virus ukashFermé

Question

Bonsoir,

comme pas mal de personnes je suis infectée de ce fichu virus ukash. n'y connaissant presque rien en informatique je viens vous demander de l'aide !

j'ai donc essayé demarrer en mode sans echec avec prise en charge, tenter malawarebites et entre autres spyhunter, ccleaner... mais dès que je redemarre normalement, l'écran se fige à nouveau sur ukash. 

j'ai téléchargé les logiciel via mon autre pc, mis sur usb pour l'ouvrir sur pc infecté.

si quelqu'un a une idée.... 

merci d'avance



Configuration: Windows 7 / Firefox 15.0.1

den3van · Answer

C'est assez compliquer a expliquer et a faire je te conseil un informaticien pour un dévirusage

céline17000 · Answer

arffff je m'attendais à une autre réponse lol j'ai toute ma compta sur ce pc....

céline17000 · Answer

ah oui, je précise aussi, config vista et explorer. et j'ai aussi tenté un point de restauration

den3van · Answer

DSL ^^ je pense que ça doit être un virus du genre gendarmerie et même moi qui suis informaticien c'est assez difficile à enlever car il évoluent le plus souvent plus vite que les antivirus 

PS: Faites attentions a vos données je vous conseil d'aller voir un informaticien car il seras vous sauvegarder vos données et peut -être vous les fournir sur une clé usb ou un disque dur externe et vous déviruser tout ça

kalimusic · Answer

Bonsoir,

Le mode sans échec est accessible mais sans accès au réseau, c'est ça ?

kalimusic · Answer

ok,

Désinstalle Spyhunter, ce logiciel n'est pas du tout recommandable.

Télécharge OTL  (de OldTimer) depuis un ordinateur sain et transfère le via une clé usb sur ton Bureau du pc infecté.


&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
drivers32 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

kalimusic · Answer

ok,

Télécharge  RogueKiller  (par Tigzy) sur ta clé pour tranfèrer l'outil sur le bureau du pc infecté.

&#x25CF;  Lance RogueKiller.exe  
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
&#x25CF; Laisse le prescan se terminer, clique sur Scan
&#x25CF; Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

A +

kalimusic · Answer

bon, on respire, on va dire que tout se passe bien :)

Imprime la procédure ou affiche-la sur un autre PC 

Télécharge Farbar Recovery Scan Tool 
&#x25CF; Enregistre-le sur une clé USB.

&#x25CF; Redémarre le système, tapote la touche F8 (ou F5 pour certains PC)
&#x25CF; La fenêtre des Options de démarrage avancées apparaît.
&#x25CF; En utilisant les flèches haut et bas du clavier, sélectionne  Réparer l''ordinateur 
&#x25CF; Valide par Entrée
&#x25CF; Choisis la langue, ton compte administrateur habituel 
(renseigne le mot de passe si c'est le cas)
&#x25CF; Sélectionne  Invite de commandes
&#x25CF;  Dans la fenêtre de commande, tape notepad, valide sur Entrée.
&#x25CF;  Le bloc-notes s'ouvre. Sous le menu Fichier, sélectionne Ouvrir.
&#x25CF; Sélectionne "Ordinateur" (ou Poste de travail sur XP) et trouve la lettre de la clé, referme le bloc-notes.
&#x25CF; Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
&#9656;  Remarque : Remplace la lettre x avec la lettre de la clé.
&#x25CF; Patiente puis clique sur Oui  au message Disclaimer of warranty
&#x25CF;  Appuie sur le bouton Scan.
&#x25CF; Un rapport FRST.txt sera créé dans la clé usb.

A+

kalimusic · Answer

ok,

Nous allons créer un CD bootable à partir du pc sain qui va nous permettre dans un premier temps d'effectuer une analyse du PC.

Il est préférable d'imprimer ces instructions, afin de faciliter les manipulations sur le pc malade. Suivant ton type de connexion, tu auras accès au net depuis l'environnement du CD, la clé usb n'est pas indispensable.

Sur le pc sain

1. Télécharge OTLPENet.exe sur le Bureau

&#x25CF;  Insère un CD vierge dans le graveur
&#x25CF; Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.

2. Ouvre le Bloc-note, copie les instructions suivantes et sauvegarde les sur une clé usb sous le nom OTLPE_1.txt

Sur le pc infecté

1. Redémarre en utilisant le CD que nous avons créé.

Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD 

    Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.

&#x25CF;  Il doit maintenant afficher un Bureau REATOGO-X-PE
&#x25CF;  Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
&#x25CB;  A la question "Do you wish to load the remote registry", répond Yes
&#x25CB;  A la question  "Do you wish to load remote user profile(s) for scanning", Yes
&#x25CB;  Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
&#x25CF;  L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image. 

2. Insère la clé USB et ouvre le fichier OTLPE_1.txt
&#x25CF; Copie/colle son contenu dans le cadre blanc sous "Custom Scans/Fixes"
&#x25CF; Clique sur le bouton Run Scan, patiente pendant le balayage du système.   
&#x25CF; Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE_2.txt

3. Sur le pc sain (ou directement depuis le pc infecté si tu as accès au net)
&#x25CF; Héberge le rapport OTLPE_2.txt  sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF; Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

kalimusic · Answer

Bonjour,

Ton pc est une véritable collection de logiciels malveillants, potentiellement indésirables  ou peu recommandables.

1. Désinstalle si possible :

Agence-Exclusive
Babylon ou Babylon Toolbar / Browser Manager
Crazyloader
Complitly
Conduit Engine
Incredibar
Mediabar
RegistryBooster
Softonic_France Toolbar
SpyHunter 4 
SweetIM Toolbar for Internet Explorer
SweetIM / Imminent
Windows Searchqu Toolbar 
Wajam
Widestream6
Yontoo Layers 
Aide : Comment désinstaller un programme

2. Relance HijackThis 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

&#x25CF;   Clique sur le bouton Scan 
&#x25CF;   Après le balayage, coche les cases des lignes indiquées si toujours présentes : 


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110823&tt=300912_TORP_4012_2&babsrc=HP_ss&mntrId=98ae446a0000000000000016ec7e9dad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=98ae446a0000000000000016ec7e9dad&tlver=1.4.19.19&ss=1&affID=18026 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\ordi\AppData\Roaming\Complitly\Complitly.dll
O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
O2 - BHO: Interest recogniser for Widestream6 (powered by Spointer) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} - C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\bh\BabylonToolbar.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll
O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll
O2 - BHO: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
O2 - BHO: Interest recogniser for Crazyloader (powered by Spointer) - {C5F65718-341D-4e7d-9842-FCB9CC89527E} - C:\Program Files\CrazyLoader\spointer\extensions\crazyloader_air_ie.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France	bSoft.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
O3 - Toolbar: Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll
O3 - Toolbar: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [werdiagcontroller] C:\Users\ordi\AppData\Local\Microsoft\Windows\1334\werdiagcontroller.exe
O4 - HKCU\..\Run: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000 

 ! Ferme toutes les applications en cours et surtout le navigateur Internet !

&#x25CF;   Clique ensuite sur le bouton Fix checked 
&#x25CF;   Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.

Redémarre en mode normal, A +

kalimusic · Answer

ok,

On va maintenant utiliser pouvoir OTL, supprime le fichier OTL.exe que tu dois avoir sur ton bureau, puis fait ce qui est ici : https://forums.commentcamarche.net/forum/affich-26180855-virus-ukash#9

A +

céline17000 · Answer

explorer ne fonctionne pas

kalimusic · Answer

Tu veux dire que tu n'a pas le bureau ?

céline17000 · Answer

j'ai un rapport, mais je ne sais pas comment faire pour l'heberger sur un autre lien

kalimusic · Answer

regarde ici > Pour transmettre les rapports : 
 https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#5-avis-d-un-expert   
   
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

céline17000 · Answer

msconfig 
netsvcs 
drivers32 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT

céline17000 · Answer

https://www.cjoint.com/?BJcumZ60IC3

céline17000 · Answer

https://www.cjoint.com/?BJcunXTp1as

kalimusic · Answer

Tu n'arrives toujours à désinstaller Registry Booster ?
Désinstalle Driver Mender sauf si utile pour toi.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le rapport, A +

kalimusic · Answer

Réponds moi stp pour registry booster et driver mender :)

Supprime les résidus de l'adware Babylon dans Google Chrome: https://www.malekal.com/reparer-google-chrome/?t=35837&start= 

A +

kalimusic · Answer

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  

A +

afideg · Answer

Hello,

Ne pas oublier la suggestion de Jacques :

« ... la perso je sais plus quoi te dire perso je sortirais le dd du pc le connecterais en esclave sur un autre et récupérerais mes choses perso , ... » 

C'est ce que j'avais fait chez ma fille "Comptable indépendante".  ;)
... avec succès .

Al.

Salut Jacques.  ;)

kalimusic · Answer

Ok,


Il est préférable d'imprimer ces instructions, afin de faciliter les manipulations sur le pc malade. Suivant ton type de connexion, tu auras accès au net depuis l'environnement du CD.

Sur le pc sain

Télécharge OTLPENet.exe sur le Bureau

&#x25CF;  Insère un CD vierge dans le graveur
&#x25CF; Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.

Sur le pc infecté

Redémarre en utilisant le CD que nous avons créé.

Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD 

    Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.

&#x25CF;  Il doit maintenant afficher un Bureau REATOGO-X-PE
&#x25CF;  Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
&#x25CB;  A la question "Do you wish to load the remote registry", répond Yes
&#x25CB;  A la question  "Do you wish to load remote user profile(s) for scanning", Yes
&#x25CB;  Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
&#x25CF;  L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image. 
&#x25CF; Clique sur le bouton Run Scan, patiente pendant le balayage du système.   
&#x25CF; Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE.txt

Sur le pc sain (ou directement depuis le pc infecté si tu as accès au net)
&#x25CF; Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF; Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

kalimusic · Answer

ok,

Sous l''environnement REATOGO
&#x25CF; Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sous  "Custom Scans/Fixes", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Run Fix, patiente pendant le travail de l'outil. 

Essaye de redémarrer en mode normal. 

A +

kalimusic · Answer

Tu peux autorise les mises à jour HP  (par contre je ne peux pas te dire si c'est utile).

Faire attention à ce qui est installé désormais sur ce pc : https://www.malekal.com/adwares-pup-protection/ 

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2.  Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

== == == == == == == == == == MISES A JOUR == == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent (et que tu as eu l'infection type gendarmerie) :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne soirée

afideg · Answer

Hello Kali  ;)
Bravo !
Vraiment.
C'est devenu un topic d'école à mes yeux. 
C'est heureux de rencontrer des internautes aussi pugnaces et réactifs.  ;)
Al.

Virus ukash

26 réponses

Discussions similaires

Newsletters