Se connecter / S'enregistrer
Votre question

Encore Virus Ukash [Résolu]

Tags :
  • Anti malware
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Octobre 2012 21:08:01

Bonjour,

Mon ordinateur m'a soudainement affiché une page soi-disant de la police fédérale, me disant que mon ordinateur a été bloqué pour avoir visité des sites interdits.

J'ai donc commencé la procédure (en mode sans échec prise en charge réseau) à l'aide de ce topic : http://www.infos-du-net.com/forum/id-2164753/virus-ukas...

Cependant comme les rapports d'analyse varient pour chaque cas et que ça influence la suite de la procédure, je me permets de poster mes rapports ici, en espérant que quelqu'un m'aide pour la suite.
En sachant que j'ai une version XP et que malheureusement, comme un idiot j'ai voulu me débrouiller tout seul et fais quelques tentatives : MalwareByte's Anti-Malware, RogueKiller. j'espère que ça ne compliquera pas trop les choses
avec les rapports :
MalwareByte's Anti-Malware
http://pjjoint.malekal.com/files.php?id=20121020_v8q14i...
http://pjjoint.malekal.com/files.php?id=20121020_d9b5v1...
RogueKiller
http://pjjoint.malekal.com/files.php?id=20121020_m15j13...
http://pjjoint.malekal.com/files.php?id=20121020_v15i8c...

Et voici :

OTL.Txt :
http://pjjoint.malekal.com/files.php?id=20121020_l11j13...

Extras.Txt :
http://pjjoint.malekal.com/files.php?id=20121020_h9p11y...

Merci beaucoup par avance !

Autres pages sur : virus ukash resolu

a c 569 8 Sécurité
21 Octobre 2012 10:33:30

triselectif a dit :
Bonjour,

Mon ordinateur m'a soudainement affiché une page

Merci beaucoup par avance !


====================

OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :o TL)



  • :OTL
    IE - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.glarysoft.com/?src=iehome
    IE - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.glarysoft.com/?src=iehome
    IE - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
    IE - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
    IE - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch
    FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/410"
    O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
    O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
    O2 - BHO: (TBSB05810 Class) - {A7AF277D-1466-4A7B-93AF-B043984A5671} - C:\Program Files\Glarysoft Toolbar\tbcore3.dll ()
    O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKLM\..\Toolbar: (Glarysoft Toolbar) - {32D47EA5-9473-4CAD-805D-9999F15D5AE2} - C:\Program Files\Glarysoft Toolbar\tbcore3.dll ()
    O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
    O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O3 - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\Toolbar\ShellBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
    O3 - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKU\S-1-5-21-790525478-1637723038-1801674531-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
    O33 - MountPoints2\{579e5372-789f-11df-8fd9-001109145da5}\Shell\AutoRun\command - "" = cj1m.com
    O33 - MountPoints2\{579e5372-789f-11df-8fd9-001109145da5}\Shell\open\Command - "" = cj1m.com
    O33 - MountPoints2\{8000f6d0-514e-11df-8f77-001109145da5}\Shell\AutoRun\command - "" = D:\2u.com
    O33 - MountPoints2\{8000f6d0-514e-11df-8f77-001109145da5}\Shell\explore\Command - "" = D:\2u.com
    O33 - MountPoints2\{8000f6d0-514e-11df-8f77-001109145da5}\Shell\open\Command - "" = D:\2u.com
    O33 - MountPoints2\{908fde76-833a-11df-8ff0-001109145da5}\Shell\AutoRun\command - "" = M:\r3fhr.exe
    O33 - MountPoints2\{908fde76-833a-11df-8ff0-001109145da5}\Shell\open\Command - "" = M:\r3fhr.exe
    O33 - MountPoints2\{a573a5f2-6503-11df-8fae-001109145da5}\Shell\AutoRun\command - "" = D:\r3fhr.exe
    O33 - MountPoints2\{a573a5f2-6503-11df-8fae-001109145da5}\Shell\open\Command - "" = D:\r3fhr.exe
    [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/10/20 20:00:30 | 000,000,310 | ---- | M] () -- C:\WINDOWS\tasks\GlaryInitialize.job
    [2011/12/03 15:15:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tran\Application Data\searchquband
    [2011/12/03 15:16:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tran\Application Data\searchqutoolbar
    [2012/06/30 18:32:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tran\Application Data\Toolbar4
    [2012/10/20 19:58:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tran\Application Data\hellomoto
    [2012/06/01 09:35:46 | 000,203,104 | ---- | M] () -- C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\TbHelper2.exe
    [2012/06/01 09:35:46 | 000,047,968 | ---- | M] () -- C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\uninstall.exe
    [2012/06/30 18:32:29 | 000,107,195 | ---- | M] () -- C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\uninstaller.exe
    [2012/06/01 09:35:48 | 000,077,152 | ---- | M] () -- C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\update.exe
    [1 C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\*.tmp files -> C:\Documents and Settings\Tran\Application Data\Toolbar4\{32D47EA5-9473-4CAD-805D-9999F15D5AE2}\*.tmp -> ]
    :files
    ipconfig /flushdns /c

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]



    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Est attendu le rapport C:\_OTL\MovedFiles\********_******.log


    =============================
    2)
    désinstalle

    java 6 update18
    asktoolbar
    glarysoft toolbar
    windows searchqu toolbar

    =================================

    3)
    ===================
    Adwcleaner


    Option Suppression :

    ===================

    * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    /!\ Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même /!\

    * Lance le, clique sur [Suppression]



  • pour les possesseurs de l'antivirus antivir , qui ont activé les conditions d'installation du Webguard d'Antivir dans sa version gratuite.
    Désactivez la recherche/suppression de la barre d'outil et des programmes Ask.

  • lire le tuto indiquant la procédure de désactivation.

    un tuto d' aide à lire

    * puis patiente le temps du scan.
    * Une fois le scan fini, un rapport s'ouvrira.
    * Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    Tu hébergeras le rapport ici (clique sur cjpoint en vert , ceci va t'ouvrir une fenête)i : cjoint

    * Clique sur Parcourir pour rechercher le rapport C:\AdwCleaner[S1].txt
    * puis clique sur : Cliquez ici pour déposer le fichier
    * Donne le lien dans le sujet.
    * Il est de type : http://cjoint.com/?jdkmb35QPK
    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport


  • Tutoriel sur adwcleaner avec capture à l'appui

    ===================

    4)

    Malwaresbyte's Anti-Malware


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    en cliquant sur Download Now version FREE

    /!\ prendre la version gratuite /!\




    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe
      Une fois l'installation et la mise à jour effectuées :

      ==>> Dans l'onglet Paramètres,

    • puis Paramètres d'examen,
    • sélectionne Afficher dans les résultats,
    • pré-cocher pour suppression pour les 3 actions
    • Programmes potentiellement indésirables (PUP)
    • Modifications potentiellement indésirables (PUM)
    • actions pour les programmes de pair à pair ( per2 per)





    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne " Exécuter un examen rapide ".
    • Afin de lancer la recherche, clic sur "Rechercher
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK.

      *_* Attention Deux possibilités s'offrent à toi :

    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.

    • Lis bien la suite


    • Si des infections sont présentes

    • clic sur " Afficher les résultats"
    • puis sur " Supprimer la sélection. "
    • Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE :
      Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression,
      accepte en cliquant sur
      Ok



  • si au reboot , ton pc reste figé

    il faut faire la combinaison des touches suivantes ==>>

    ctrl+ alt+ suppr
    dans le gestinonnaire de taches
    nouvelle tache
    taper explorer.exe
    entrée


    !!! Ne pas vider la quarantaine de MBAM sans avis !!!


    Tutoriel

    ============================

    à te lire avec les rapports

    bon dimanche




    21 Octobre 2012 10:48:58

    Merci beaucoup pour la réponse très rapide
    Je vais essayer de faire tout ça
    (juste est ce qu'il faut que je réinstalle Malwaresbyte's Anti-Malware, c'est que je n'ai pas la bonne version?)
    Encore merci, je m'y mets
    Contenus similaires
    a c 569 8 Sécurité
    21 Octobre 2012 10:55:03

    triselectif a dit :
    Merci beaucoup pour la réponse très rapide
    Je vais essayer de faire tout ça
    (juste est ce qu'il faut que je réinstalle Malwaresbyte's Anti-Malware, c'est que je n'ai pas la bonne version?)
    Encore merci, je m'y mets


    hello

    fais les mises à jour de MBAM et ça devrait passer

    MBAM== malwaresbyte's anti-malware

    c'est plus court à écrire

    21 Octobre 2012 11:08:41

    Merci,
    mais comme je suis un gros boulet :
    j'ai oublier de cocher les cases dans OTL (je m'en suis rendu compte une fois que c'était déjà lancé)
    Voici le rapport (mais du coup je sais pas si c'est bon, désolé)
    http://pjjoint.malekal.com/files.php?id=20121021_6u10p1...

    J'ai essayé de désinstaller :
    java 6 update18 : impossible, il me met : "Une ou plusieurs personnalisation ne sont pas autorisées par la stratégie de restriction du logiciel"
    asktoolbar : impossible, il me met "Erreur de chargement C:\PROGRM... " "Le module spécifié est introuvable"
    glarysoft toolbar : ok
    windows searchqu toolbar : ok

    Voila, merci d'aider quelqu'un d'aussi nul que moi en informatique...
    a c 569 8 Sécurité
    21 Octobre 2012 11:36:53

    triselectif a dit :
    Merci,

    Voila, merci d'aider quelqu'un d'aussi nul que moi en informatique...


    hello

    ne dis pas ça, tu vas y arriver

    continue avec adwcleaner et mbam



    21 Octobre 2012 11:45:03

    C'est gentil, merci
    juste une dernière question, quand je redmarre, je repasse bien en mode sans échec à chaque fois?
    a c 569 8 Sécurité
    21 Octobre 2012 12:42:35

    triselectif a dit :
    Et voila les rapports

    Merci


    hello

    tu avances bien

    ====================

    tu vas désinstaller tous les outils avec delfix qui ont servi à la désinfection sauf Mbam que tu peux garder et passer de temps en temps
    en prenant soin de le mettre à jour avant de l'utiliser.

    ==================================
    1)

    Suppression des TOOLS de désinfection

    Télécharger Delfix sur ton bureau

    delfix de xplode

    * Lance le, clique sur l'onglet suppression



    * Patiente pendant le scan jusqu'à l'ouverture du rapport.

    * Copie/Colle le contenu du rapport dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\DelFixSearch
    ==============================
    2)


    désinstaller Delfix, merci xplode

    * relance DelFix et clique sur le bouton radio ==>> désinstallation



    =============================================
    3)
    fais les mises à jour si besoin


    ===================================

    SX Check&Update :

    • Télécharge SX Check&Update de igor51
      et enregistre-le sur ton Bureau

    • Ferme toutes les applications, y compris ton navigateur et désactive ton antivirus le temps de l'opération

    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • *_* Au menu principal *_*

    • clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert,
      Internet Explorer et Firefox dans ton cas
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/flashplayer/



    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement==>> http://www.java.com/fr/download/
      ==>>désinstalle toutes les autres versions plus anciennes

    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      ==>>A titre indicatif, la page de téléchargement ==>> http://get.adobe.com/fr/reader/?promoid=HTEGU

    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre, google chrome pour adobe)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.





  • NB==>> désinstalle toutes les versions java obsolètes

    ========================================



    21 Octobre 2012 13:08:38

    Merci
    sauf que
    pour Update Flash, il me met que c'est déj à jour
    pour Update Java "L'administrateur système a configuré la politique de votre système pour interdire cette installation"
    pour Update Adobe Reader "L'installation de Adobe Reader 9.0 - Langues prises en charge a échouer"
    Je sais pas si faut que je continue du coup
    21 Octobre 2012 13:16:16

    Et pour le rapport Delfix, je ne le retrouve plus
    (probablement parce que bétement j'ai supprimé avant d'envoyé le rapport du coup je le vois plus...), quel gros boulet...
    a c 569 8 Sécurité
    21 Octobre 2012 14:30:44

    triselectif a dit :
    Et pour le rapport Delfix, je ne le retrouve plus
    quel gros boulet...


    non, c'est que tu ne sais pas faire,

    ===========================
    ===========================
    voilà on touche au but .

    Je ne suis pas là pour te faire la morale, mais fais attention, ne clique pas trop vite, prends le temps de lire les clauses
    et surtout , toujours télécharger les outils sur le site de l'éditeur.

    une explication vaut mieux qu'un grand discours

    Je finalise donc la procédure par Quelques précisions, conseils et précautions :

    à exclure toutes formes de piratage



  • ============================
    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
    il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque,
    et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs
    /!\

    Citation :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier"
    (en bas, en forme de crayon) dans ton tout premier message.
    ===>>> Ajoute ensuite [Résolu] à coté du sujet et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert),
    valider une "meilleure solution",
    ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrits et connectés à la création initiale du sujet peuvent effectuer ces manipulations. /!\


    21 Octobre 2012 14:41:05

    Bon bah voici le dernier rapport
    http://cjoint.com/?BJvoN02mIX5
    Bon je vais réessayer de rédémarrer normalement alors
    En tout cas merci pour tout, c'est vraiment sympa, toutes les personnes qui nous aident commà
    Encore merci
    a c 569 8 Sécurité
    21 Octobre 2012 17:03:02

    triselectif a dit :
    Bon bah voici le dernier rapport
    http://cjoint.com/?BJvoN02mIX5
    Bon je vais réessayer de rédémarrer normalement alors
    En tout cas merci pour tout, c'est vraiment sympa, toutes les personnes qui nous aident commà
    Encore merci


    hello

    tu as des mises à jours à faire, il faudra le faire , stp

    désinstaller la version de java pour mettre à jour la nouvelle version



    21 Octobre 2012 21:55:21

    Merci
    du coup
    http://cjoint.com/?BJvv2enf1kd
    Voilà j'ai fait de mon mieux en tout cas
    J'aurais plus accés à mon PC avant vendredi prochain
    Merci infiniment pour toute l'aide et les conseils

    a c 569 8 Sécurité
    22 Octobre 2012 21:20:42

    triselectif a dit :
    Merci

    Voilà j'ai fait de mon mieux en tout cas
    J'aurais plus accés à mon PC avant vendredi prochain
    Merci infiniment pour toute l'aide et les conseils



    hello

    c'est parfait, tu peux mettre en [Résolu]

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS