Virus Ukash (compte gelé par la gendarmerie)

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 01:42

Bonjour,

Mon PC est actuellement infecté par le virus UKash (compte gelé par la gendarmerie).

Il roule sous Windows 7. J'ai 4 comptes et un seul d'entre eux est gelé par ce virus (le compte administrateur). Les trois autres fonctionnent sans problème.

J'ai essayé de réamorcer en mode sans échec. Les commandes suggérées n'ont donné aucun résultat. Pas plus que de modifier le shell dans regedit.

J'ai fait appel 2 fois à vos services par les années passées et vous m'avez toujours sortie du pétrin (bien que ce n'est pas moi qui suis responsable cette fois, mais mon conjoint).

Quelqu'un peut m'aider?!?!?

J'attends de vos nouvelles avec impatience (fuseau horaire ici GMT -5)

Merci beaucoup.
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 07:11

Bonjour canadienne13

Puisque les autres comptes ne sont pas bloqués par le ransonware on va utiliser l'un d'entre eux.
A partir de le l'un des comptes non infecté suis cette procédure :

Scan RogueKiller


Image Télécharge Roguekiller (par tigzy) sur le bureau

  • Lance RogueKiller.exe.
  • Accepte la licence

    Image
  • Attends la fin du pré-scan
  • Clique sur le bouton Scan

    Image
  • Laisse l'outil travailler ne touche ni au clavier ni à la souris
  • Ne supprime rien sans mon accord
  • Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 15:23

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Manon [Droits d'admin]
Mode : Recherche -- Date : 20/10/2012 10:21:11

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] CrossLoopService.exe -- C:\Users\Phil\AppData\Local\CrossLoop\CrossLoopService.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 10 ¤¤¤
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\MANON~1.YVE\LOCALS~1\Temp\msszni.pif) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-844460260-1727878596-1909671857-1009[...]\Windows : Load (C:\Users\MANON~1.YVE\LOCALS~1\Temp\msszni.pif) -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @Yves Dionne : C:\ProgramData\lsass.exe -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n.) -> TROUVÉ
[SHELL][BLPATH] [ON_D:]HKLM\Software[...]\Winlogon : Shell (cmd.exe /k start cmd.exe) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82E7E313 -> HOOKED (Unknown @ 0x8F6536B6)
SSDT[316] : NtSetContextThread @ 0x82F29B3F -> HOOKED (Unknown @ 0x8F6536BB)
SSDT[370] : NtTerminateProcess @ 0x82EAF1D5 -> HOOKED (Unknown @ 0x8F653657)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8F6536C0)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8F6536C5)

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500630AS +++++
--- User ---
[MBR] 3052b1142bb34fb0959cb26a49a15813
[BSP] 30b29a52438311981d61eb6325ea0b7f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 54 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 112640 | Size: 10240 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21084160 | Size: 466644 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 16:57

Bonjour candienne63

C'est le gros lot la en plus d'UKASH on a droit à rootkit ZeroAccess.

Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers Image

RogueKiller Suppression

  • Lance RogueKiller.exe.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Attends la fin du pré-scan
  • Clique sur le bouton Scan ce dernier terminé clique sur Suppression

    Image
  • Laisse l'outil travailler ne touche ni au clavier ni à la souris
  • Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse
Note: Deux rapports seront créés c'est le second qui doit être posté



Scan TDSS Killer


Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:
Image

Cliquez sur Change parameters Image

L'écran Settings de TDSSKiller s'affiche:
Image

Cochez la case située devant Loaded modules Image

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".
Image

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:
Image

Cliquez sur Change parameters Image

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:
Image

puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:
Image

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:
Image
*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:
Image

Ensuite cliquez sur le bouton Continue Image

Un redémarrage est nécessaire:
Image

Cliquez sur Reboot computer Image


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 17:40

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Manon [Droits d'admin]
Mode : Recherche -- Date : 20/10/2012 12:35:35

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 10 ¤¤¤
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\MANON~1.YVE\LOCALS~1\Temp\msszni.pif) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-844460260-1727878596-1909671857-1009[...]\Windows : Load (C:\Users\MANON~1.YVE\LOCALS~1\Temp\msszni.pif) -> TROUVÉ
[STARTUP][HJNAME] ctfmon.lnk @Yves Dionne : C:\ProgramData\lsass.exe -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n.) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n.) -> TROUVÉ
[SHELL][PREVRUN] [ON_D:]HKLM\Software[...]\Winlogon : Shell (cmd.exe /k start cmd.exe) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-844460260-1727878596-1909671857-1000\$d82c02e9f2e883600b3de4096a3e1e97\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82E7E313 -> HOOKED (Unknown @ 0x8F6536B6)
SSDT[316] : NtSetContextThread @ 0x82F29B3F -> HOOKED (Unknown @ 0x8F6536BB)
SSDT[370] : NtTerminateProcess @ 0x82EAF1D5 -> HOOKED (Unknown @ 0x8F653657)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8F6536C0)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8F6536C5)

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500630AS +++++
--- User ---
[MBR] 3052b1142bb34fb0959cb26a49a15813
[BSP] 30b29a52438311981d61eb6325ea0b7f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 54 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 112640 | Size: 10240 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21084160 | Size: 466644 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 18:33

Désolée, je viens de comprendre comment héberger.

Voici mon lien : http://cjoint.com/?BJutF2IkRxg
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 18:41

Refais un scan avec Roguekiller poste ensuite son rapport en lien
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 18:46

candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 18:49

Il reste encore des traces du rootkit

RogueKiller Suppression

  • Lance RogueKiller.exe.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Attends la fin du pré-scan
  • Clique sur le bouton Scan ce dernier terminé clique sur Suppression

    Image
  • Laisse l'outil travailler ne touche ni au clavier ni à la souris
  • Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse
Note: Deux rapports seront créés c'est le second qui doit être posté
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 18:53

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Manon [Droits d'admin]
Mode : Suppression -- Date : 20/10/2012 13:52:32

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$d82c02e9f2e883600b3de4096a3e1e97\U --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82E85313 -> HOOKED (Unknown @ 0x8DA537C6)
SSDT[316] : NtSetContextThread @ 0x82F30B3F -> HOOKED (Unknown @ 0x8DA537CB)
SSDT[370] : NtTerminateProcess @ 0x82EB61D5 -> HOOKED (Unknown @ 0x8DA53767)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x8DA537D0)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x8DA537D5)

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500630AS +++++
--- User ---
[MBR] 3052b1142bb34fb0959cb26a49a15813
[BSP] 30b29a52438311981d61eb6325ea0b7f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 54 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 112640 | Size: 10240 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21084160 | Size: 466644 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 18:54

C'est bien le bon rapport que tu voulais?
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 19:00

C'est bien le bon rapport et le rootkit est au tapis, redémarre ton PC en mode normal suis ensuite cette procédure :

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.


  • Télécharge ZHPDiag (de Nicolas coolman)

    Image
  • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Trois icônes seront crées sur le bureau lors de son installation

    Image
  • Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
  • Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
  • Clique sur le bouton Tournevis (Options)
  • Coche toutes les cases sauf celle devant :

    • Derniers fichiers créés dans Windows Prefetcher (045)
    • Derniers fichiers modifiés ou crées (Utilsateur) (061)
    • Alternate Data Stream File (062)
  • Clique en haut à gauche sur la loupe Image

    Image
  • Laisse le scan se dérouler.

    Image
  • Le scan terminé, clique sur la disquette Image
  • Enregistre le rapport sur le bureau.
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt



Image Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers : Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 19:16

Le voici, en espérant qu'il soit vraiment KO comme tu dis!!

http://cjoint.com/?BJuuqjkOYFQ
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 19:55

Le rookit oui mais il reste quelques bestioles et des inutiles sur ce PC


Script ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours


  • Clique sur Script ZHPFix
  • Sur la page qui s'ouvre clic droit et Tout sélectionner
  • Refais un clic droit et Copier
  • Double clique sur Image qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  • Clique en haut à gauche sur la deuxième icône (colller le presse papiers) Image
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

    Image
  • Clique sur Image
  • Confirme le nettoyage des données si demandé

    Image
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
  • Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt


Nouveau scan ZHPDiag

Image Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as deux rapports à poster
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 20 Oct 2012 21:21

Lenapache,

Le rapport s'éternise. J'ai eu deux messages d'erreur du genre : Module : Folders in overflow (1999). Please contact Nicolas Coolman. Ainsi que pour les numéros (2000) (2001) (2002) etc.

Et Violation d'accès à l'adresse 004071EC dans le module AHPFix.exe.

J'ai bien exécuté ZHPFix en mode administrateur.

Maintenant, je dois quitter la maison. Je vais tenter de reprendre les deux derniers rapports que tu demandes demain matin (mon heure).

Néanmoins, un immense merci d'avoir nettoyé ce fiche de PC (que tous les membres de ma famille utilise sauf moi!!!!!)

Le compte gelé ne l'est plus et c'est merveilleux!!

Merci encore et à demain.
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 20 Oct 2012 22:14

Tente d'exécuter le script de ZHPFix en mode sans échec.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar candienne63 » 21 Oct 2012 22:56

J'ai malheureusement le même problème en mode sans échec. Mêmes messages d'erreur et boîte Traitement en cours... qui s'éternise sans donner quelque résultat que ce soit.
candienne63
 
Messages: 10
Inscription: 20 Oct 2012 01:32

Re: Virus Ukash (compte gelé par la gendarmerie)

Messagepar lenapache » 22 Oct 2012 08:02

Bonjour canadienne63

On va utiliser un autre scanneur.


Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

  • Télécharge OTL de (Old_Timer)
  • Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur


  • Coche Tous les utilisateurs
  • Règle Age des fichiers sur 60 jours
  • Coche Recherche lop et Recherche purity
  • Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


Image


  • Clique sur le bouton Analyse rapide
  • Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités