Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Virus Ukash

 

67 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Virus Ukash

Prévenir les modérateurs en cas d'abus 
lilthrashe​r
lilthrasher
  1. Posté le 20/11/2012 à 15:09:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour, mon pc est infecté par le virus "gendarmerie nationale", sous la forme "Ministère de l'intérieur". Ayant consulté certains posts sur le forum, j'ai pris les devants et ai lancé un scan avec Roguekiller. voici le rapport:

 RogueKiller V8.3.0 [Nov 18 2012] par Tigzy
 mail: tigzyRK<at>gmail<dot>com
 Remontees: http://www.sur-la-toile.com/di [...] ntees.html
 Website: http://www.sur-la-toile.com/RogueKiller/
 Blog: http://tigzyrk.blogspot.com

 Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
 Demarrage : Mode sans echec avec prise en charge reseau
 Utilisateur : Arthur [Droits d'admin]
 Mode : Suppression -- Date : 20/11/2012 14:14:52

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 3 ¤¤¤
 [STARTUP][HJNAME] ctfmon.lnk @Arthur : C:\ProgramData\lsass.exe -> SUPPRIMÉ
 [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REMPLACÉ (0)
 [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REMPLACÉ (0)

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [NON CHARGE] ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\windows\system32\drivers\et​c\hosts

 127.0.0.1 www.007guard.com
 127.0.0.1 007guard.com
 127.0.0.1 008i.com
 127.0.0.1 www.008k.com
 127.0.0.1 008k.com
 127.0.0.1 www.00hq.com
 127.0.0.1 00hq.com
 127.0.0.1 010402.com
 127.0.0.1 www.032439.com
 127.0.0.1 032439.com
 127.0.0.1 www.0scan.com
 127.0.0.1 0scan.com
 127.0.0.1 1000gratisproben.com
 127.0.0.1 www.1000gratisproben.com
 127.0.0.1 1001namen.com
 127.0.0.1 www.1001namen.com
 127.0.0.1 100888290cs.com
 127.0.0.1 www.100888290cs.com
 127.0.0.1 www.100sexlinks.com
 127.0.0.1 100sexlinks.com
 [...]


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: Hitachi HTS543232A7A384 +++++
 --- User ---
 [MBR] 74695d5ab932cd5e1500b3ccb96f1f​bf
 [BSP] bee965e750fa02b7206e6ea77089bd​d3 : Windows 7/8 MBR Code
 Partition table:
 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
 1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 187467 Mo
 3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 625106944 | Size: 16 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: USB Disk USB Device +++++
 --- User ---
 [MBR] de9f98414e021abee8675ab794f104​f7
 [BSP] fa520a4714d139fbdc7964e594c7fa​53 : MBR Code unknown
 Partition table:
 0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 218129509 | Size: 831050 Mo
 1 - [XXXXXX] UNKNOWN (0x74) [VISIBLE] Offset (sectors): 729050177 | Size: 265612 Mo
 3 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 2692939776 | Size: 25 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[2]_D_20112012_141452.txt >>
 RKreport[1]_S_20112012_140015.txt ; RKreport[2]_D_20112012_141452.txt

 Que me conseillez vous de faire ensuite?

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 20/11/2012 à 15:46:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut lilthrasher, bienvenu sur le forum 01net


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)

(Publicité)
lilthrasher
  1. Posté le 20/11/2012 à 16:39:52  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Et de un:
 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s

lilthrasher
  1. Posté le 20/11/2012 à 16:43:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
fausse manip, je recommence!

 Voila le premier:

 http://cjoint.com/12nv/BKuqQ5wCZeU.htm

lilthrasher
  1. Posté le 20/11/2012 à 16:45:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Et voila le deuxieme!

 http://cjoint.com/12nv/BKuqSEOrNpF.htm

(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 20/11/2012 à 17:10:31  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut lilthrasher


 Double clic sur OTL.exe pour le lancer.
 (Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

 * Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

 



