Virus Ukash ministere de l'interieurRésolu/Fermé

Question

Sous windows 7

Bonjour, mon pc est bloqué par une page me demandant de payer 100€ 

mode sans echec, meme probleme
mode sans echec avec invite de commande fonctionne

J'ai lu plusieurs conseils sur le forum

je tape regedit
je descend dans les sous menu pour y trouver la valeur shell et la supprimer dans l'onglet winlogon mais elle n'y est pas

Merci d'avance pour vos conseils

Malekal_morte- · Accepted Answer

Salut,  


Avec la variante ministère de l'intérieur, il ne faut pas toucher la clef Shell.

Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263 

Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur". 
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847 

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE ** 

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente. 




Si la restauration est impossible :  

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/  
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.  

Suis la procédure indiqué sur la page :  
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.  
- Mettre le CD / Clef USB sur le PC infecté  
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.  
- Une fois sur le CD Live Malekal - Lance RogueKiller  
- Fais un scan  
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).  
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message. 
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)  
- Redémarre l'ordinateur et vois ce que cela donne. 

  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Jimsoham · Answer

Ok je vais essayer ca et je reviens vous dire ce qu'il en est

Merci !

Jimsoham · Answer

La restauration a fonctionné, j'ai acces au system et a mes fichiers.
Mais je suppose que l'infection est toujours presente, que me conseillez vous pour l'eradiquer ?

Malekal_morte- · Answer

Normalement non, mais s'en assurer :


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


puis :


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Jimsoham · Answer

Ok je n'avais pas tout lu, je vais telecharger Roguekiller

Jimsoham · Answer

Le rapport Roguekiller RogueKiller V8.5.4 [Mar 18 2013] by Tigzy mail : tigzyRKgmailcom Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog : http://tigzyrk.blogspot.com/ Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Started in : Normal mode User : Sabrina [Admin rights] Mode : Remove -- Date : 03/03/2013 15:28:24 | ARK || FAK || MBR | ¤¤¤ Bad processes : 3 ¤¤¤ [SUSP PATH] SafeUpdater.exe -- C:\Users\Sabrina\AppData\Local\safeupdater\SafeUpdater.exe [-] -> KILLED [TermProc] [SUSP PATH] SoftwareUpdateHP.exe -- C:\Users\Sabrina\AppData\Roaming\EoRezo\EoRezo\SoftwareUpdateHP.exe [-] -> KILLED [TermProc] [SUSP PATH] combroadcaster.exe -- C:\Users\Sabrina\AppData\Local\combroadcaster\combroadcaster.exe [-] -> KILLED [TermProc] ¤¤¤ Registry Entries : 8 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Qoemxuny (C:\Users\Sabrina\AppData\Roaming\Ceegga\ysux.exe) [-] -> DELETED [RUN][SUSP PATH] HKLM\[...]\Run : combroadcaster ("C:\Users\Sabrina\AppData\Local\combroadcaster\combroadcaster.exe") [-] -> DELETED [RUN][SUSP PATH] HKUS\S-1-5-21-1586514065-739110445-1333271583-1000[...]\Run : Qoemxuny (C:\Users\Sabrina\AppData\Roaming\Ceegga\ysux.exe) [-] -> DELETED [RUN][SUSP PATH] HKLM\[...]\RunOnce : SoftwareHelper (C:\Users\Sabrina\AppData\Roaming\EoRezo\EoRezo\SoftwareUpdateHP.exe -runonce) [-] -> DELETED [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{499F0AC8-4E78-4E96-A4F5-87394DA5ABD3} : NameServer (62.201.129.99 62.201.159.99) -> NOT REMOVED, USE DNSFIX [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{499F0AC8-4E78-4E96-A4F5-87394DA5ABD3} : NameServer (62.201.129.99 62.201.159.99) -> NOT REMOVED, USE DNSFIX [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Particular Files / Folders: ¤¤¤ ¤¤¤ Driver : [LOADED] ¤¤¤ ¤¤¤ HOSTS File: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK1234GSX ATA Device +++++ --- User --- [MBR] b12cf4d40570152ac54ac6ee89286886 [BSP] 60a9fa40e2e2af26dcad4f89c68acf6e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 9536 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 19531776 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 19736576 | Size: 104835 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[3]_D_03032013_152824.txt >> RKreport[1]_S_03032013_152458.txt ; RKreport[2]_S_03032013_152623.txt ; RKreport[3]_D_03032013_152824.txt

Jimsoham · Answer

Le rapport  AdwCleaner



# AdwCleaner v2.115 - Logfile created 03/03/2013 at 15:32:18
# Updated 17/03/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : Sabrina - SABRINA-PC
# Boot Mode : Normal
# Running from : C:\Users\Sabrina\Downloads\adwcleaner.exe
# Option [Delete]


***** [Services] *****

Stopped & Deleted : SafeUpdater

***** [Files / Folders] *****

Folder Deleted : C:\Program Files\EoRezo
Folder Deleted : C:\Program Files\Free Offers from Freeze.com
Folder Deleted : C:\Program Files\OfferBox
Folder Deleted : C:\Program Files\PriceGong
Folder Deleted : C:\Users\Sabrina\AppData\Local\combroadcaster
Folder Deleted : C:\Users\Sabrina\AppData\Local\EoJet
Folder Deleted : C:\Users\Sabrina\AppData\Local\EoRezo
Folder Deleted : C:\Users\Sabrina\AppData\Local\safeupdater
Folder Deleted : C:\Users\Sabrina\AppData\LocalLow\PriceGong
Folder Deleted : C:\Users\Sabrina\AppData\Roaming\EoRezo
Folder Deleted : C:\Users\Sabrina\AppData\Roaming\Mozilla\Firefox\Profiles\iuc07181.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86}
Folder Deleted : C:\Users\Sabrina\AppData\Roaming\OfferBox

***** [Registry] *****

Key Deleted : HKCU\Software\AppDataLow\Software\PriceGong
Key Deleted : HKCU\Software\EoRezo
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Key Deleted : HKCU\Software\Offerbox
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Key Deleted : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
Key Deleted : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Key Deleted : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
Key Deleted : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
Key Deleted : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
Key Deleted : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
Key Deleted : HKLM\Software\EoRezo
Key Deleted : HKLM\Software\Freeze.com
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Key Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoJet_is1
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Key Deleted : HKLM\Software\Offerbox
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Value Deleted : HKCU\Software\Mozilla\Firefox\Extensions [{8a9386b4-e958-4c4c-adf4-8f26db3e4829}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoRezo]

***** [Internet Browsers] *****

-\ Internet Explorer v9.0.8112.16470

[OK] Registry is clean.

-\ Mozilla Firefox v19.0.2 (fr)

File : C:\Users\Sabrina\AppData\Roaming\Mozilla\Firefox\Profiles\iuc07181.default\prefs.js

C:\Users\Sabrina\AppData\Roaming\Mozilla\Firefox\Profiles\iuc07181.default\user.js ... Deleted !

Deleted : user_pref("surfcanyon.ad_status", "");
Deleted : user_pref("surfcanyon.amazon_results_enabled", true);
Deleted : user_pref("surfcanyon.chummo_enabled", false);
Deleted : user_pref("surfcanyon.current_domain", "ajax.googleapis.com");
Deleted : user_pref("surfcanyon.daily_code", "scIsOnSearchEngineDomain = function() {
return contains(scCurre[...]
Deleted : user_pref("surfcanyon.daily_code_timestamp", "1350542517257");
Deleted : user_pref("surfcanyon.deals_enabled", true);
Deleted : user_pref("surfcanyon.display_similar_product_images", false);
Deleted : user_pref("surfcanyon.display_similar_product_images_enabled", true);
Deleted : user_pref("surfcanyon.dynamic_preferences_timestamp", "1364469815678");
Deleted : user_pref("surfcanyon.google_search_button_click_query", "gravure+au+laser");
Deleted : user_pref("surfcanyon.google_search_button_click_ts", "1311497866472");
Deleted : user_pref("surfcanyon.hourly_code", "scGetDocument = function() {
return scIsFF ? content.document [...]
Deleted : user_pref("surfcanyon.hourly_code2", "scEnableGoogle_hourly = function() {
var args = window.locati[...]
Deleted : user_pref("surfcanyon.hourly_code_timestamp", "1350553003560");
Deleted : user_pref("surfcanyon.initialized_amazon_results", true);
Deleted : user_pref("surfcanyon.initialized_chummo", false);
Deleted : user_pref("surfcanyon.initialized_deals", true);
Deleted : user_pref("surfcanyon.initialized_display_similar_product_images", true);
Deleted : user_pref("surfcanyon.initialized_roaming_suggestions", true);
Deleted : user_pref("surfcanyon.initialized_search_accelerator", true);
Deleted : user_pref("surfcanyon.initialized_search_bar", false);
Deleted : user_pref("surfcanyon.initialized_search_links", true);
Deleted : user_pref("surfcanyon.initialized_searchbar", true);
Deleted : user_pref("surfcanyon.initialized_similar_product_images", true);
Deleted : user_pref("surfcanyon.inst_id", "5158201343475313168781246784441");
Deleted : user_pref("surfcanyon.inst_timestamp", "1300380728916");
Deleted : user_pref("surfcanyon.last_notification_displayed", 2);
Deleted : user_pref("surfcanyon.last_seen_splash", "406");
Deleted : user_pref("surfcanyon.no_searchbar_for_all_users", "secureserver.net");
Deleted : user_pref("surfcanyon.no_searchbar_for_user", "www.accentice.com");
Deleted : user_pref("surfcanyon.no_searchbar_global", false);
Deleted : user_pref("surfcanyon.num_recs_clicked", "430");
Deleted : user_pref("surfcanyon.num_results_clicked", "10897");
Deleted : user_pref("surfcanyon.num_results_clicked_when_recs_available", "3535");
Deleted : user_pref("surfcanyon.num_searches", "11220");
Deleted : user_pref("surfcanyon.partner_code", "WTIFFEUA");
Deleted : user_pref("surfcanyon.recs_notifications_cancelled", true);
Deleted : user_pref("surfcanyon.roaming_suggestions_enabled", true);
Deleted : user_pref("surfcanyon.search_accelerator_enabled", true);
Deleted : user_pref("surfcanyon.search_bar_enabled", false);
Deleted : user_pref("surfcanyon.search_links_enabled", true);
Deleted : user_pref("surfcanyon.searchbar_enabled", true);
Deleted : user_pref("surfcanyon.searchbar_right_offset_domain_map", "mail.google.com:17,docs.google.com:17");
Deleted : user_pref("surfcanyon.searchbar_zindex_domain_map", "mail.google.com:2");
Deleted : user_pref("surfcanyon.searchbar_zindexes", false);
Deleted : user_pref("surfcanyon.server_error_time", "");
Deleted : user_pref("surfcanyon.server_error_url", "");
Deleted : user_pref("surfcanyon.ss_page_links_enabled", true);

-\ Google Chrome v25.0.1364.172

File : C:\Users\Sabrina\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

-\ Opera v [Unable to get version]

File : C:\Users\Sabrina\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [8655 octets] - [03/03/2013 15:31:23]
AdwCleaner[S1].txt - [8902 octets] - [03/03/2013 15:32:18]

########## EOF - C:\AdwCleaner[S1].txt - [8962 octets] ##########

Malekal_morte- · Answer

[RUN][SUSP PATH] HKCU\[...]\Run : Qoemxuny (C:\Users\Sabrina\AppData\Roaming\Ceegga\ysux.exe) [-] -> DELETED  

c'est pas top ça.


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

Jimsoham · Answer

Rapport otl

https://pjjoint.malekal.com/files.php?id=OTL_20130401_k14c7i5e6q7


Rapport extra

https://pjjoint.malekal.com/files.php?id=OTL_Extras_20130401_t15o9y6k9t13


Merci encore pour tes conseils.

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/03/29 12:27:40 | 095,023,320 | ---- | C] () -- C:\ProgramData\1339428.pad 
[2013/03/12 10:36:19 | 000,000,000 | ---D | M] -- C:\Users\Sabrina\AppData\Roaming\Alxauw
[2013/03/12 10:36:19 | 000,000,000 | ---D | M] -- C:\Users\Sabrina\AppData\Roaming\Ceegga
[2013/03/03 14:25:30 | 095,023,320 | ---- | M] () -- C:\ProgramData\1339428.pad
[2013/03/03 15:36:23 | 000,000,000 | ---D | M] -- C:\Users\Sabrina\AppData\Roaming\Ubfiz
File not found (No name found) -- C:\USERS\SABRINA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\IUC07181.DEFAULT\EXTENSIONS\{75623D5D-4683-402A-B610-AC4BAB767C86}  
[2011/03/17 17:51:48 | 000,000,000 | ---D | M] (Freeze.com NetAssistant) -- C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT 
FF - prefs.js..browser.search.defaultenginename: Yahoo 
FF - prefs.js..browser.search.order.1: Yahoo 
FF - prefs.js..browser.search.order.2: 
FF - prefs.js..browser.search.selectedEngine: Google 
FF - prefs.js..browser.startup.homepage: http://www.accentice.com
FF - prefs.js..extensions.enabledAddons: %7B8A9386B4-E958-4c4c-ADF4-8F26DB3E4829%7D:2.1.0 
FF - prefs.js..extensions.enabledAddons: %7B1266764D-FC4F-4FA7-B63B-884D53B1680F%7D:3.6.5 
FF - prefs.js..extensions.enabledAddons: %7B75623d5d-4683-402a-b610-ac4bab767c86%7D:4.0.6 
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 
FF - prefs.js..extensions.enabledItems: {75623d5d-4683-402a-b610-ac4bab767c86}:3.2.1 
FF - prefs.js..extensions.enabledItems: {8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}:2.1.0
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.accentice.com 


* redemarre le pc sous windows et poste le rapport ici 



~~

Désinstalle McAfee Security Scan - sert à rien en matière de protection, c'est juste pour te refourguer l'antivirus.
AVG n'est pas à jour.
Désinstalle le - je te conseille de le remplacer par Avast! : https://www.malekal.com/tutoriel-antivirus-avast/


~~

Change tes mots de passe WEB (mail, facebook, jeux en ligne).
Ils ont été récupérés je pense.

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Jimsoham · Answer

Ok je vais faire tout ca

Rapport arpés correction 

========== OTL ==========
C:\ProgramData\1339428.pad moved successfully.
C:\Users\Sabrina\AppData\Roaming\Alxauw folder moved successfully.
C:\Users\Sabrina\AppData\Roaming\Ceegga folder moved successfully.
File C:\ProgramData\1339428.pad not found.
C:\Users\Sabrina\AppData\Roaming\Ubfiz folder moved successfully.
C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT\defaults\preferences folder moved successfully.
C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT\defaults folder moved successfully.
C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT\chrome\content folder moved successfully.
C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT\chrome folder moved successfully.
C:\USERS\SABRINA\APPDATA\ROAMING\NETASSISTANT folder moved successfully.
Prefs.js: Yahoo removed from browser.search.defaultenginename
Prefs.js: Yahoo removed from browser.search.order.1
Prefs.js:  removed from browser.search.order.2
Prefs.js: Google removed from browser.search.selectedEngine
Prefs.js: http://www.accentice.com removed from browser.startup.homepage
Prefs.js: %7B8A9386B4-E958-4c4c-ADF4-8F26DB3E4829%7D:2.1.0 removed from extensions.enabledAddons
Prefs.js: %7B1266764D-FC4F-4FA7-B63B-884D53B1680F%7D:3.6.5 removed from extensions.enabledAddons
Prefs.js: %7B75623d5d-4683-402a-b610-ac4bab767c86%7D:4.0.6 removed from extensions.enabledAddons
Prefs.js: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2 removed from extensions.enabledAddons
Prefs.js: {75623d5d-4683-402a-b610-ac4bab767c86}:3.2.1 removed from extensions.enabledItems
Prefs.js: {8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}:2.1.0 removed from extensions.enabledItems
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
 
OTL by OldTimer - Version 3.2.69.0 log created on 03032013_164710

Virus Ukash ministere de l'interieur

11 réponses

Discussions similaires

Newsletters