virus ukash interpol 2014-04-26T11:56:39+00:00

Dépannage Informatique : virus ukash interpol

  • Auteur
    Messages
  • interpol
    Participant
    Nombre d'articles : 17

    Bonjour à tous,

    Mon pc qui tourne sur seven 7 – 64 a été infecté par le virus ukash interpol.

    J’ai essayé de le nettoyer par roguekiller mais cela n’a pas fonctionné.

    Impoossible d’utiliser les programmes sous windows .

    Merci de me depanner.

    Leo

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue parmi nous ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Le PC démarre-t-il en mode normal, ou bien y a-t-il toujours la page interpol qui apparaît ?
    Aussi, pourrais-tu me fournir les rapports de RogueKiller si tu en as la possibilité ? Ils sont normalement sur ton bureau sous la forme :

    • RKreport[0]_S_Date_Heure.txt
    • RKreport[0]_D_Date_Heure.txt

  • interpol
    Participant
    Nombre d'articles : 17

    Merci pour ton aide

    Mon PC demarre en mode normal, mais des que le bureau apparait il se bloque sur la page ukash

    RogueKiller V8.8.15 _x64_ [Mar 27 2014] par Adlice Software
    mail : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontees : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site Web : http://www.surlatoile.org/RogueKiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Systeme d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : SYSTEM [Droits d’admin]
    Mode : Recherche — Date : 04/26/2014 14:43:20
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [user][HJNAME] vrei1e.lnk : D:UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupvrei1e.lnk @X:WindowsSystem32rundll32.exe C:PROGRA~3299219~1e1ierv.cpp,work [-][7][x] -> TROUVÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> D:windowssystem32configSYSTEM | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSOFTWARE | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSECURITY | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:UsersDefaultNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – NOT_FOUND]
    -> D:UsersuserNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    –>

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\.PHYSICALDRIVE0 @ IDE) +++++
    — User —
    [MBR] c3d22b3261b9f95c7c0e1b36a3f580b8
    [BSP] 2347ef6f13c3d38283f9144a7837e81c : Windows 7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 465513 MB
    2 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 953577472 | Size: 11325 MB
    User = LL1 … OK!
    User = LL2 … OK!

    +++++ PhysicalDrive1: (\.PHYSICALDRIVE1 @ USB) +++++
    Error reading User MBR! ([0x15] Le périphérique n?est pas prêt. )
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: (\.PHYSICALDRIVE2 @ USB) USB DISK Pro USB Device +++++
    — User —
    [MBR] 163a0f2aa3f0b07e0699f7d26927ae28
    [BSP] 9917d84d53adbfa8ed46e541bab0e455 : MBR Code unknown
    Partition table:
    0 – [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 117 MB
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    Termine : <>

    RogueKiller V8.8.15 _x64_ [Mar 27 2014] par Adlice Software
    mail : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontees : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site Web : http://www.surlatoile.org/RogueKiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Systeme d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : SYSTEM [Droits d’admin]
    Mode : Suppression — Date : 04/26/2014 14:55:07
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [user][HJNAME] vrei1e.lnk : D:UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupvrei1e.lnk @X:WindowsSystem32rundll32.exe C:PROGRA~3299219~1e1ierv.cpp,work [-][7][x] -> SUPPRIMÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> D:windowssystem32configSYSTEM | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSOFTWARE | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSECURITY | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:UsersDefaultNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – NOT_FOUND]
    -> D:UsersuserNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    –>

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\.PHYSICALDRIVE0 @ IDE) +++++
    — User —
    [MBR] c3d22b3261b9f95c7c0e1b36a3f580b8
    [BSP] 2347ef6f13c3d38283f9144a7837e81c : Windows 7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 465513 MB
    2 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 953577472 | Size: 11325 MB
    User = LL1 … OK!
    User = LL2 … OK!

    +++++ PhysicalDrive1: (\.PHYSICALDRIVE1 @ USB) +++++
    Error reading User MBR! ([0x15] Le périphérique n?est pas prêt. )
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: (\.PHYSICALDRIVE2 @ USB) USB DISK Pro USB Device +++++
    — User —
    [MBR] 163a0f2aa3f0b07e0699f7d26927ae28
    [BSP] 9917d84d53adbfa8ed46e541bab0e455 : MBR Code unknown
    Partition table:
    0 – [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 117 MB
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    Termine : <>

  • guugues
    Participant
    Nombre d'articles : 572

    D’accord, alors on va utiliser un logiciel sous l’environnement de récupération : FRST.

    Pour ce faire, applique la procédure indiquée dans ce tutoriel (tu téléchargeras FRST 64 bits).

    Tu hébergeras le rapport FRST.txt en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse. 😉

    ++

  • interpol
    Participant
    Nombre d'articles : 17

    J’ai téléchargé frst64 avec un message disant qu’il pouvait nuire à mon ordinateur.

    Je vais tout de même le tester sur mon ordinateur infecté et je reviens poste le rapport.

    Merci pour tout

  • guugues
    Participant
    Nombre d'articles : 572

    @interpol wrote:

    J’ai téléchargé frst64 avec un message disant qu’il pouvait nuire à mon ordinateur.

    Pas de soucis pour ça. 😉

  • interpol
    Participant
    Nombre d'articles : 17

    Jai effectué le scan avec frst64 et voici le rapport

    http://cjoint.com/?DDAs4N6pf3Q” onclick=”window.open(this.href);return false;

    encore merci

  • guugues
    Participant
    Nombre d'articles : 572

    Impeccable ! 😉

    J’analyse ton rapport ! 😉

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Ton PC est lourdement infecté : il y a également un Rootkit ZeroAccess présent.

    FRST-WinRE – Fix :

    A partir d’un PC fonctionnel :

    • Connecte la clé USB contenant FRST64.
    • Télécharge la pièce jointe suivante et place-la sur la clé USB (au même endroit que FRST64) :

    [attachment=0:1achf9bk]fixlist.txt[/attachment:1achf9bk]

    • Retire la clé USB.

    A partir du PC infecté :

    • Insère la clé USB dans le PC infecté.
    • Démarre le PC.
    • Tapote sur la touche F8 jusqu’à l’apparition des options de démarrage avancées.
    • Utilise les flèches du clavier pour sélectionner Réparer l’ordinateur :

    • Choisis Français comme langue puis clique sur Suivant.
    • Sélectionne le système d’exploitation à réparer, puis clique sur Suivant.
    • Sélectionne ton compte d’utilisateur et clique sur Suivant.
    • Entre ton mot de passe de session si demandé.
    • Un menu apparaît : sélectionne Invite de commandes :

    • Dans la fenêtre de commande, tape notepad et valide par Entrée.
    • Le Bloc-notes s’ouvre. Clique sur Fichier puis sur Ouvrir….
    • Clique sur Ordinateur, chercher la lettre associée à la clé USB sur laquelle est installé FRST64.
    • Ferme le Bloc-notes.
    • Dans la fenêtre de commande, tape e:frst64.exe et valide par Entrée.

    A noter : Remplace la lettre e par la lettre associée à ta clé USB.

    • Le logiciel se lance.
    • Clique sur le bouton Fix :

    • Un rapport du nom de Fixlog.txt sera créé sur la clé USB.
    • Tu peux donc éteindre le PC infecté, débrancher la clé puis la connecter au PC fonctionnel.
    • Héberge ainsi le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est donc attendu le rapport de FRST.

  • interpol
    Participant
    Nombre d'articles : 17

    Voila j’ai effectué le fix

    http://cjoint.com/?DDAuBIFUtSd” onclick=”window.open(this.href);return false;

    A+

  • guugues
    Participant
    Nombre d'articles : 572

    Très bien ! Normalement tu n’as plus de soucis avec le Ransomware ?

    On passe à la suite : on va établir un diagnostic pour voir où on en est (il nous reste le Rootkit à traiter + toutes les autres infections qui vont avec ):

    OTL – Analyse :

    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %SystemRoot%Installer* /s
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.



    Sont donc attendus les 2 rapports de OTL.

  • interpol
    Participant
    Nombre d'articles : 17

    Je te joins les deux fichiers txt

    http://cjoint.com/?DDAvtHCc3Vu” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDAvuS3DrBB” onclick=”window.open(this.href);return false;

    merci

  • guugues
    Participant
    Nombre d'articles : 572

    Parfait ! 😉

    Je regarde tes rapports dans la soirée et je reviens vers toi. 😉

    ++

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 🙂

    Encore pas mal de choses à fixer :

    1- OTL – Correction :

    • Relance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d’OTL.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Correction. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Le rapport est sauvegardé ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- TDSSKiller :

    • Télécharge TDSSKiller sur ton bureau.
    • Lance TDSSKiller.

    Sous Windows Vista/Seven/8, clique droit sur TDSSKiller puis Exécuter en tant qu’administrateur

    • Une fois le logiciel ouvert, clique sur Change parameters.

    • Coche la case Loaded modules : un redémarrage est demandé, accepte en cliquant sur Reboot now.

    • L’ordinateur redémarre. Au redémarrage, TDSSKiller se relance automatiquement.
    • Clique de nouveau sur Change parameters.
    • Coche les cases Verify file digital signatures et Detect TDLFS file system.
    • Assure-toi que la case Use KSN to scan objects soit cochée.
    • Valider par OK.

    • Clique sur Start scan pour lancer l’analyse. Laisse l’outil travailler sans l’interrompre.

    • Si l’outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l’outil pour l’action à effectuer et vérifie bien ceci :

    Si TDSS.tdl2 est détecté, assure toi que Delete est sélectionné.
    Si TDSS.tdl3 est détecté, assure toi que Cure est sélectionné.
    Si TDSS.tdl4 est détecté, assure toi que Cure est sélectionné.
    Si Suspicious objects est indiqué, assure toi que Skip est sélectionné.
    Si un fichier du type C:Windows123456789:987654321.exe (C:Windowschiffres_aléatoires:chiffres_aléatoires.exe) est détecté, assure toi que Delete est sélectionné.
    Si un fichier TDSS File System est détecté, assure toi que Delete est sélectionné.

    • Clique sur Continue puis sur Reboot computer si l‘outil te le demande.
    • Un rapport sera créé ici : C:TDSSKillerVersion_Date_Heure_log.txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    3- Malwarebytes Anti-Rootkit :

    Sous Windows Vista/Seven/8, clique droit sur mbar-xxx.exe puis Exécuter en tant qu’administrateur

    • Une fenêtre apparaît. Clique sur le bouton Ok.
    • Un dossier mbar est créé sur le bureau et l’application se lance automatiquement.
    • Dans la fenêtre, clique sur le bouton Next.
    • Clique sur le bouton Update pour mettre à jour le logiciel.
    • Puis clique sur le bouton Next.

    • Clique ensuite sur le bouton Scan pour démarrer l’analyse.
    • Patiente sans toucher au PC.
    • Si des infections sont trouvées, clique sur le bouton Next puis sur le bouton Cleanup.
    • Redémarre le PC si demandé :

    • Sinon, clique sur le bouton Exit.
    • 2 rapports sont créés dans le dossier mbar : mbar-log-date (heure).txt et system-log.txt.
    • Héberge ces rapports en utilisant le site Cjoint.com pour poster les liens dans ta prochaine réponse.

    4- Farbar Service Scanner :

    Sous Windows Vista/Seven/8, cliquer droit sur FSS puis Exécuter en tant qu’administrateur

    • Cocher toutes les cases :

    • Cliquer sur le bouton Scan.
    • Une fois le scan terminé, un rapport s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau sous le nom de FSS.txt.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de OTL, TDSSKiller, MBAR et FSS.

  • interpol
    Participant
    Nombre d'articles : 17

    Bonjour,

    Tu trouveras ci-dessous les liens générés

    http://cjoint.com/?DDBk0WLayE7” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlLhDosoF” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlLRlYYGL” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlJXhhJBt” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlJsRNOno” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlIje7LLD” onclick=”window.open(this.href);return false;

    Merci et A+

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 🙂

    Impeccable, plus de Rootkit ZeroAccess désormais ! 😉 Par contre, les services associés au centre de sécurité ainsi qu’à Windows Update ne sont pas en cours d’exécution, ce qui devrait être le cas. Alors fais les manipulations suivantes :

    1- Eset Services Repair :

    • Télécharge Eset Services Repair sur ton bureau.
    • Ferme toutes les applications en cours (dont Internet).
    • Lance le logiciel.

    Sous Windows Vista/Seven/8, cliquer droit sur ServicesRepair puis Exécuter en tant qu’administrateur

    • Un message apparaît : clique sur Oui pour confirmer l’exécution du logiciel.
    • L’outil commence alors les réparations : patiente sans toucher au PC.
    • Une fois les réparations terminées, le logiciel propose de redémarrer le PC : accepter en cliquant sur Oui.
    • Une fois le PC redémarré, un dossier du nom de CC Support est présent sur le bureau.
    • Le rapport généré par le logiciel est présent à cet endroit : CC SupportLogsSvcRepair.txt
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- Farbar Service Scanner :

    • Relance FSS.

    Sous Windows Vista/Seven/8, clique droit sur FSS puis Exécuter en tant qu’administrateur

    • Coche toutes les cases :

    • Clique sur le bouton Scan.
    • Une fois le scan terminé, un rapport s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau sous le nom de FSS.txt.
    • Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.



    Sont attendus les rapports de Eset Services Repair et FSS .

  • interpol
    Participant
    Nombre d'articles : 17

    Bonsoir,

    Voila les deux rapports

    http://cjoint.com/?DDBsW5z2E14” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBsYfjfoNW” onclick=”window.open(this.href);return false;

    :merci2: A+

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 🙂

    Impeccable cette fois-ci ! 😉 On continue la désinfection, car :

    Ton PC est aussi infecté par des PUP / Adwares, qui ont les caractéristiques d’afficher des pubs intempestives, de collecter tes habitudes de navigation et d’installer des toolbars , car tu n’es pas assez vigilant(e) lors de l’installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l’installation.

    Afin d’éviter ce genre d’infections, quelques recommandations :

    En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

    Ne télécharge donc pas tes logiciels sur des sites comme Softonic ou 01.net.

    Prends connaissance de ce qui est indiqué lors de l’installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

    A lire impérativement : Stop les publicités intempestives


    Désinstalle le logiciel suivant via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Malwarebytes Anti-Malware version 1.75.0.1300 (obsolète, nous utiliserons la nouvelle version)

    1- AdwCleaner – Nettoyage :

    • Télécharge AdwCleaner sur ton bureau.
    • Lance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S0].txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- Shortcut_Module :

    Sous Windows Vista/Seven/8, clique droit sur Shortcut_Module puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Nettoyer :

    • Si l’outil détecte un proxy que tu ne connais pas, clique alors sur Supprimer le proxy.
    • Le PC va redémarrer.
    • Une fois le PC redémarré, un rapport est généré ici : C:Shortcut_Module_ Date_Heure.
    • Héberge ce rapport sur cjoint.com puis poste moi le lien dans ta prochaine réponse.



    Sont attendus les rapports de AdwCleaner et Shortcut_Module.

  • interpol
    Participant
    Nombre d'articles : 17

    Bonsoir,

    Ci-dessous les deux rapports.

    http://cjoint.com/?DDBuISMHs2r” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBuHg67twL” onclick=”window.open(this.href);return false;

    Merci

  • guugues
    Participant
    Nombre d'articles : 572

    Re !

    Parfait ! 😉 La suite :

    Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware sur ton bureau.
    • Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
    • Lors de l’installation, décoche la case Activer l’essai gratuit de Malwarebytes Anti-Malware Premium.
    • Clique sur le bouton Terminer. Le logiciel démarre.
    • Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
    • Dans l’onglet Détection et protection, configure le logiciel comme ci-dessous :

    • Dans l’onglet Examen, coche la case Examen « Menaces » :

    • Clique alors sur Examiner maintenant :

    • Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

    • Le logiciel se met à jour et l’analyse commence. Cela peut prendre un certain temps.
    • Laisse travailler l’outil sans l’interrompre, jusqu’à ce que l’analyse soit terminée.
    • Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

    • Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

    • Attribue au fichier le nom de mbam puis clique sur Enregistrer.
    • Le rapport est disponible ici : C:mbam.txt.
    • Si l’outil t’a demandé de redémarrer le PC, fais-le de suite.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de Malwarebytes.

  • interpol
    Participant
    Nombre d'articles : 17

    Re

    http://cjoint.com/?DDBvvWAggtO” onclick=”window.open(this.href);return false;

    Merci

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Impeccable tout ça ! 🙂

    Comment se comporte le PC désormais ?

    On passe au contrôle des mises à jour des logiciels sensibles :

    SX Check&Update :

    • Télécharge SX Check&Update sur ton bureau.
    • Si l’antivirus émet des alertes, désactive-le temporairement.
    • Lance sxcu.exe.

    Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu’administrateur

    • Clique ensuite sur le bouton Rapport :

    • Un rapport, du nom de rapport_SX.txt, s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de SXCU.

  • interpol
    Participant
    Nombre d'articles : 17

    Bonjour,

    Mon PC se comporte plutôt bien, il a fait 52 mises à jour.

    http://cjoint.com/?DDCseIKRFNg” onclick=”window.open(this.href);return false;

    merci :superman: 🙂

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Adobe Flash Player ainsi que Java ne sont pas à jour sur ce PC. Pour info :

    Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu’ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

    Il faut donc les maintenir à jour très régulièrement.

    Les ransomwares comme celui que tu as eu exploitent justement ces failles de sécurité pour se propager et s’installer sur un PC, d’où la nécessité de maintenir à jour ces programmes.


    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Adobe FlashPlayer Plugin 12 (obsolète)
    • Java 7 Update 9 (obsolète)
    • Java 7 Update 51 (obsolète)

    Puis :

    • Lance Internet Explorer.
    • Lance Google Chrome.
    • Avec chacun des 2 navigateurs ouverts, télécharge et installe la dernière version de Adobe Flash Player via cette page.

    Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :

    Puis télécharge la dernière version de Java via le site officiel.

    Pense à décocher les cases pré-sélectionnées, comme ici avec Ask :


    Après cela, fais la manipulation suivante :

    SFTGC – Nettoyage des fichiers temporaires :

    • Télécharge SFTGC sur ton bureau.
    • Lance SFTGC.exe.

    Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu’administrateur

    • Le logiciel s’initialise puis s’ouvre.
    • Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

    • Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est donc attendu le rapport de SFTGC.

  • interpol
    Participant
    Nombre d'articles : 17

    bonsoir

    http://cjoint.com/?DDCvUiZoV8h” onclick=”window.open(this.href);return false;

    A+ 😉

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 🙂

    Parfait ! Si tu n’as plus de soucis, on peut donc finaliser :

    Purge de la restauration système / Suppression des outils de désinfection :

    • Télécharge DelFix sur ton bureau.
    • Lance Delfix.

    Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu’administrateur

    • Coche la case Réactiver l’UAC (grisée sous Windows XP).
    • Coche la case Supprimer les outils de désinfection.
    • Coche la case Purger la restauration système.
    • Coche la case Réinitialisation des paramètres système.
    • Enfin, clique sur Exécuter :

    • Le rapport est ici : C:Delfix.txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    =====================================================================================================

    La procédure de désinfection est désormais terminée. Je te remercie de l’avoir suivie jusqu’au bout.
    Je t’invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.

    =====================================================================================================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Tenir à jour Windows, les navigateurs et les programmes installés

    Analyser régulièrement l’ordinateur

    Bloquer les publicités, potentiellement dangereuses

    Savoir si un site web possède une bonne ou mauvaise réputation

    Éviter d’être de nouveau infecté

    Les pratiques à éviter

    [fin2desinf:1r1vfjl1][/fin2desinf:1r1vfjl1]

    Si tu as des questions, n’hésite pas ! 😉



    Est donc attendu le rapport de DelFix.

  • interpol
    Participant
    Nombre d'articles : 17

    Bonsoir,

    ci-joint le dernier rapport

    http://cjoint.com/?DDCxqif4j8o” onclick=”window.open(this.href);return false;

    Je tenais à te remercier pour ton efficacité, la clarté de tes explications, les conseils prodigués.

    Continues dans cette voie.

    A bientôt peut-être

    :merci2: :bye:

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Juste une dernière question : tu avais supprimé la plupart des outils de désinfection toi-même ? (car DelFix n’a fait que supprimer le dossier associé à FRST).
    Pour le reste, c’est bon ! 😉

    Je tenais à te remercier pour ton efficacité, la clarté de tes explications, les conseils prodigués.

    Continues dans cette voie.

    Merci bien ! 😉 Bonne continuation à toi aussi. 😉

    A bientôt peut-être

    A bientôt, mais pas dans ces circonstances ! ^^

    ++

Le sujet ‘virus ukash interpol’ est fermé à de nouvelles réponses.