Virus Ukash encore... [Fermé]

Signaler
Messages postés
2
Date d'inscription
mercredi 21 novembre 2012
Statut
Membre
Dernière intervention
25 novembre 2012
-
anthony5151
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
-
Bonjour,


Je suis dans la même situation qu'isaouzabou en août.
J'ai suivi le process décrit par nanard47.
Mon fichier OTL.txt est accessible à l'adresse suivante :
http://pjjoint.malekal.com/files.php?id=OTL_20121121_j7d7u11c6k12

Si nanard4700 -que je remercie pour ses explications super claires et écrites dans un parfait français (quel luxe!)- où une autre âme charitable pouvait me venir en aide, qu'il en soit remercié par avance.

3 réponses

Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

▶ N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
▶ N'hésite pas à poser des questions en cas de besoin ;)
▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
▶ La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Je vais te proposer plusieurs manipulations en une seule fois, fais tout ce qui suit dans l'ordre s'il te plait :


1) Il va falloir que tu m'envoies certains fichiers présents sur ton ordinateur pour que je les vérifie. Pour cela, il faut d'abord afficher les fichiers cachés :

▶ Menu Démarrer --> Panneau de configuration --> Apparence et personnalisation --> Options des dossiers --> Affichage
▶ Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
▶ Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Ensuite, tu peux les récupérer :

▶ Ouvre le menu démarrer --> Ordinateur --> disque C --> Utilisateurs --> Privat --> Application data
▶ Localise les fichiers suivants (si tu n'en trouves pas certains, ce n'est pas grave) :
C:\Documents and Settings\PRIVAT\Application Data\A1.exe
C:\Documents and Settings\PRIVAT\Application Data\txpn.exe
C:\Documents and Settings\PRIVAT\Application Data\Mzkiku(2).exe
C:\Documents and Settings\PRIVAT\Application Data\Mzkiku(3).exe
C:\Documents and Settings\All Users\Application Data\lsass.exe
C:\Documents and Settings\PRIVAT\Application Data\Qzkiky.exe
C:\Documents and Settings\All Users\Application Data\0tbpw.pad

▶ Fais de même pour le fichier suivant, situé dans un autre répertoire : C:\WINDOWS\system32\mzdmry.dll
▶ Fais un copié/collé de tous ces fichiers sur ton Bureau.
▶ Sélectionne tous les fichiers que tu viens de placer sur ton Bureau --> fais un clic-droit dessus --> Envoyer vers --> Dossier compressé.
▶ Héberge ce dossier compressé sur pjjoint et envoie moi le lien de téléchargement.
▶ Tu peux ensuite supprimer les fichiers sur ton Bureau et le dossier compressé. Ne supprime pas les fichiers originaux pour le moment.


2) Ce script va cibler certains éléments à supprimer :

▶ Ouvre ce lien, sélectionne le script qu'il contient en entier et copie le (Édition --> Copier)
▶ Lance OTL (si tu es sous Windows vista ou 7, fais un clic-droit dessus et choisis "exécuter en temps qu'administrateur")
▶ Colle le script dans la zone "personnalisation"
▶ Clique sur « Correction » et laisse l'outil travailler. Il est possible que l'ordinateur redémarre.
▶ Copie/colle la totalité du rapport dans ta prochaine réponse.


3) Ton ordinateur est infecté par un rogue, c'est à dire un logiciel qui affiche de fausses alertes pour te faire peur et te pousser à payer (plus d'infos ici)... Ignore les fausses alertes du rogue et ne paye surtout pas, je vais t'aider à t'en débarrasser. Pour commencer, utilise cet outil :

▶ Télécharge RogueKiller (de Tigzy) sur le Bureau
▶ Quitte tous tes programmes en cours
▶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
▶ Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
▶ A la fin, vérifie que tous les éléments sont cochés puis clique sur "Suppression"
▶ Un rapport (RKreport.txt) doit être créé sur le Bureau, poste le dans ta prochaine réponse.


4) Utilise ce logiciel de désinfection généraliste :

▶ Télécharge et installe Malwarebytes' Anti-Malware
▶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. Par contre, il n'est pas nécessaire d'activer l'essai gratuit pour la protection.
▶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
▶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
▶ A la fin de l'analyse, clique sur Afficher les résultats
▶ Coche tous les éléments détectés puis clique sur Supprimer la sélection
▶ S'il t'est demandé de redémarrer l'ordinateur, accepte.
▶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression.


5) Fais redémarrer ton ordinateur et poste un nouveau rapport OTL (pense à l'héberger sur pjjoint, comme le précédent).

Messages postés
2
Date d'inscription
mercredi 21 novembre 2012
Statut
Membre
Dernière intervention
25 novembre 2012

Bonjour et merci de tes réponses.
En fait, après avoir été dans l'impossibilité d'accéder au mode sans échec, j'y suis arrivé par hasard et donc fait directement une restauration système qui m'a permis de neutraliser l'intrus.
Je passe les nettoyeurs derrière des fois qu'il en resterait des bouts...
Encore merci
Messages postés
10595
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
3 mars 2015
773
D'accord. Dans tous les cas, je te conseille vivement d'aller au bout de la procédure, je te donnerai des conseils de sécurisation à la fin pour éviter ce genre de problèmes à l'avenir. Pense à m'envoyer les différents rapports (et les fichiers si tu les trouves).