15 sujets de 1 à 15 (sur un total de 28)
  • Auteur
    Messages
  • interpol
    Participant
    Nombre d'articles : 19

    Bonjour à tous,

    Mon pc qui tourne sur seven 7 – 64 a été infecté par le virus ukash interpol.

    J’ai essayé de le nettoyer par roguekiller mais cela n’a pas fonctionné.

    Impoossible d’utiliser les programmes sous windows .

    Merci de me depanner.

    Leo

    guugues
    Participant
    Nombre d'articles : 573

    Hello et bienvenue parmi nous ! ;)

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Le PC démarre-t-il en mode normal, ou bien y a-t-il toujours la page interpol qui apparaît ?
    Aussi, pourrais-tu me fournir les rapports de RogueKiller si tu en as la possibilité ? Ils sont normalement sur ton bureau sous la forme :

    • RKreport[0]_S_Date_Heure.txt
    • RKreport[0]_D_Date_Heure.txt

    interpol
    Participant
    Nombre d'articles : 19

    Merci pour ton aide

    Mon PC demarre en mode normal, mais des que le bureau apparait il se bloque sur la page ukash

    RogueKiller V8.8.15 _x64_ [Mar 27 2014] par Adlice Software
    mail : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontees : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site Web : http://www.surlatoile.org/RogueKiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Systeme d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : SYSTEM [Droits d’admin]
    Mode : Recherche — Date : 04/26/2014 14:43:20
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [user][HJNAME] vrei1e.lnk : D:UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupvrei1e.lnk @X:WindowsSystem32rundll32.exe C:PROGRA~3299219~1e1ierv.cpp,work [-][7][x] -> TROUVÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> D:windowssystem32configSYSTEM | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSOFTWARE | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSECURITY | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:UsersDefaultNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – NOT_FOUND]
    -> D:UsersuserNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    –>

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\.PHYSICALDRIVE0 @ IDE) +++++
    — User —
    [MBR] c3d22b3261b9f95c7c0e1b36a3f580b8
    [BSP] 2347ef6f13c3d38283f9144a7837e81c : Windows 7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 465513 MB
    2 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 953577472 | Size: 11325 MB
    User = LL1 … OK!
    User = LL2 … OK!

    +++++ PhysicalDrive1: (\.PHYSICALDRIVE1 @ USB) +++++
    Error reading User MBR! ([0x15] Le périphérique n?est pas prêt. )
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: (\.PHYSICALDRIVE2 @ USB) USB DISK Pro USB Device +++++
    — User —
    [MBR] 163a0f2aa3f0b07e0699f7d26927ae28
    [BSP] 9917d84d53adbfa8ed46e541bab0e455 : MBR Code unknown
    Partition table:
    0 – [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 117 MB
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    Termine : <>

    RogueKiller V8.8.15 _x64_ [Mar 27 2014] par Adlice Software
    mail : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontees : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site Web : http://www.surlatoile.org/RogueKiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Systeme d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : SYSTEM [Droits d’admin]
    Mode : Suppression — Date : 04/26/2014 14:55:07
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK][PUM] HKLM[…]NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [user][HJNAME] vrei1e.lnk : D:UsersuserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupvrei1e.lnk @X:WindowsSystem32rundll32.exe C:PROGRA~3299219~1e1ierv.cpp,work [-][7][x] -> SUPPRIMÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> D:windowssystem32configSYSTEM | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSOFTWARE | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:windowssystem32configSECURITY | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]
    -> D:UsersDefaultNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – NOT_FOUND]
    -> D:UsersuserNTUSER.DAT | DRVINFO [Drv – D:] | SYSTEMINFO [Sys – C:] [Sys32 – FOUND] | USERINFO [Startup – FOUND]

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    –>

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\.PHYSICALDRIVE0 @ IDE) +++++
    — User —
    [MBR] c3d22b3261b9f95c7c0e1b36a3f580b8
    [BSP] 2347ef6f13c3d38283f9144a7837e81c : Windows 7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 465513 MB
    2 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 953577472 | Size: 11325 MB
    User = LL1 … OK!
    User = LL2 … OK!

    +++++ PhysicalDrive1: (\.PHYSICALDRIVE1 @ USB) +++++
    Error reading User MBR! ([0x15] Le périphérique n?est pas prêt. )
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: (\.PHYSICALDRIVE2 @ USB) USB DISK Pro USB Device +++++
    — User —
    [MBR] 163a0f2aa3f0b07e0699f7d26927ae28
    [BSP] 9917d84d53adbfa8ed46e541bab0e455 : MBR Code unknown
    Partition table:
    0 – [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 117 MB
    User = LL1 … OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    Termine : <>

    guugues
    Participant
    Nombre d'articles : 573

    D’accord, alors on va utiliser un logiciel sous l’environnement de récupération : FRST.

    Pour ce faire, applique la procédure indiquée dans ce tutoriel (tu téléchargeras FRST 64 bits).

    Tu hébergeras le rapport FRST.txt en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse. ;)

    ++

    interpol
    Participant
    Nombre d'articles : 19

    J’ai téléchargé frst64 avec un message disant qu’il pouvait nuire à mon ordinateur.

    Je vais tout de même le tester sur mon ordinateur infecté et je reviens poste le rapport.

    Merci pour tout

    guugues
    Participant
    Nombre d'articles : 573

    @interpol wrote:

    J’ai téléchargé frst64 avec un message disant qu’il pouvait nuire à mon ordinateur.

    Pas de soucis pour ça. ;)

    interpol
    Participant
    Nombre d'articles : 19

    Jai effectué le scan avec frst64 et voici le rapport

    http://cjoint.com/?DDAs4N6pf3Q” onclick=”window.open(this.href);return false;

    encore merci

    guugues
    Participant
    Nombre d'articles : 573

    Impeccable ! ;)

    J’analyse ton rapport ! ;)

    guugues
    Participant
    Nombre d'articles : 573

    Re ! ;)

    Ton PC est lourdement infecté : il y a également un Rootkit ZeroAccess présent.

    FRST-WinRE – Fix :

    A partir d’un PC fonctionnel :

    • Connecte la clé USB contenant FRST64.
    • Télécharge la pièce jointe suivante et place-la sur la clé USB (au même endroit que FRST64) :

    [attachment=0:1achf9bk]fixlist.txt[/attachment:1achf9bk]

    • Retire la clé USB.

    A partir du PC infecté :

    • Insère la clé USB dans le PC infecté.
    • Démarre le PC.
    • Tapote sur la touche F8 jusqu’à l’apparition des options de démarrage avancées.
    • Utilise les flèches du clavier pour sélectionner Réparer l’ordinateur :

    • Choisis Français comme langue puis clique sur Suivant.
    • Sélectionne le système d’exploitation à réparer, puis clique sur Suivant.
    • Sélectionne ton compte d’utilisateur et clique sur Suivant.
    • Entre ton mot de passe de session si demandé.
    • Un menu apparaît : sélectionne Invite de commandes :

    • Dans la fenêtre de commande, tape notepad et valide par Entrée.
    • Le Bloc-notes s’ouvre. Clique sur Fichier puis sur Ouvrir….
    • Clique sur Ordinateur, chercher la lettre associée à la clé USB sur laquelle est installé FRST64.
    • Ferme le Bloc-notes.
    • Dans la fenêtre de commande, tape e:frst64.exe et valide par Entrée.

    A noter : Remplace la lettre e par la lettre associée à ta clé USB.

    • Le logiciel se lance.
    • Clique sur le bouton Fix :

    • Un rapport du nom de Fixlog.txt sera créé sur la clé USB.
    • Tu peux donc éteindre le PC infecté, débrancher la clé puis la connecter au PC fonctionnel.
    • Héberge ainsi le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Est donc attendu le rapport de FRST.

    interpol
    Participant
    Nombre d'articles : 19

    Voila j’ai effectué le fix

    http://cjoint.com/?DDAuBIFUtSd” onclick=”window.open(this.href);return false;

    A+

    guugues
    Participant
    Nombre d'articles : 573

    Très bien ! Normalement tu n’as plus de soucis avec le Ransomware ?

    On passe à la suite : on va établir un diagnostic pour voir où on en est (il nous reste le Rootkit à traiter + toutes les autres infections qui vont avec ):

    OTL – Analyse :

    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %SystemRoot%Installer* /s
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.



    Sont donc attendus les 2 rapports de OTL.

    interpol
    Participant
    Nombre d'articles : 19

    Je te joins les deux fichiers txt

    http://cjoint.com/?DDAvtHCc3Vu” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDAvuS3DrBB” onclick=”window.open(this.href);return false;

    merci

    guugues
    Participant
    Nombre d'articles : 573

    Parfait ! ;)

    Je regarde tes rapports dans la soirée et je reviens vers toi. ;)

    ++

    guugues
    Participant
    Nombre d'articles : 573

    Re ! :)

    Encore pas mal de choses à fixer :

    1- OTL – Correction :

    • Relance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d’OTL.

    • Ferme toutes les applications en cours, y compris Internet.
    • Puis clique sur le bouton Correction. Patiente.
    • S’il t’est demandé de redémarrer le PC : accepte.
    • Le rapport est sauvegardé ici : C:_OTLMovedFiles sous la forme date_heure.log.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- TDSSKiller :

    • Télécharge TDSSKiller sur ton bureau.
    • Lance TDSSKiller.

    Sous Windows Vista/Seven/8, clique droit sur TDSSKiller puis Exécuter en tant qu’administrateur

    • Une fois le logiciel ouvert, clique sur Change parameters.

    • Coche la case Loaded modules : un redémarrage est demandé, accepte en cliquant sur Reboot now.

    • L’ordinateur redémarre. Au redémarrage, TDSSKiller se relance automatiquement.
    • Clique de nouveau sur Change parameters.
    • Coche les cases Verify file digital signatures et Detect TDLFS file system.
    • Assure-toi que la case Use KSN to scan objects soit cochée.
    • Valider par OK.

    • Clique sur Start scan pour lancer l’analyse. Laisse l’outil travailler sans l’interrompre.

    • Si l’outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l’outil pour l’action à effectuer et vérifie bien ceci :

    Si TDSS.tdl2 est détecté, assure toi que Delete est sélectionné.
    Si TDSS.tdl3 est détecté, assure toi que Cure est sélectionné.
    Si TDSS.tdl4 est détecté, assure toi que Cure est sélectionné.
    Si Suspicious objects est indiqué, assure toi que Skip est sélectionné.
    Si un fichier du type C:Windows123456789:987654321.exe (C:Windowschiffres_aléatoires:chiffres_aléatoires.exe) est détecté, assure toi que Delete est sélectionné.
    Si un fichier TDSS File System est détecté, assure toi que Delete est sélectionné.

    • Clique sur Continue puis sur Reboot computer si l‘outil te le demande.
    • Un rapport sera créé ici : C:TDSSKillerVersion_Date_Heure_log.txt.
    • Héberge ce rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    3- Malwarebytes Anti-Rootkit :

    Sous Windows Vista/Seven/8, clique droit sur mbar-xxx.exe puis Exécuter en tant qu’administrateur

    • Une fenêtre apparaît. Clique sur le bouton Ok.
    • Un dossier mbar est créé sur le bureau et l’application se lance automatiquement.
    • Dans la fenêtre, clique sur le bouton Next.
    • Clique sur le bouton Update pour mettre à jour le logiciel.
    • Puis clique sur le bouton Next.

    • Clique ensuite sur le bouton Scan pour démarrer l’analyse.
    • Patiente sans toucher au PC.
    • Si des infections sont trouvées, clique sur le bouton Next puis sur le bouton Cleanup.
    • Redémarre le PC si demandé :

    • Sinon, clique sur le bouton Exit.
    • 2 rapports sont créés dans le dossier mbar : mbar-log-date (heure).txt et system-log.txt.
    • Héberge ces rapports en utilisant le site Cjoint.com pour poster les liens dans ta prochaine réponse.

    4- Farbar Service Scanner :

    Sous Windows Vista/Seven/8, cliquer droit sur FSS puis Exécuter en tant qu’administrateur

    • Cocher toutes les cases :

    • Cliquer sur le bouton Scan.
    • Une fois le scan terminé, un rapport s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau sous le nom de FSS.txt.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de OTL, TDSSKiller, MBAR et FSS.

    interpol
    Participant
    Nombre d'articles : 19

    Bonjour,

    Tu trouveras ci-dessous les liens générés

    http://cjoint.com/?DDBk0WLayE7” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlLhDosoF” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlLRlYYGL” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlJXhhJBt” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlJsRNOno” onclick=”window.open(this.href);return false;
    http://cjoint.com/?DDBlIje7LLD” onclick=”window.open(this.href);return false;

    Merci et A+

15 sujets de 1 à 15 (sur un total de 28)
  • Vous devez être connecté pour répondre à ce sujet.