:OTL
 SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService)
 SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.ex​e coreFrameworkHost.exe -- (Amsp)    
 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\bt​wrchid.sys -- (btwrchid)    
 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap)
 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\bt​wavdt.sys -- (btwavdt)    
 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwaudio.sys -- (btwaudio)
 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btwampfl.sys -- (btwampfl)
 O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
 O4 - HKU\S-1-5-21-9570228-248254211​-2663105311-1000\..\Run: [Facebook Update] "C:\Users\Arthur\AppData\Local​\Facebook\Update\FacebookUpdat​e.exe" /c /nocrashserver File not found    
 O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA0​05127ED} - No CLSID value found.    
 [2012/11/13 20:48:07 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe    
 [13 C:\windows\System32\*.tmp files -> C:\windows\System32\*.tmp -> ]
 [2012/11/16 10:55:29 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.p​ad
 @Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:AB689DEA
 @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:49C01787

 :Commands
 [Emptytemp]





 * Clique sur " Correction " pour lancer la suppression.

 * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

 * Au redémarrage , autorise OTL a s'exécuter.

 * Poste le rapport généré par OTL.


 @++   :)

lilthrasher
  1. Posté le 20/11/2012 à 17:36:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
All processes killed
 ========== OTL ==========
 Service SBSDWSCService stopped successfully!
 Service SBSDWSCService deleted successfully!
 File C:\Program Files\Spybot not found.
 Service Amsp stopped successfully!
 Service Amsp deleted successfully!
 File C:\Program Files\Trend Micro\AMSP\coreServiceShell.ex​e coreFrameworkHost.exe not found.
 Service btwrchid stopped successfully!
 Service btwrchid deleted successfully!
 File C:\windows\system32\drivers\bt​wrchid.sys not found.
 Service btwl2cap stopped successfully!
 Service btwl2cap deleted successfully!
 File system32\DRIVERS\btwl2cap.sys not found.
 Service btwavdt stopped successfully!
 Service btwavdt deleted successfully!
 File C:\windows\system32\drivers\bt​wavdt.sys not found.
 Service btwaudio stopped successfully!
 Service btwaudio deleted successfully!
 File system32\drivers\btwaudio.sys not found.
 Service btwampfl stopped successfully!
 Service btwampfl deleted successfully!
 File system32\drivers\btwampfl.sys not found.
 Registry value HKEY_LOCAL_MACHINE\Software\Mi​crosoft\Internet Explorer\Toolbar\\Locked deleted successfully.
 Registry value HKEY_USERS\S-1-5-21-9570228-24​8254211-2663105311-1000\\Softw​are\Microsoft\Windows\CurrentV​ersion\Run\\Facebook Update deleted successfully.
 Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\ShellServiceObjectDelayLoad\\​WebCheck deleted successfully.
 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Cl​asses\CLSID\{E6FB5E20-DE35-11C​F-9C87-00AA005127ED}\ not found.
 C:\ProgramData\lsass.exe moved successfully.
 C:\windows\System32\sho1D60.tm​p deleted successfully.
 C:\windows\System32\sho4AA6.tm​p deleted successfully.
 C:\windows\System32\sho4D3B.tm​p deleted successfully.
 C:\windows\System32\sho5264.tm​p deleted successfully.
 C:\windows\System32\sho533D.tm​p deleted successfully.
 C:\windows\System32\sho7894.tm​p deleted successfully.
 C:\windows\System32\sho8880.tm​p deleted successfully.
 C:\windows\System32\sho8C38.tm​p deleted successfully.
 C:\windows\System32\sho9886.tm​p deleted successfully.
 C:\windows\System32\shoA3A0.tm​p deleted successfully.
 C:\windows\System32\shoA5AB.tm​p deleted successfully.
 C:\windows\System32\shoD8C6.tm​p deleted successfully.
 C:\windows\System32\shoF27D.tm​p deleted successfully.
 C:\ProgramData\dsgsdgdsgdsgw.p​ad moved successfully.
 ADS C:\ProgramData\Temp:AB689DEA deleted successfully.
 ADS C:\ProgramData\Temp:49C01787 deleted successfully.
 ========== COMMANDS ==========
 
 [EMPTYTEMP]
 
 User: All Users
 
 User: Arthur
 ->Temp folder emptied: 3171723 bytes
 ->Temporary Internet Files folder emptied: 5354449 bytes
 ->Java cache emptied: 2192380 bytes
 ->FireFox cache emptied: 123904455 bytes
 ->Flash cache emptied: 123321 bytes
 
 User: Default
 ->Temp folder emptied: 121064 bytes
 ->Temporary Internet Files folder emptied: 327990 bytes
 ->Flash cache emptied: 56818 bytes
 
 User: Default User
 ->Temp folder emptied: 0 bytes
 ->Temporary Internet Files folder emptied: 0 bytes
 ->Flash cache emptied: 0 bytes
 
 User: Public
 
 %systemdrive% .tmp files removed: 0 bytes
 %systemroot% .tmp files removed: 0 bytes
 %systemroot%\System32 .tmp files removed: 0 bytes
 %systemroot%\System32\drivers .tmp files removed: 0 bytes
 Windows Temp folder emptied: 28086849 bytes
 %systemroot%\system32\config\s​ystemprofile\AppData\Local\Mic​rosoft\Windows\Temporary Internet Files folder emptied: 73083 bytes
 %systemroot%\system32\config\s​ystemprofile\AppData\LocalLow\​Sun\Java\Deployment folder emptied: 743 bytes
 RecycleBin emptied: 267468324 bytes
 
 Total Files Cleaned = 411,00 mb
 
 
 OTL by OldTimer - Version 3.2.69.0 log created on 11202012_172246

 Files\Folders moved on Reboot...

 PendingFileRenameOperations files...

 Registry entries deleted on Reboot...


 Voila, c'est bon signe?

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 20/11/2012 à 18:00:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut lilthrasher


 Oui cela est bon, as-tu d'autre souci?


 @++    :)

(Publicité)
lilthrasher
  1. Posté le 20/11/2012 à 19:03:46  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je ne crois pas! Merci beaucoup pour ton aide dédétraqué!

 A plus!

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 20/11/2012 à 19:51:27  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut lilthrasher


 Bien de rien  ;)

 On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

 http://www.general-changelog-t [...] /26-delfix  

 
  • Double-clique sur l'icône delfix0.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix0.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

 
  • Sélectionne Suppression

 
  • Copie/colle le contenu du rapport dans ton prochain message.

 Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

 
  • Si des outils restes après le passage de Del Fix, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.

 -----


 Je te donne quelques consignes de sécurité :

 herisson41​-7 Windows Update  parfaitement à jour http://www.windowsupdate.com/
 herisson41​-7 Pare-feu bien paramétré pour XP, je te conseil :
 ZoneAlarm, Vista/Seven -- le pare de WINDOWS  est suffisant.
 herisson41​-7 Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
 herisson41​-7 Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
 herisson41​-7 Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
 Le danger des cracks !
 Les risques sécuritaires du peer-to-peer
 herisson41​-7 Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
 herisson41​-7 Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
 herisson41​-7 Scan hebdomadaire antispyware  ( je conseil MalwareByte's Anti-Malware)
 herisson41​-7 Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
 herisson41​-7 Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
 http://www.malekal.com/scan_vulnerabilite.php

 De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
 http://www.malekal.com/menu_windows_general.php
 http://www.malekal.com/menu_windows_securite.php

 Si tu considère ton problème comme résolu, édite http://www.01net.com/imgv6/str​ucture/forumv7_btn_modifier.jp​g ton premier poste et ajoute [résolu] dans le titre.

 Bonne journée/soirée et bon surf   :super:  


 @++  :)

 Page :
1

Aller à :
 

Sujets relatifs
[résolu] virus Java JAVA virus ad yield manager
Virus Ukash - gendarmerie nationale [résolu] Gros virus insupprimable dans windows\system32\service.exe
Invasion virus, plus de connection internet! (RESOLU) virus porn.exe et sexy.exe
Virus "Ukash" pc infecte par un virus que je n'arrive pas a supprimer
virus ou autre ? malgrès le blocage trafic internet continue Virus Michael Jackson
Plus de sujets relatifs à : Virus Ukash

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Virus Ukash ! (merci dédétraqué !) 5
Fond d'écran qui disparaît [RESOLU] 20
Virus gendarmerie- Ukash 10
Résolu. Pc ralenti 32
Comment supprimer Serchnu? 7