CommentCaMarche
Recherche
Posez votre question Signaler

Virus * ukash * gendarmerie national

Gwentjess 3Messages postés vendredi 3 février 2012Date d'inscription 4 février 2012Dernière intervention - Dernière réponse le 28 janv. 2013 à 19:20
Bonjour,
Voilà mon soucy et ceci malgré après avoir parcouru le forum:
Touché par le fameux virus Ukash, j'ai lu qu'il fallait drmarrer en mode sans echec ...
Chose faite mais mon bureau n'est toujours pas accessible ni internet explorer ni rien du tout donc aucun téléchargement d'antidotes possible !
J'suis sous win7 et novice, que fois-je faire ?!
Merci,
Gwen.
Lire la suite 
Réponse
+5
moins plus
bonjour, quand tu es devant les chois de démarrage au lieu de choisir sans echec essais de choisir l'invite de commande en mode sans echec et si tu as la fenêtre noir de celle ci tu y mets %systemroot%/system32/rstrui.exe et puis tu appuis sur entrée
cela t'ouvrira la restauration système il te suffira de chosir un point avant le problème et après on pourra voir si il y a des restes

pour t'aider http://forums.cnetfrance.fr/topic/116680-restaurer-windows-avec-rstrui-et-linvite-de-commande-seven-vista-xp/

http://forums.cnetfrance.fr/topic/86405-restaurer-windows-7-ou-vista/
-----------
Perso je ne sais peut être pas grand chose, mais si le peu que je sais p­eut aider et bien,
je veux bien le partager avec toi !!
celiab17- 4 déc. 2012 à 02:33
Merci
la restauration du systeme en F8 semble avoir fonctionné. + malwayrebytes
Merci beaucoup car j étais desespérée.
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Merci Jacques pour ta reponse.
Ton adresse %systemroot% ne fonctionne pas !
Il dit que "%" n'est pas reconnu, j'essaye sans les "%" et là il me dit que "systemroot" n'est pas reconnu.
Ajouter un commentaire
Réponse
+0
moins plus
Ok Jacques, restauration systeme en cours ... Je vous tiens informé de la suite !
Merci
jacques.gache 32815Messages postés mardi 13 novembre 2007Date d'inscription Contributeur sécuritéStatut 2 mars 2015Dernière intervention - 4 févr. 2012 à 12:10
ok et comment tu as fait puisque tu disait que %systemroot%/system32/rstrui.exe ne passais pas !!
bon si tu as réussi la restauration système postes un diagnostique pour voir si plus rien !

Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
Répondre
Utilisateur anonyme - 4 févr. 2012 à 12:25
salut jacques ils sont à l'envers tes slashs ^^
Répondre
jacques.gache 32815Messages postés mardi 13 novembre 2007Date d'inscription Contributeur sécuritéStatut 2 mars 2015Dernière intervention - 4 févr. 2012 à 12:59
alors la si sur les sites il donne pas les bonnes chose regarde j'ai pris cela ici http://forums.cnetfrance.fr/topic/116680-restaurer-windows-avec-rstrui-et-linvite-de-commande-seven-vista-xp/
Répondre
Utilisateur anonyme - 4 févr. 2012 à 14:27
lol ils se sont plantés ^^
Répondre
Fleacontent- 13 juil. 2012 à 20:37
Bonjour Jacques,

J'ai aussi chopé ce virus et j'ai suivi ta procédure.
Ci-dessous le lien du diagnostic :
http://cjoint.com/?BGnuI14e3D5

Pourrais-tu STP me dire si tout est OK.
Je te remercie par avance.

Simon
Répondre
Ajouter un commentaire
Réponse
-1
moins plus
j'ai eu le même pb:

So les conseils plus haut sont surement bon et à faire.
pour allez vite voila comment récupérer et désinfecter son pc de ce virus:

1 - démarrage en mode "sans echec" ->faire F8 après l'invite bios plusieurs fois jusqu'à avoir un choix d'option de démarrage, donc le sans échec.

2 - touche windows + R --> executer: msconfig

3 - dans la section droite "démarrage" vous trouverez 3 ou 4 lancement effectif a décocher ces dernier change de nom a chaque infection et, ne sont donc pas reconnu sous google lors d'un recherche d'informations.
Pour les identifier: 2 sont des fichiers du type "nom-qui-change.exe" et pointes vers un sous-répertoire de C:\Users\votre-nom-d'utilisateur\AppData\ + sous répertoire roamin et/ou locallow
un fois identifier-> décocher leur démarrage puis allez sous l'explorateur supprimer ces fichiers.

4 - il est possible qu'un autre se lance depuis C:\ProgramData -> même chose on décoche et on supprime.

5 - Enfin un dernier "le plus important" se trouve dans votre menu démarrer dans la section démarrage.
Ce dernier est un appel de c:\windows\system32\rundll32.exe vers un fichier *.tmp situé sous un répertoire temporaire.
si ce dernier n'est pas supprimé, au démarrage suivant il réinfecte votre machine complètement donc voici la manip:

ouvrir
- menu windows--> "tous les programmes"--->demarrage
là vous voyez un fichier tmp ou *.tmp ou autre chose mais avec tmp ^^
so click droit dessus et supprimer.

Autre solution plus complète:

Sous msconfig (voir plus haut) on retrouve dans la liste de demarrage l'appel de rundll32.exe vers le tmp.
passer votre souris dessus pour voir son lien complet et donc identifier ou se trouve le fichier tmp.
décocher le démarage et manuellement sous l'explorateur de fichier allez supprimer le fichier tmp.

IMPORTANT: Ne jamais supprimer le fichier c:\windows\system32\rundll32.exe

6 - Voila on arrive au bout ^^ ->redémarrer votre machine

7- Le Final ---> il reste une infection sous le registre pour se faire telecharger "spybot search and destroy" installer le et apres l'avoir mis à jour faite une verification du systeme complet, il vous trouvera une infection du type "fraud.defense *" si vous la trouve ou s'il trouve même d'autre chose dans tous les cas une fois le scan terminé faite "corriger toutes les erreurs"

Voila maintenant c'est bon le pc est sauf, mais n'hésitez pas a faire un scan complet depuis votre antivirus, perso:
Antivir lui n'as rien vu que ce soit sur les fichiers décrit ci-dessus ou même lors de l'infection.

Allez courage ++
julia- 27 août 2012 à 00:07
merci, ça m'a aidé
Répondre
Laurent D- 28 janv. 2013 à 16:28
Merci, la procédure msconfig m'a bien aidé aussi, vu que je n'arrivais pas à avoir la main sur le PC: Mode sans echec bloqué, restauration du système désactivée.

J'ai démarré en mode sans echec ligne de commande, j'ai pu lancer msconfig.exe dans %windir%\pchealth\helpctr\binaries\msconfig.exe (j'ai windows XP pro) et j'ai pu déselectionner la ligne du virus (je n'en avais qu'une seule). Après, téléchargement de MBAM, scan du système, et c'était ok.

Petite astuce: En mode ligne de commande, si vous ne trouvez pas msconfig.exe, tappez:
cd %windir% (pour se placer dans le repertoire de windows)
dir msconfig.exe /s (pour afficher l'emplacement de msconfig.exe)
tapper ensuite ce qui s'affiche en rajoutant "\msconfig.exe" à la fin. Par exemple chez moi: c:\windows\pchealth\helpctr\binaries\msconfig.exe (attention au sens des "\")
Répondre
Utilisateur anonyme - 28 janv. 2013 à 16:30
il en reste encore malwarebytes n'est pas la poudre magique qui vire tout
Répondre
Laurent D- 28 janv. 2013 à 17:37
Petit ajout au commentaire ci-dessus:

En plus de MBAM (Malewarebyte's antimalware), j'ai aussi téléchargé roguekiller, et fait un scan puis suppression pour nettoyer le registre.
Répondre
Utilisateur anonyme - 28 janv. 2013 à 19:20
il en reste encore
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour,
Aujourd'hui gros problème avec UKASH : Ordi bloqué, mode sans échec bloqué !
La solution donnée par JACQUES.GACHE a parfaitement fonctionné pour moi (je suis sous XP) les slashs sont parfaitement dans le bon sens. J'avais essayé le script sans "restore" c'est pourquoi la première fois ça n'a pas fonctionné.
Tout est très bien expliqué dans le tuto ci-après :
http://forums.cnetfrance.fr/topic/116680-restaurer-windows-avec-rstrui-et-linvite-de-commande-seven-vista-xp/
Ajouter un commentaire
Réponse
+0
moins plus
Bonsoir,

Le PC de mon frère a subi le même sort, pas de possibilité d'utiliser le mode sans échec non plus... La solution de Jacques Gache est sans doute bonne mais lorsque je tape dans l'invite de commande %systemroot%/system32/rstrui.exe un message m'indique que cela n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commande.
Pour info ma ligne de commande commence par C:\Windows\system32> donc avant de taper "entrer" j'ai "C:\Windows\system32>%systemroot%/system32/rstrui.exe" Est-ce normal??

Merci de votre attention.
Utilisateur anonyme - 25 août 2012 à 20:32
salut ouvre un nouveau sujet

tes slash sont à l"envers
Répondre
Conqueror- 25 août 2012 à 21:40
J'ai aussi essayé avec les slash dans l'autre sens... mais rien ne change...
Répondre
Ajouter un commentaire
Réponse
+1
moins plus
ben ouvre un nouveau sujet en expliquant ton souci en details :)
Ajouter un commentaire
Ce document intitulé «  Virus * ukash * gendarmerie national  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.