Infection Ukash (ministère de l'intérieur)Résolu/Fermé

Question

Bonjour, Comme pas mal de monde j'ai été infecté par Ukash (ça m'apprendra à ne pas utiliser d'antivirus -_-). Bref, en parcourant un peu les forums j'ai suivi la procédure suivante : 1 : j'ai redémarré en mode sans échec avec prise en charge réseau et fait les démarches avec Rogue Killer Voilà le rapport : RogueKiller V8.4.0 _x64_ [Dec 20 2012] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Pierrot [Droits d'admin] Mode : Suppression -- Date : 22/12/2012 10:25:30 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [STARTUP][Rans.Gendarm] runctf.lnk @Pierrot : C:\Windows\System32\rundll32.exe|C:\Users\Pierrot\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{8F3EE4C4-A2E9-4B01-BAB2-AF82B4DB03D2} : NameServer (212.27.53.252,212.27.54.252) -> NON SUPPRIMÉ, UTILISER DNS RAZ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ -> F:\windows\system32\config\SOFTWARE -> F:\Users\Default\NTUSER.DAT -> F:\Users\Default User\NTUSER.DAT -> F:\Users\Pierrot\NTUSER.DAT -> F:\Documents and Settings\Default\NTUSER.DAT -> F:\Documents and Settings\Default User\NTUSER.DAT ¤¤¤ Infection : Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST31000524AS ATA Device +++++ --- User --- [MBR] 935c0e53e68ace3a0e995598619a044f [BSP] caaa589fe4be151df1ae686543cbf91f : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 82000 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 167938048 | Size: 871867 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: WDC WD6400AAKS-75A7B2 ATA Device +++++ --- User --- [MBR] 08eb52af501cdff907feb76fe2c6d534 [BSP] bd7d0ff1c3b82a8753ca6c2beb764b5c : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 51238 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 104936580 | Size: 559239 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive2: WD 5000AAV External USB Device +++++ --- User --- [MBR] a0dd5729daf2e9c10b40f19bb971fcf9 [BSP] 96545aae4c3a8e5d84fbb99372be0652 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_22122012_052530.txt >> RKreport[1]_S_22122012_052407.txt ; RKreport[2]_D_22122012_052530.txt 2 : j'ai redémarré le pc sans pb et j'ai dl malwerbytes que j'ai mis à jour. J'ai lancé un scan complet en supprimant les infections trouvées. Voilà le rapport : Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Version de la base de données: v2012.12.22.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Pierrot :: PIERROT-PC [administrateur] 22/12/2012 10:33:26 mbam-log-2012-12-22 (10-33-26).txt Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 667891 Temps écoulé: 1 heure(s), 4 minute(s), 28 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 2 C:\Users\Pierrot\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès. C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès. (fin) J'ai lu qu'il pouvait y avoir des "restes" même après ces 2 opérations. Faut il faire autre (à part mettre un antivirus) ou suis je maintenant tranquille ? Merci d'avance. Configuration: Windows 7 / Firefox 17.0

g3n-h@ckm@n · Answer

salut   
 
ça m'apprendra à ne pas utiliser d'antivirus   

Faux !!! j'en utilise pas mais en revanche j'ai Java à jour et flash player aussi et comme c'est par là que ca rentre.....   

des reste oui il en reste certainement

=============

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log


   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Podux · Answer

Alors mon flash player est à jour, enfin je pense car il me demande régulièrement de faire des maj.

Pour java je n'ai pas l'impression qu'il m'ait souvent demandé d'en faire (je précise que j'ai le java 32 bits et 64 bits). Dans "panneau de configuration" quand je clique sur java j'ai la version 7 mise à jour 9. Par contre je ne vois pas comment forcer la maj.

g3n-h@ckm@n · Answer

elle se fait seule normalement

la suite...

Podux · Answer

C'est bien ce que je pensais. Et du coup là c'est bon, il n'y a plus rien d'autre à faire ?

g3n-h@ckm@n · Answer

?

Podux · Answer

Au temps pour moi, je n'avais pas vu la suite de ton post à 12h43. Je vais tester ça. Merci.

g3n-h@ckm@n · Answer

bien à te lire :)

Podux · Answer

Voilà le lien du rapport de pre_scan.
http://cjoint.com/data/0Lwvxn2ZzMU.htm

Espérons qu'il n'y ait rien d'important ^^

g3n-h@ckm@n · Answer

relance l outil clique sur diag , heberge le rapport pre_diag et donne le lien !)

Podux · Answer

Ça en fait un paquet de lignes dans ce rapport.

http://cjoint.com/data/0LwxXxgGc7g.htm

g3n-h@ckm@n · Answer

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BLxkv2DdkZe

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Podux · Answer

Voilà le fichier Pre-script :
http://cjoint.com/data/0LxpLNsPtsM.htm

En tout cas merci pour tes réponses rapides ! :)

g3n-h@ckm@n · Answer

bien

on peut faire le menage final ?

Podux · Answer

Euh... oui ! C'était un peu le but. ^^

Par contre c'est sans risques ? Et une petite question, j'ai vu qu'il y avait des fichiers mis en quarantaine, ne vaut-il pas mieux les supprimer ?

g3n-h@ckm@n · Answer

tout va se regler ici :

https://gen-hackman.kanak.fr/

Podux · Answer

J'ai fait toutes les démarches de ton lien ci-dessus. Merci.
Faut-il que je te poste les rapport de DelFix, Slowin_killer et PureRa.

g3n-h@ckm@n · Answer

bah delfix si tu l'as desinstallé le rapport n existe plus 

heberge celui de slowin killer

Podux · Answer

Alors j'ai toujours le fichier DelFix :
http://cjoint.com/data/0Lzt5lSjj7o.htm

Et voilà le rapport de Slowin_killer :
http://cjoint.com/data/0Lzt6UPpbDZ.htm

g3n-h@ckm@n · Answer

ok :)

Podux · Answer

Bon bah si tout est en ordre c'est nickel.

Merci pour cette aide et ce suivi ! :)

g3n-h@ckm@n · Answer

:) 
 
tu peux mettre ton sujet en resolu

Infection Ukash (ministère de l'intérieur)

21 réponses

Discussions similaires

Newsletters