Votre question

Virus Gendarmerie Française UKASH

Tags :
  • Virus
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juin 2012 12:43:41

J'ai récupéré ce virus sur mon PC fixe sous XP Pro, tous les profils utilisateurs sont bloqués, impossible de démarrer en mode sans échec, impossible d'accéder à l'invite ligne de commande.
J'ai booté avec un cd REATOGO et fait tourner OLTPE rapport ici:
http://pjjoint.malekal.com/files.php?id=20120606_c7y14t...

Que dois-je faire ensuite ?

Merci d'avance pour votre aide

Autres pages sur : virus gendarmerie francaise ukash

a c 614 8 Sécurité
6 Juin 2012 20:01:15

Bonsoir,

On va en priorité permettre le fonctionnement en mode normal, puis au besoin on continuera la désinfection :

Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"



    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\pkg0u.exe ()
    O4 - HKU\Invité_ON_C..\Run: [Cognac] File not found
    O4 - HKU\Invité_ON_C..\Run: [ColdWare] File not found
    O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Reg Error: Key error.)
    [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\Invité\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Invité\Local Settings\Application Data\*.tmp -> ]
    [2012/06/05 16:23:46 | 000,134,656 | ---- | M] () -- C:\WINDOWS\System32\pkg0u.exe
    @Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:88050731
    @Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 107 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:C31F31E6

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Normalement après ceci le pc devrait pouvoir redémarrer en mode normal, dis-moi si c’est ok, on poursuivra.
    :jap: 
    6 Juin 2012 21:09:53

    hyunkel30 a dit :
    Bonsoir,

    On va en priorité permettre le fonctionnement en mode normal, puis au besoin on continuera la désinfection :

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"



    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\pkg0u.exe ()
    O4 - HKU\Invité_ON_C..\Run: [Cognac] File not found
    O4 - HKU\Invité_ON_C..\Run: [ColdWare] File not found
    O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Reg Error: Key error.)
    [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\Invité\Local Settings\Application Data\*.tmp files -> C:\Documents and Settings\Invité\Local Settings\Application Data\*.tmp -> ]
    [2012/06/05 16:23:46 | 000,134,656 | ---- | M] () -- C:\WINDOWS\System32\pkg0u.exe
    @Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:88050731
    @Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 107 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:C31F31E6

    :Commands
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Normalement après ceci le pc devrait pouvoir redémarrer en mode normal, dis-moi si c’est ok, on poursuivra.
    :jap: 


  • Merci beaucoup, j'ai suivi la procédure et ai pu redémarrer en mode normal, par contre j'ai maintenant un autre souci, Xp a une apparence un peu bizarre (par exemple la barre des tâches en bas de l'écran est gris clair au lieu de bleue et les connexions réseau et internet ont disparu, j'ai aussi un message m'indiquant que ma copie de XP n'a pas été activée ..sic!

    Le gestionnaire des périphériques est vide et mes cartes réseaux wifi et éthernet) ne semblent pas fonctionner.

    Voilà le fichier créé par OTLPE
    ]http://pjjoint.malekal.com/files.php?id=20120606_p10h9s5f10k1]
    Contenus similaires
    a c 614 8 Sécurité
    6 Juin 2012 22:19:10

    Re,

    En fait comme je disais, nous n'en avons pas terminé, loin de là ;) 

    Ton lien est illisible, tu pourras le ré-héberger ou vérifier l'url postée ?

    à faire maintenant :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    6 Juin 2012 22:52:52

    Ok merci, je le fais de suite, pour le lien je le remet: http://pjjoint.malekal.com/files.php?id=20120606_p10h9s...

    Pour les problèmes d'apparence Windows et l'absence de connexions internet c'est tout simplement que la plupart des Services étaient désactivés, je les ai remis en route et tout va bien maintenant du moins en apparence.

    A plus tard Hyunkel et merci encore
    6 Juin 2012 23:35:24

    ça fait 3/4 d'heure que j'ai démarré comboFix et il m'a bien demandé de télécharger la console de récupération, j'ai accepté mais après la disparition de la barre de défilement du téléchargement est apparue la phrase "Recherche de fichiers infectés...Ceci ne prend généralement pas plus de 10 mn, le temps d'analyse d'une machine sévérement infectée peut facilement doubler" et depuis plus rien ne bouge.
    Moi ça fait pas 10 mais 45 mn que rien ne se passe à part la petite diode du disque dur qui clignote, c'est normal ?
    a c 614 8 Sécurité
    7 Juin 2012 11:16:43

    Re,

    Où en es-tu ? Combofix tourne toujours ou pas ?
    Le pc semble bloqué ou non ?
    8 Juin 2012 15:39:05

    hyunkel30 a dit :
    Re,

    Où en es-tu ? Combofix tourne toujours ou pas ?
    Le pc semble bloqué ou non ?


    J'ai laissé tourner Combox fix toute la nuit mais il semble qu'il n'ait rien fait, je ne pouvais plus faire bouger le pointeur j'ai fini par éteindre le PC avec le bouton M/A et par redémarrer. Je n'ai aucun rapport d'activité de combofix. Actuellement le PC fonctionne bien.
    a c 614 8 Sécurité
    8 Juin 2012 20:11:30

    Re,

    Ok, regarde s'il n'a pas quand même crée un rapport ici :
    C:\Combofix.txt

    (donc tu fais "poste de travail" puis tu doubles-clique sur "C:" )

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS