virus ukash pour GenRésolu/Fermé

Question

Bonjour, 

salut Gen,

j'ai le virus ukash sur le pc d'une copine...

le pc démarre en mode sans échec, mais le mode sans échec disparaît pratiquement de suite

je t'écris le message de mon pc, mais le pc de la copine est w7 éditon familiale 

merci pour ta collaboration

@+





Configuration: Windows Vista / Chrome 23.0.1271.91

g3n-h@ckm@n · Answer

salut il demarre en invité de commande ?

g3n-h@ckm@n · Answer

bah fais ca :

https://gen-hackman.kanak.fr/

g3n-h@ckm@n · Answer

supprime ca :

C:\Users
ico\Documents\Windows\winsvcs.exe

redemarre normalement et passe le pre_scan normal

g3n-h@ckm@n · Answer

oui

g3n-h@ckm@n · Answer

ok ne pas utiliser le pc entre temps

g3n-h@ckm@n · Answer

oui

g3n-h@ckm@n · Answer

t'aurais pas un peu oublié de desactiver des protections .?

g3n-h@ckm@n · Answer

relance l'operation en mode sans echec c'est pas normal

g3n-h@ckm@n · Answer

va falloir que je corrige ca.....

==

 tant pis on va la faire sauter comme ca en attendant

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

billmaxime · Answer

ok

je te fais cela demain matin

merci pour ton aide et bonne nuit^^

@+

g3n-h@ckm@n · Answer

tu verras dans OTL t'auras une ligne F3 on la fera sauter :)

bonne nuit

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
PRC - [2012/11/26 20:05:59 | 000,086,016 | -H-- | M] (Cueillais ve'ne're'es http://www.Rattrapables.com) -- C:\Users
ico\Documents\crss.exe
PRC - [2012/11/26 20:05:59 | 000,086,016 | -H-- | M] (Cueillais ve'ne're'es http://www.Rattrapables.com) -- C:\Users
ico\crss.exe
PRC - [2011/12/05 12:42:22 | 000,114,992 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe     
MOD - [2011/12/05 12:42:54 | 000,282,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll     
MOD - [2011/12/05 12:42:54 | 000,074,032 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll     
MOD - [2011/12/05 12:42:50 | 000,049,456 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll     
MOD - [2011/12/05 12:42:34 | 000,168,240 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mghooking.dll     
MOD - [2011/12/05 12:42:32 | 000,065,840 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgconfig.dll     
MOD - [2011/12/05 12:42:30 | 000,036,656 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll     
MOD - [2011/12/05 12:42:28 | 000,282,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgcommon.dll     
MOD - [2011/12/05 12:42:24 | 000,026,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll     
MOD - [2011/12/05 12:42:22 | 000,114,992 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe     
MOD - [2006/07/11 18:35:42 | 000,503,808 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\SweetIM\Messenger\msvcp71.dll     
MOD - [2006/07/11 18:35:38 | 000,348,160 | ---- | M] (Microsoft Corporation) -- C:\Program Files (x86)\SweetIM\Messenger\msvcr71.dll     
IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}     
IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=108388&tt=3112_6&babsrc=SP_def&mntrId=3adb32dc0000000000004c0f6e7be82d     
IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=en_US&apn_ptnrs=HQ&apn_dtid=YYYYYYYYFR&apn_uid     
IE - HKU\S-1-5-21-1732484285-2863887692-3286090419-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = https://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={F2E9B980-C293-4A89-9428-C834B9888247}     
FF - prefs.js..browser.search.defaultengine: "Ask.com" 
FF - prefs.js..browser.search.defaultenginename: "" 
FF - prefs.js..browser.search.defaulturl: "" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..extensions.enabledAddons: ffxtlbr@funmoods.com:1.5.1 
FF - prefs.js..extensions.enabledAddons: {C9B68337-E93A-44EA-94DC-CB300EC06444}:5.30.4     
FF - prefs.js..extensions.enabledAddons: plugin@yontoo.com:1.20.00 
FF - prefs.js..browser.startup.homepage: "https://fr.ask.com/?l=dis&o=15788" 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\webbooster@iminent.com: C:\Program Files (x86)\Iminent\webbooster@iminent.com     
[2012/09/22 16:56:57 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users
ico\AppData\Roaming\mozilla\Firefox\Profiles\82it67jo.default\extensions\plugin@yontoo.com 
[2012/08/06 08:47:06 | 000,002,333 | ---- | M] () -- C:\Users
ico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\Search.xml 
[2011/12/14 18:56:10 | 000,003,915 | ---- | M] () -- C:\Users
ico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\SweetIM Search.xml     
[2011/12/14 18:56:00 | 000,003,915 | ---- | M] () -- C:\Users
ico\AppData\Roaming\mozilla\firefox\profiles\82it67jo.default\searchplugins\sweetim.xml     
[2012/07/31 07:32:24 | 000,002,350 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml     
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)     
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files (x86)\IMinent Toolbar	bcore3.dll ()        

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

billmaxime · Answer

re Gen

la correction est faite 

https://pjjoint.malekal.com/files.php?id=20121130_b6r6f9g8u6

@+ merci

g3n-h@ckm@n · Answer

je sais pas ce que t'as fait mais t'as mer$é ^^

billmaxime · Answer

salut Gen

j'ai copier tout ce qui est en gras

https://www.cjoint.com/?BLbk1zQ0tnR

j'ai lancé olt.exe en tant qu'administrateur (suis sous w7)

j'ai coller tout ce qui est en gras dans "personnalisation"

j'ai cliquer sur correction et j'ai eu ce rapport 

https://www.cjoint.com/?BLbk2OSvOyc

je fais tout par clé usb

ps: je n'ai pas reconfigurer olt comme pour la recherche mais je ne pense pas qu'il y avait besoin

@+

g3n-h@ckm@n · Answer

tu copies ligne par ligne ou tout d'uin trait ?

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

billmaxime · Answer

re Gen

j'ai encore fait 1 bêtise (j'ai pas redémarrer le pc après avoir utiliser defogger)

ceci dit je ne pense pas qu'il y ai de logiciel d'émulation sur le pc

j'ai vu aussi qu'il y avait microsoft security essentials (que j'ai désactivé)

je te signale ceci car tu m'avais posé la question dans ce message

https://forums.commentcamarche.net/forum/affich-26565521-virus-ukash-pour-gen#23

c'est uniquement pour ton info (vis a vis de pré_scan)

je te poste le rapport combofix mais si tu veux que je recommence en redémarrant

le pc après utilisisation de défogger dis le moi

https://www.cjoint.com/?BLbnVPiXKj3

@+ merci

g3n-h@ckm@n · Answer

c'est quoi ca ?

c:\program files (x86)\fly2.exe
.

g3n-h@ckm@n · Answer

si combofix l'a mis dans son listing....il invente pas des fichiers quand meme ! ^^

g3n-h@ckm@n · Answer

ah ben si tu cliques sur les fichiers suspect !!!! je peux plus grand chose pour toi si tu fais l'andouille !! ^^

g3n-h@ckm@n · Answer

si tu y arrives......

g3n-h@ckm@n · Answer

j'aimerais bein voir la suppression de OTL fonctionner correctement

g3n-h@ckm@n · Answer

ben disons que je ciomprnds pas pourquoi il reagit comme ca.

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

re

encore des soucis ?

g3n-h@ckm@n · Answer

bah si t'as plus de soucis je vois pas la raison pour laquelle s'enerver avec usbfix

g3n-h@ckm@n · Answer

maintenant si tu veux on peut vraiment pousser la chose p^lus loin mais ca prendra un peu de temps :)

g3n-h@ckm@n · Answer

retente la correction avec OTL

billmaxime · Answer

re Gen

voila le rapport de correction

j'ai effectué la correction en mode normal et sans désactiver les protections

https://www.cjoint.com/?BLitioQw6o1

@+ merci

g3n-h@ckm@n · Answer

donc ces lignes ne sont pas certifiées :

Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "" removed from browser.search.defaultenginename
Prefs.js: "" removed from browser.search.defaulturl
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: ffxtlbr@funmoods.com:1.5.1 removed from extensions.enabledAddons
Prefs.js: {C9B68337-E93A-44EA-94DC-CB300EC06444}:5.30.4 removed from extensions.enabledAddons
Prefs.js: plugin@yontoo.com:1.20.00 removed from extensions.enabledAddons
Prefs.js: "https://fr.ask.com/?l=dis&o=15788" removed from browser.startup.homepage

g3n-h@ckm@n · Answer

donc otl ne les vire pas...

g3n-h@ckm@n · Answer

demande à xplode pourquoi ces lignes existent encore après le passage d'adwcleaner

g3n-h@ckm@n · Answer

ben nan y'a rien d'interessant dans zhpdiag....

g3n-h@ckm@n · Answer

je pense pas que ca apportera quelque chose de plus....

https://www.youtube.com/watch?v=Zm8aagV5_J4

g3n-h@ckm@n · Answer

ben non ! si c'est survenu après...

Virus ukash pour Gen

36 réponses

Discussions similaires

Newsletters