Se connecter / S'enregistrer
Votre question
Résolu

Virus Ukash help! [Résolu]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Octobre 2012 15:08:55

Bonjour,

Hier en surfant sur le Net, une page s'est soudainement affichée, me disant que mon ordinateur est bloqué. Il s'agit d'Ukash, et je ne sais pas comment faire!
J'ai réussi à entrer dans le mode sans échec, avec accès à Internet...

J'ai fait tourner ODL et Roguekiller, je dispose des docs en .txt

Quelqu'un pourrait-il m'aider???

Un tout grand merci!

Autres pages sur : virus ukash help resolu

a c 549 8 Sécurité
17 Octobre 2012 15:46:29

Bonjour,

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

à faire en mode sans échec donc :

1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    17 Octobre 2012 15:51:02

    Ok merci beaucoup!!!
    je fais ça tout de suite et poste les rapports!
    m
    0
    l
    Contenus similaires
    17 Octobre 2012 16:17:23

    Voilà les rapports d'ODL

    http://security-x.fr/up/file.php?h=Rdaefaac2bce20f6b87a...
    et
    http://security-x.fr/up/file.php?h=R17a3b4514772586f810...

    et celui de RogueKiller:

    RogueKiller V8.1.1 [01/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : pc [Droits d'admin]
    Mode : Recherche -- Date : 17/10/2012 10:21:24

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [RUN][SUSP PATH] HKLM\[...]\Run : WinSyncMetastore (C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Windows\3924\WinSyncMetastore.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKLM\[...]\Run : pinse (rundll32.exe "C:\Documents and Settings\pc\Application Data\pinse.dll",HrLPSZCPToBSTR) -> TROUVÉ
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] Desktop.ini : C:\WINDOWS\Assembly\GAC\Desktop.ini --> TROUVÉ
    [ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea\n --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea\@ --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea\L --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHV2080AH +++++
    --- User ---
    [MBR] 4e738c0aaa091e4dfeb8dd2b4895284d
    [BSP] 245204a68892ffca344c2c50070ec252 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    m
    0
    l
    a c 549 8 Sécurité
    17 Octobre 2012 16:49:22

    Re,

    Une raison pour que ce pc ne soit pas à jour avec le service pack 3 ?

    à suivre :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (afg6o8rt)
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Media Player\npViewpoint.dll File not found
    O3 - HKU\S-1-5-21-790525478-1972579041-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
    O3 - HKU\S-1-5-21-790525478-1972579041-839522115-1003\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found.
    O4 - HKLM..\Run: [WinSyncMetastore] C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Windows\3924\WinSyncMetastore.exe ()
    O33 - MountPoints2\{019d47f6-77e6-11e1-8463-00150038aaec}\Shell - "" = AutoRun
    O33 - MountPoints2\{019d47f6-77e6-11e1-8463-00150038aaec}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Svchost.exe
    O33 - MountPoints2\{019d47f6-77e6-11e1-8463-00150038aaec}\Shell\Open\command - "" = RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\Svchost.exe
    O33 - MountPoints2\{032d5fff-fd3a-11dd-8037-00150038aaec}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
    O33 - MountPoints2\{032d5fff-fd3a-11dd-8037-00150038aaec}\Shell\Ouvrir\command - "" = F:\log.exe
    O33 - MountPoints2\{e91db476-fe86-11dd-8038-00150038aaec}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
    O33 - MountPoints2\{e91db476-fe86-11dd-8038-00150038aaec}\Shell\Ouvrir\command - "" = E:\log.exe
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/10/17 14:42:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pc\Application Data\hellomoto
    [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2011/09/14 19:45:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
    [2011/09/14 19:45:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\pc\Application Data\Viewpoint

    :Files
    C:\Documents and Settings\pc\Local Settings\Application Data\Microsoft\Windows\3924
    C:\RECYCLER\S-1-5-21-790525478-1972579041-839522115-1003\$e6133155e440c172bd3d6a7aecd97bea

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    à partir de ce redémarrage, tu dois accédé au mode normal de nouveau, fais-le, sinon, dis-le moi.


    2) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    3)Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    17 Octobre 2012 17:28:58

    Euh.... j'avoue ne pas vraiment être au courant point de vue PC, donc service pack 3...? Je ne sais même pas ce que c'est.
    La bonne nouvelles est que j'ai pu redémarrer mon PC en mode normal :) 

    Rapport d'ODL: http://security-x.fr/up/file.php?h=Rebe1c6ad8e1aad27b1a...




    Rapport de RogueKiller:



    RogueKiller V8.1.1 [01/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : pc [Droits d'admin]
    Mode : Recherche -- Date : 17/10/2012 17:21:21

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[31] : NtConnectPort @ 0x80598768 -> HOOKED (Unknown @ 0x86D790C0)
    IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF738E7C6)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHV2080AH +++++
    --- User ---
    [MBR] 4e738c0aaa091e4dfeb8dd2b4895284d
    [BSP] 245204a68892ffca344c2c50070ec252 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt


    Rapport de FSS:


    Farbar Service Scanner Version: 07-10-2012
    Ran by pc (administrator) on 17-10-2012 at 17:24:13
    Running from "C:\Documents and Settings\pc\Mes documents\Downloads"
    Microsoft Windows XP Professionnel Service Pack 2 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall"=DWORD:0


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============

    Windows Update:
    ============
    wuauserv Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.

    BITS Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.


    Windows Autoupdate Disabled Policy:
    ============================


    File Check:
    ========
    C:\WINDOWS\system32\dhcpcsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0111616 ____A (Microsoft Corporation) B9D04E1839D82A2F512C180177773EEC

    C:\WINDOWS\system32\Drivers\afd.sys
    [2004-08-05 14:00] - [2008-08-14 11:51] - 0138368 ____A (Microsoft Corporation) 55E6E1C51B6D30E54335750955453702

    C:\WINDOWS\system32\Drivers\netbt.sys
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0162816 ____A (Microsoft Corporation) 0C80E410CD2F47134407EE7DD19CC86B

    C:\WINDOWS\system32\Drivers\tcpip.sys
    [2004-08-05 14:00] - [2008-06-20 12:45] - 0360320 ____A (Microsoft Corporation) 2A5554FC5B1E04E131230E3CE035C3F9

    C:\WINDOWS\system32\Drivers\ipsec.sys
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0074752 ____A (Microsoft Corporation) 64537AA5C003A6AFEEE1DF819062D0D1

    C:\WINDOWS\system32\dnsrslvr.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0045568 ____A (Microsoft Corporation) 8D4D8D797CDE07A7EC53C8992BF3E95F

    C:\WINDOWS\system32\ipnathlp.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0332800 ____A (Microsoft Corporation) 24A66112B3428C237B23EFE70D2CF54D

    C:\WINDOWS\system32\netman.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0198144 ____A (Microsoft Corporation) 624CF700BBFD8BE4097AAA146E6BD363

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2008-09-02 15:13] - [2004-08-05 14:00] - 0145408 ____A (Microsoft Corporation) 06156F20B90C6866D724D9EE6792044D

    C:\WINDOWS\system32\srsvc.dll
    [2008-09-02 15:16] - [2004-11-18 01:26] - 0171520 ____A (Microsoft Corporation) A4DEA3ABD4F94C841C9441627931BA28

    C:\WINDOWS\system32\Drivers\sr.sys
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0073600 ____A (Microsoft Corporation) B52181023B827ACDA36C1B76751EBFFD

    C:\WINDOWS\system32\wscsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0081408 ____A (Microsoft Corporation) F4827282722D8EDBE542E2A1CE1678EE

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2008-09-02 15:13] - [2004-08-05 14:00] - 0145408 ____A (Microsoft Corporation) 06156F20B90C6866D724D9EE6792044D

    C:\WINDOWS\system32\wuauserv.dll
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0006656 ____A (Microsoft Corporation) 57FE69B6648E73559552779820FA0827

    C:\WINDOWS\system32\qmgr.dll
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0382464 ____A (Microsoft Corporation) 87424817F82CF6A7F55DAC01A20111A3

    C:\WINDOWS\system32\es.dll
    [2004-08-05 14:00] - [2008-07-07 22:31] - 0253952 ____A (Microsoft Corporation) A5B1B7C76134329AA7547F6E6DA35410

    C:\WINDOWS\system32\cryptsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0060416 ____A (Microsoft Corporation) BDDF3723D95DC28D78B1E93119E0E6AB

    C:\WINDOWS\system32\svchost.exe
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0014336 ____A (Microsoft Corporation) 1BD6C2F707A275CB7C16FD99FE0F31CA

    C:\WINDOWS\system32\rpcss.dll
    [2004-08-05 14:00] - [2009-02-09 12:20] - 0399360 ____A (Microsoft Corporation) 5620353B93DD08016674E4FEE280190B

    C:\WINDOWS\system32\services.exe
    [2004-08-05 14:00] - [2009-02-09 12:08] - 0111104 ____A (Microsoft Corporation) 9D6BF82FE50D55F20F8E10E0F6653886


    Extra List:
    =======
    fssfltr(10) Gpc(4) IPSec(6) irda(3) NetBT(7) PSched(8) SYMTDI(9) Tcpip(5)
    0x0A0000000600000001000000020000000300000004000000050000000900000007000000080000000A000000
    IpSec Tag value is correct.

    **** End of log ****
    m
    0
    l
    a c 549 8 Sécurité
    17 Octobre 2012 18:15:11

    Re,

    Citation :
    Euh.... j'avoue ne pas vraiment être au courant point de vue PC, donc service pack 3...? Je ne sais même pas ce que c'est.


    C'est une licence professionnelle de XP, est-ce un pc d'entreprise ?
    Si oui, as-tu les autorisations de mettre à jour et/ou gérer des modification sur ce pc ?
    m
    0
    l
    17 Octobre 2012 18:17:58

    Oui, c'est un PC que j'ai récupéré d'un boulot... Je ne pense pas avoir les autorisations (c'est grave docteur?)
    m
    0
    l
    a c 549 8 Sécurité
    17 Octobre 2012 18:32:44

    Re,

    :)  Sous-entendu, je demandais, ce pc t'appartient-il ? As-tu le droits d'y accéder et de le modifier, étant donné qu'il appartient à une entreprise. N'ont-ils pas un service informatique ?
    m
    0
    l
    17 Octobre 2012 19:44:19

    Ah, ok!! ;) 

    Oui oui, il est à moi!! Ayant un proche qui travaille ds le service informatique d'une boîte, il gère les renouvellements de PC du personnel... Celui-ci appartenait donc à cette boîte, et avait déjà servi quand je l'ai eu...
    m
    0
    l
    a c 549 8 Sécurité
    17 Octobre 2012 22:08:57

    :D  Voilà, c'est ce que je voulais savoir, qu'on trifouille pas sur un pc à quelqu'un d'autre ;) 

    On mettra tout à jour à la fin alors.

    On commence par finir de désinfecter :

    Relance RogueKiller, tu n'as pas choisi la bonne option :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)

    ------------

    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    17 Octobre 2012 23:39:41

    Trifouillons trifouillons! :) 

    J'ai 2 rapports de RK:

    RogueKiller V8.1.1 [01/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : pc [Droits d'admin]
    Mode : Recherche -- Date : 17/10/2012 22:20:52

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[31] : NtConnectPort @ 0x80598768 -> HOOKED (Unknown @ 0x86D790C0)
    IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF738E7C6)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHV2080AH +++++
    --- User ---
    [MBR] 4e738c0aaa091e4dfeb8dd2b4895284d
    [BSP] 245204a68892ffca344c2c50070ec252 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt



    et le 2ème:

    RogueKiller V8.1.1 [01/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : pc [Droits d'admin]
    Mode : Suppression -- Date : 17/10/2012 22:20:57

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[31] : NtConnectPort @ 0x80598768 -> HOOKED (Unknown @ 0x86D790C0)
    IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xF738E7C6)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHV2080AH +++++
    --- User ---
    [MBR] 4e738c0aaa091e4dfeb8dd2b4895284d
    [BSP] 245204a68892ffca344c2c50070ec252 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt




    (mais j'ai l'impression qu'ils sont identiques)


    Et pour Malware:


    Malwarebytes Anti-Malware (Trial) 1.65.0.1400
    www.malwarebytes.org

    Database version: v2012.10.17.05

    Windows XP Service Pack 2 x86 NTFS
    Internet Explorer 8.0.6001.18702
    pc :: PORTABLE [administrator]

    Protection: Disabled

    17/10/2012 22:23:00
    mbam-log-2012-10-17 (22-23-00).txt

    Scan type: Full scan (C:\|D:\|)
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 248339
    Time elapsed: 1 hour(s), 2 minute(s), 59 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 0
    (No malicious items detected)

    Registry Data Items Detected: 0
    (No malicious items detected)

    Folders Detected: 0
    (No malicious items detected)

    Files Detected: 3
    C:\System Volume Information\_restore{25611D32-8C57-4F0B-8B7D-2E31291BB3B5}\RP608\A0088275.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{25611d32-8c57-4f0b-8b7d-2e31291bb3b5}\rp608\a0088277.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{25611d32-8c57-4f0b-8b7d-2e31291bb3b5}\rp608\a0088278.exe (Worm.AutoRun) -> Quarantined and deleted successfully.

    (end)
    m
    0
    l
    a c 549 8 Sécurité
    18 Octobre 2012 10:56:11

    Re,

    C'est ok pour l'infection, on va s'occuper des services endommagés :

    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    18 Octobre 2012 12:19:20

    Re,



    après avoir appuyé sur Do it dans Wndows repair, une fenêtre "Protection de fichier Windows" apparait :

    "les fichiers nécessaires au fonctionnement de Windows doivent être copiés dans le dossier DLL cache.
    Insérez votre Windows XP Professional Service Pack 2 CD" (j'ai le choix entre Recommencer, Information et Annuler)

    Quand je choisis Recommencer ==> le CD fourni n'est pas le bon, Veuillez insérer blablabla...
    Quand je choisis Annuler, ==> Windows peut me demander d'insérer un CD-ROM ultérieurement

    Je fais quoi?

    (en tout cas, mille mercis pour ton temps!!!!)
    m
    0
    l
    a c 549 8 Sécurité
    18 Octobre 2012 13:50:56

    Re,

    C'est vrai que tu es sous xp ...
    Je suppose que tu n'as pas le CD original de XP pro ...

    Donc passe outre cette étape, puis va directement à l'étape suivant avec les réparations à cocher.
    m
    0
    l
    18 Octobre 2012 16:26:54

    Et voilou, rapport de FFS:

    Farbar Service Scanner Version: 07-10-2012
    Ran by pc (administrator) on 18-10-2012 at 16:25:40
    Running from "C:\Documents and Settings\pc\Mes documents\Downloads"
    Microsoft Windows XP Professionnel Service Pack 2 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    "EnableFirewall"=DWORD:0


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============

    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    File Check:
    ========
    C:\WINDOWS\system32\dhcpcsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0111616 ____A (Microsoft Corporation) B9D04E1839D82A2F512C180177773EEC

    C:\WINDOWS\system32\Drivers\afd.sys
    [2004-08-05 14:00] - [2008-08-14 11:51] - 0138368 ____A (Microsoft Corporation) 55E6E1C51B6D30E54335750955453702

    C:\WINDOWS\system32\Drivers\netbt.sys
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0162816 ____A (Microsoft Corporation) 0C80E410CD2F47134407EE7DD19CC86B

    C:\WINDOWS\system32\Drivers\tcpip.sys
    [2004-08-05 14:00] - [2008-06-20 12:45] - 0360320 ____A (Microsoft Corporation) 2A5554FC5B1E04E131230E3CE035C3F9

    C:\WINDOWS\system32\Drivers\ipsec.sys
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0074752 ____A (Microsoft Corporation) 64537AA5C003A6AFEEE1DF819062D0D1

    C:\WINDOWS\system32\dnsrslvr.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0045568 ____A (Microsoft Corporation) 8D4D8D797CDE07A7EC53C8992BF3E95F

    C:\WINDOWS\system32\ipnathlp.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0332800 ____A (Microsoft Corporation) 24A66112B3428C237B23EFE70D2CF54D

    C:\WINDOWS\system32\netman.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0198144 ____A (Microsoft Corporation) 624CF700BBFD8BE4097AAA146E6BD363

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2008-09-02 15:13] - [2004-08-05 14:00] - 0145408 ____A (Microsoft Corporation) 06156F20B90C6866D724D9EE6792044D

    C:\WINDOWS\system32\srsvc.dll
    [2008-09-02 15:16] - [2004-11-18 01:26] - 0171520 ____A (Microsoft Corporation) A4DEA3ABD4F94C841C9441627931BA28

    C:\WINDOWS\system32\Drivers\sr.sys
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0073600 ____A (Microsoft Corporation) B52181023B827ACDA36C1B76751EBFFD

    C:\WINDOWS\system32\wscsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0081408 ____A (Microsoft Corporation) F4827282722D8EDBE542E2A1CE1678EE

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2008-09-02 15:13] - [2004-08-05 14:00] - 0145408 ____A (Microsoft Corporation) 06156F20B90C6866D724D9EE6792044D

    C:\WINDOWS\system32\wuauserv.dll
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0006656 ____A (Microsoft Corporation) 57FE69B6648E73559552779820FA0827

    C:\WINDOWS\system32\qmgr.dll
    [2008-09-02 15:16] - [2004-08-05 14:00] - 0382464 ____A (Microsoft Corporation) 87424817F82CF6A7F55DAC01A20111A3

    C:\WINDOWS\system32\es.dll
    [2004-08-05 14:00] - [2008-07-07 22:31] - 0253952 ____A (Microsoft Corporation) A5B1B7C76134329AA7547F6E6DA35410

    C:\WINDOWS\system32\cryptsvc.dll
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0060416 ____A (Microsoft Corporation) BDDF3723D95DC28D78B1E93119E0E6AB

    C:\WINDOWS\system32\svchost.exe
    [2004-08-05 14:00] - [2004-08-05 14:00] - 0014336 ____A (Microsoft Corporation) 1BD6C2F707A275CB7C16FD99FE0F31CA

    C:\WINDOWS\system32\rpcss.dll
    [2004-08-05 14:00] - [2009-02-09 12:20] - 0399360 ____A (Microsoft Corporation) 5620353B93DD08016674E4FEE280190B

    C:\WINDOWS\system32\services.exe
    [2004-08-05 14:00] - [2009-02-09 12:08] - 0111104 ____A (Microsoft Corporation) 9D6BF82FE50D55F20F8E10E0F6653886


    Extra List:
    =======
    fssfltr(10) Gpc(4) IPSec(6) irda(3) NetBT(7) PSched(8) SYMTDI(9) Tcpip(5)
    0x0A0000000600000001000000020000000300000004000000050000000900000007000000080000000A000000
    IpSec Tag value is correct.

    **** End of log ****
    m
    0
    l
    18 Octobre 2012 20:05:29

    Mon parefeu Windows était effectivement désactivé, je l'ai activé.

    Et pour mon Norton,... ben aucune idée :S
    m
    0
    l

    Meilleure solution

    a c 549 8 Sécurité
    18 Octobre 2012 23:02:48

    Re,

    Si tu l'as activé sans souci, c'est parfait, dernier souci réglé ;) 

    On passe au nettoyage des outils, puis on fera les mises à jour :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.

    -----------

    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)

    -------------

    Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment le Service pack 3 et Internet Explorer 8 . Si rien ne se passe, fais manuellement les mise à jour ici : http://update.microsoft.com/microsoftupdate/v6/default....
    (attention, l'opération pour le sp3 peut être longue et demande des redémarrages, continu la suite après)

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 31 et Java(TM) SE Runtime Environment 6 Update 1

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 8.1.2

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    -----------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Comodo par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    19 Octobre 2012 18:11:22

    Voila, tout est réglé, et j'ai changé mon parefeu W pour Zone Alarm.

    Un super tout grand merci pour ton aide et pour ton temps, le Net gagne à avoir des personnes comme toi!!

    Encore merci
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS