Se connecter / S'enregistrer
Votre question

Virus Ukash.. again and again

Tags :
  • Virus
  • Avast
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Octobre 2012 15:17:41

Bonjour !
Comme j'ai pu remarquer, je ne suis pas la seule à être infectée par le virus Ukash...
Je suis sous Windows 7, j'ai Avast! en antivirus (... qui visiblement est très utile) et je n'arrive pas à passer en mode en échec.
Merci beaucoup beaucoup par avance pour votre aide !

Autres pages sur : virus ukash again and again

18 Octobre 2012 16:59:55

Et RogueKiller :

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Malicia [Droits d'admin]
Mode : Recherche -- Date : 18/10/2012 16:57:14

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : ropopi (rundll32.exe "C:\Users\Malicia\AppData\Roaming\ropopi.dll",AShutDown) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : secproc_ssp (C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487\secproc_ssp.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-936553461-2701473045-3966948715-1002[...]\Run : ropopi (rundll32.exe "C:\Users\Malicia\AppData\Roaming\ropopi.dll",AShutDown) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-936553461-2701473045-3966948715-1002[...]\Run : secproc_ssp (C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487\secproc_ssp.exe) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545050A7E380 +++++
--- User ---
[MBR] 4357b9ff37059733bd0e5183b95085e9
[BSP] 55ff46ab58b2030fd6b8445252ec0e2e : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 461478 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SATA SSD +++++
--- User ---
[MBR] 5e2fddc277bd6631c44e396b00d97ef6
[BSP] 9e528138b16ad3cf74cac43d8f543e70 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] OS/2-HIBER (0x84) [HIDDEN!] Offset (sectors): 2048 | Size: 4096 Mo
1 - [XXXXXX] UNKNOWN (0x73) [VISIBLE] Offset (sectors): 8392704 | Size: 14987 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt



m
0
l
Contenus similaires
a c 548 8 Sécurité
18 Octobre 2012 23:31:54

Bonsoir,

Avats! n'y ai pour rien, c'est parce que tu ne maintiens pas ton pc et les logiciels à jour que tu as été infecté, et vis à vis de ces failles exploitées généralement sur les sites de streaming, un antivirus ne peut pratiquement rien ...

On va nettoyer : en mode sans échec donc


1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - [2012/06/17 11:24:27 | 000,101,184 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Users\Malicia\AppData\Local\Temp\mvd23.sys -- (mvd23)
    DRV - [2012/06/17 11:24:27 | 000,022,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Users\Malicia\AppData\Local\Temp\mdf16.sys -- (mdf16)
    O4 - HKU\S-1-5-21-936553461-2701473045-3966948715-1002..\Run: [ropopi] C:\Users\Malicia\AppData\Roaming\ropopi.dll (PixArt Imaging Incorporation)
    O4 - HKU\S-1-5-21-936553461-2701473045-3966948715-1002..\Run: [secproc_ssp] C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487\secproc_ssp.exe ()
    [2012/10/18 14:29:13 | 000,000,000 | ---D | C] -- C:\Users\Malicia\AppData\Roaming\hellomoto
    [2012/10/18 14:28:46 | 000,171,520 | ---- | C] (PixArt Imaging Incorporation) -- C:\Users\Malicia\AppData\Roaming\ropopi.dll

    :Files
    C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    A partir de ce moment là, tu dois pouvoir redémarrer normalement, fais-le, ou sinon, dis-le moi

    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    19 Octobre 2012 19:41:26

    Merci pour la réponse ! Capito pour les mises à jour !

    Rapport OTL :
    All processes killed
    ========== OTL ==========
    Service mvd23 stopped successfully!
    Service mvd23 deleted successfully!
    File C:\Users\Malicia\AppData\Local\Temp\mvd23.sys not found.
    Service mdf16 stopped successfully!
    Service mdf16 deleted successfully!
    File C:\Users\Malicia\AppData\Local\Temp\mdf16.sys not found.
    Registry value HKEY_USERS\S-1-5-21-936553461-2701473045-3966948715-1002\Software\Microsoft\Windows\CurrentVersion\Run\\ropopi not found.
    C:\Users\Malicia\AppData\Roaming\ropopi.dll moved successfully.
    Registry value HKEY_USERS\S-1-5-21-936553461-2701473045-3966948715-1002\Software\Microsoft\Windows\CurrentVersion\Run\\secproc_ssp not found.
    C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487\secproc_ssp.exe moved successfully.
    C:\Users\Malicia\AppData\Roaming\hellomoto folder moved successfully.
    File C:\Users\Malicia\AppData\Roaming\ropopi.dll not found.
    ========== FILES ==========
    C:\Users\Malicia\AppData\Local\Microsoft\Windows\3487 folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56468 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Invité
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56468 bytes

    User: Malicia
    ->Temp folder emptied: 7814616 bytes
    ->Temporary Internet Files folder emptied: 360850 bytes
    ->Java cache emptied: 12655152 bytes
    ->Google Chrome cache emptied: 66853058 bytes
    ->Flash cache emptied: 57115 bytes

    User: Public

    User: UpdatusUser
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56468 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3028365 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68044 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 87,00 mb


    OTL by OldTimer - Version 3.2.69.0 log created on 10192012_183119

    Files\Folders moved on Reboot...
    C:\Users\Malicia\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File\Folder C:\Windows\temp\TMP00000001193AF648D78B1813 not found!

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    Rapport MBAM :
    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.10.19.11

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Malicia :: MALICIA-PC [administrateur]

    19/10/2012 18:41:29
    mbam-log-2012-10-19 (18-41-29).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 352922
    Temps écoulé: 57 minute(s), 28 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    m
    0
    l
    a c 548 8 Sécurité
    19 Octobre 2012 21:54:13

    Re,

    Encore des soucis sur ce pc ?

    Si tout est ok, on passe au nettoyage des outils puis aux mises à jours et la conclusion :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant, sinon désinstalle-le dans ta liste des programmes.


    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    --------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS