Se connecter / S'enregistrer
Votre question

Virus Ukash sur mon PC windows vista...

Tags :
  • PC
  • Virus
  • Windows Vista
  • Script
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Octobre 2012 20:14:04

Bonjour, j'ai chopé (comme beaucoup je vois sur ce forum) un virus de la gendarmerie Ukash...
J'ai parcouru le forum pour voir comment m'en débarasser et j'ai commencé par executer les 2 script OLT dont voici les liens. J'ai accès au mode sans échec avec Internet...

OLT.exe
http://pjjoint.malekal.com/files.php?id=20121026_j14g10...
Extras.exe
http://pjjoint.malekal.com/files.php?id=20121026_m11w10...

J'ai meme exécuté le logiciel RogueKiller si cela peut servir... Avec le permier rapport avant la suppression.
1er rapport

http://pjjoint.malekal.com/files.php?id=20121026_c8i5w9...

2eme rapport

http://pjjoint.malekal.com/files.php?id=20121026_h14t11...

J'espere que tout y est !

Comme j'ai pu le voir le débogage et d'une certaine façon personnalisé. Comme j'ai peur de faire n'importe quoi, un petit coup de main pour la suite... MERCI !!

Autres pages sur : virus ukash windows vista

26 Octobre 2012 21:03:11

Autre info j'ai pu redémarrer en mode normal...
m
0
l
a c 549 8 Sécurité
27 Octobre 2012 14:38:51

Bonjour,

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- J2SE Runtime Environment 5.0 (version obsolète et vulnérable, tu possèdes une plus récente)

- Search Settings 1.2 (adware : logiciel publicitaire)


2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ark5plcv)
    IE - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (Vendio Services, Inc.)
    IE - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000\..\SearchScopes\{4C52E091-CD19-4D81-B9B3-5ECCA61C304C}: "URL" = http://www.dealio.com/products.html?kwd={searchTerms}
    O2 - BHO: (EoBho Class) - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll File not found
    O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (Vendio Services, Inc.)
    O3 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000\..\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found.
    O4 - HKLM..\Run: [EoEngine] File not found
    O4 - HKLM..\Run: [EoWeather] File not found
    O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Vendio Services, Inc.)
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\Run: [DontDown] C:\Users\User\Music\iTunes\iTunes Music\Elton John_George Michael\Greatest Hits 1970-2002 [UK Bonus Disc]\DownDont14419.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\Run: [DownDont] c:\users\user\music\itunes\itunes music\elton john_george michael\greatest hits 1970-2002 [uk bonus disc]\downdont14419.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\Run: [onlywhen] c:\users\user\music\itunes\itunes music\the corrs\talk on corners\onlywhen.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\RunServices: [AcrobatIncest5705] C:\Users\User\AppData\Roaming\Microsoft\Windows\Recent\BabysitterCandyJag.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\RunServices: [DontDown] C:\Users\User\Music\iTunes\iTunes Music\Elton John_George Michael\Greatest Hits 1970-2002 [UK Bonus Disc]\DownDont14419.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\RunServices: [SleepWhen] c:\users\user\music\itunes\itunes music\the corrs\talk on corners\onlywhen.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\RunServices: [vsapi32VSAPI] c:\users\user\appdata\local\microsoft\windows\temporary internet files\virtualized\c\users\user\.housecall6.6\au_log\tempsave\1640_2080\2\4\vsapi32bpmnt.exe File not found
    O4 - HKU\S-1-5-21-1397761940-2406879837-3307826734-1000..\RunServices: [ymjsdwkld[1]] C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T534100V\ymjsdwkld[1].exe File not found
    [2012/10/26 18:33:27 | 000,000,000 | ---D | C] -- C:\ProgramData\uhbjixtgdnoilae
    [2012/10/26 18:33:26 | 000,082,867 | ---- | M] () -- C:\ProgramData\bllctmvvlerdezs
    [2012/10/26 18:33:17 | 000,131,584 | ---- | M] () -- C:\Users\User\ms.exe
    [2012/10/26 18:33:17 | 000,131,584 | ---- | M] () -- C:\ProgramData\hcblqafm.exe
    [2007/08/23 23:49:19 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\EoRezo

    :Files
    C:\Program Files\EoRezo
    C:\Program Files\Search Settings

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    Contenus similaires
    27 Octobre 2012 18:16:59

    MERCI !! Rapide efficace comme on aime quoi ! Normalement tout doit etre OK !

    Voici le rapport OLT qui est apparu au démarrage du PC


    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...


    Et sinon le rapport MBAM final qui à tout supprimé apparement ! C cool !

    http://pjjoint.malekal.com/files.php?id=20121027_z15p12...

    J'ai aussi supprimé les Prog cité plus haut !

    Encore MERCI pour l' efficacité de ce forum et abat les virus !

    A+
    m
    0
    l
    a c 549 8 Sécurité
    27 Octobre 2012 19:31:31

    Re,

    Nous n'en avons pas terminé ;) 

    Le script OTL semble ne pas avoir fonctionner entièrement, peux-tu le refaire s'il te plait ?
    (juste la partie 2) de mon message précédent donc.

    m
    0
    l
    28 Octobre 2012 00:32:50

    OK j'essai de faire ca demain... Pas sur car vu que je suis d'astreinte et qu'il fait un temps pourri je pense que je vais passer la journée au boulot ! Je te tiens au courant !
    m
    0
    l
    29 Octobre 2012 21:00:18

    Effectivement voici le bon rapport :

    All processes killed
    ========== OTL ==========
    Error: No service named ark5plcv was found to stop!
    Service\Driver key ark5plcv not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
    File C:\Program Files\Search Settings\kb127\SearchSettings.dll not found.
    Registry key HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Internet Explorer\SearchScopes\{4C52E091-CD19-4D81-B9B3-5ECCA61C304C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C52E091-CD19-4D81-B9B3-5ECCA61C304C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
    File C:\Program Files\Search Settings\kb127\SearchSettings.dll not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\EoEngine not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\EoWeather not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
    File C:\Program Files\Search Settings\SearchSettings.exe not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DontDown not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DownDont not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\Run\\onlywhen not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\RunServices\\AcrobatIncest5705 not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\RunServices\\DontDown not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\RunServices\\SleepWhen not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\RunServices\\vsapi32VSAPI not found.
    Registry value HKEY_USERS\S-1-5-21-1397761940-2406879837-3307826734-1000\Software\Microsoft\Windows\CurrentVersion\RunServices\\ymjsdwkld[1 not found.
    Folder C:\ProgramData\uhbjixtgdnoilae\ not found.
    File C:\ProgramData\bllctmvvlerdezs not found.
    File C:\Users\User\ms.exe not found.
    File C:\ProgramData\hcblqafm.exe not found.
    Folder C:\Users\User\AppData\Roaming\EoRezo\ not found.
    ========== FILES ==========
    File\Folder C:\Program Files\EoRezo not found.
    File\Folder C:\Program Files\Search Settings not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56504 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    User: User
    ->Temp folder emptied: 353592 bytes
    ->Temporary Internet Files folder emptied: 161729534 bytes
    ->Java cache emptied: 0 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 58054 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 165633228 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 313,00 mb


    OTL by OldTimer - Version 3.2.69.0 log created on 10292012_205225

    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    m
    0
    l
    29 Octobre 2012 21:01:28

    It's good for you ?
    m
    0
    l
    a c 549 8 Sécurité
    29 Octobre 2012 22:06:39

    Re,

    Oui, c’est bon, on nettoie les outils, on met à jour le pc et on conclu :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.

    --------

    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9. Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 8.1.1

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    -------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    30 Octobre 2012 20:45:38

    Merci ! Je pense surtout qu'il faut que je change de PC... Car mon C\ meme compresser ne supporte plus trop les enieme mise a jour et ca rame de plus en plus ...
    A+
    m
    0
    l
    a c 549 8 Sécurité
    30 Octobre 2012 21:25:09

    Re,

    Ben oui ...
    Citation :
    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
    Drive C: | 39,06 Gb Total Space | 2,98 Gb Free Space | 7,63% Space Free | Partition Type: NTFS
    Drive D: | 193,77 Gb Total Space | 19,34 Gb Free Space | 9,98% Space Free | Partition Type: NTFS


    Il serait peut-être temps d'archiver sur disque externe, de nettoyer les programmes inutiles, en installer certains sur l'autre disque, tu libèrerais de la place sur le disque système qui doit vraiment rester que pour le système vu la taille de la partition.
    m
    0
    l
    31 Octobre 2012 21:11:52

    YEP ! et encore merci
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS