06062013_092549.txt
ok fais suppression une fois le scan terminé après le relancement de l outil , poste le rapport obtenu
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila (dsl pour le retard) :
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Lulupopcorn [Droits d'admin]
Mode : Suppression -- Date : 06/06/2013 10:08:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> SUPPRIMÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Command Processor : AutoRun () -> SUPPRIMÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U\00000008.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 6715e287 : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\6715e287 [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\L --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rogue.ProgFiles ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEKT-60A25T1 ATA Device +++++
--- User ---
[MBR] e2a1d2709623cee44d656c8511b30e00
[BSP] bb71540f2be63f19ec6f3e91bb19ca7b : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_D_06062013_100845.txt >>
RKreport[1]_S_06062013_092549.txt ; RKreport[2]_S_06062013_100610.txt ; RKreport[3]_D_06062013_100845.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Lulupopcorn [Droits d'admin]
Mode : Suppression -- Date : 06/06/2013 10:08:45
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][BLPATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Lulupopcorn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) [-] -> SUPPRIMÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Command Processor : AutoRun () -> SUPPRIMÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U\00000008.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\00000004.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 201d3dde : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\201d3dde [-] --> SUPPRIMÉ
[Del.Parent][FILE] 6715e287 : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\6715e287 [-] --> SUPPRIMÉ
[Del.Parent][FILE] 76603ac3 : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ea59ec7cbdac46b005de540362b08020\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2823203330-1570677491-1077528394-1013\$ea59ec7cbdac46b005de540362b08020\L --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess|Rogue.ProgFiles ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600BEKT-60A25T1 ATA Device +++++
--- User ---
[MBR] e2a1d2709623cee44d656c8511b30e00
[BSP] bb71540f2be63f19ec6f3e91bb19ca7b : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 152625 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3]_D_06062013_100845.txt >>
RKreport[1]_S_06062013_092549.txt ; RKreport[2]_S_06062013_100610.txt ; RKreport[3]_D_06062013_100845.txt
ok maintenant on va réparer les services atrophiés par zeroaccess
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
