Sujet Précédent Sujet Suivant

Virus Ukash (gendarmerie)

Résolu/Fermé
Nextcara - 24 mai 2013 à 11:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 24 mai 2013 à 17:54
Bonjour,

J'ai le virus ukash (gendarmerie) me bloquant l'accès au bureau et me demandant de payer.
D'habitude, je redemarre en mode sans echec ou en invite de commande en inscrivant rstrui.exe pour restaurer à une date ultérieure.
Le problème c'est que dès que je choisis le mode sans échec ou l'invite de commande mon pc redémarre tout seul.

Je vous ecris de mon iphone et j'ai une clé usb à disposition.

Merci d'avance



11 réponses

Réponse 1 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 11:12
Salut,

Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263

Si tu es sur Windows Seven/8, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.




Si la restauration est impossible :

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionne
0
Réponse 2 / 11
Nextcara
24 mai 2013 à 11:39
Bonjour,

La restauration m'etant impossible sous mon vista car des que je lance mode sans echec ou l'invite de commande mon pc redemarre.

Si je comprends bien il faut que je mette sur ma cle usb ton programme de démarrage.
Il faut que je me procure un autre pc pour faire la gravure...?
0
Réponse 3 / 11
Nextcara
24 mai 2013 à 16:40
Ok j'ai accès à mon lecteur via ma clé usb avec le cd live, j'ai effectué roguekiller mais apres redemarrage ukash est toujours là.

Voici un rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:37:38, on 2013-05-24
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
X:\windows\System32\smss.exe
X:\windows\system32\csrss.exe
X:\windows\system32\wininit.exe
X:\windows\system32\csrss.exe
X:\windows\system32\winlogon.exe
X:\windows\system32\services.exe
X:\windows\system32\lsass.exe
X:\windows\system32\lsm.exe
X:\windows\system32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\system32\winpeshl.exe
X:\Program Files\PEShell\PEShell.exe
X:\windows\explorer.exe
X:\windows\system32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\System32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\system32\svchost.exe
X:\windows\system32\wbengine.exe
X:\windows\system32\msiexec.exe
X:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
X:\windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.malekal.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O20 - AppInit_DLLs: SPEHook.dll
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - X:\windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\sacsvr.dll,-500 (sacsvr) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - X:\windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - X:\windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - X:\windows\System32\vds.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - X:\windows\system32\vssvc.exe
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - X:\windows\system32\wbengine.exe
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - X:\windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - X:\windows\system32\wbem\WmiApSrv.exe
0
Réponse 4 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 16:41
Lance OTLPE, indique le dossier Windows et la session infectée.
Fais le scan et donne le rapport, si possible en utilisant http://pjjoint.malekal.com
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Nextcara
24 mai 2013 à 16:47
merci pour la réponse, ci-joint :

http://pjjoint.malekal.com/files.php?id=OTL_20130524_u8c10h5p12q15
0
Réponse 6 / 11
Nextcara
24 mai 2013 à 17:27
dois-je également faire un spybot search and destroy ?
0
Réponse 7 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 17:31
Non c'est de la m*rde Spybot.


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\Armen_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Armen\Documents\53e59f7e.exe ()
[2012-01-11 09:09:40 | 000,066,407 | ---- | C] () -- C:\Users\Armen\AppData\Roaming\msconfig.dat
[2011-12-24 21:16:42 | 000,000,008 | ---- | C] () -- C:\Users\Armen\AppData\Roaming\j38oofklcbrtxn8w.dat
[2013-05-24 10:43:37 | 000,436,865 | ---- | M] () -- C:\Users\Armen\AppData\Roaming\2433f433
[2013-05-24 10:43:36 | 000,436,798 | ---- | M] () -- C:\Users\Armen\AppData\Local\2433f433
[2013-05-24 10:43:11 | 000,037,376 | ---- | M] () -- C:\Users\Armen\Documents\53e59f7e.dll
[2013-05-24 10:43:04 | 000,037,376 | ---- | M] () -- C:\Users\Armen\Documents\53e59f7e.exe
O20 - HKU\Armen_ON_C Winlogon: Shell - (cmd.exe) - cmd.exe (Microsoft Corporation)

* redemarre le pc sous windows et poste le rapport ici


Regarde si tu as le bureau.
Si tu as une fenetre noire, invites de commandes, dis le nous :)
0
Réponse 8 / 11
Nextcara
24 mai 2013 à 17:34
========== OTL ==========
Registry value HKEY_USERS\Armen_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx deleted successfully.
C:\Users\Armen\Documents\53e59f7e.exe moved successfully.
C:\Users\Armen\AppData\Roaming\msconfig.dat moved successfully.
C:\Users\Armen\AppData\Roaming\j38oofklcbrtxn8w.dat moved successfully.
C:\Users\Armen\AppData\Roaming\2433f433 moved successfully.
C:\Users\Armen\AppData\Local\2433f433 moved successfully.
C:\Users\Armen\Documents\53e59f7e.dll moved successfully.
File C:\Users\Armen\Documents\53e59f7e.exe not found.
Registry value HKEY_USERS\Armen_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:cmd.exe deleted successfully.

OTLPE by OldTimer - Version 3.1.29.0 log created on 05242013_173404
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 17:36
redémarre sur ton Windows.
0
Réponse 9 / 11
Nextcara
24 mai 2013 à 17:38
J'ai de nouveau accès a l'invite, dois-je faire rstrui.exe ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 17:41
non
tape explorer.exe pusi entrée
ça va ouvrir le bureau.

Menu Démarrer et tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell

Redémarre l'ordinateur
0
Réponse 10 / 11
Nextcara
24 mai 2013 à 17:52
J'ai de nouveau accès à mon bureau après ta manipulation.

Est-ce finis ou dois-je faire autre chose ?

Dans les 2 cas merci beaucoup !
0
Réponse 11 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
24 mai 2013 à 17:54
Passe un coup de Roguekiller sur le PC.

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
convocation gendarmerie sans motif
david 38 -
BmV -

27 réponses
Appel de là-bas gendarmerie par un 06
Sabibi -
Aranud87 -

2 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses