Auteur Sujet: Ordinateur bloquer suite au virus ukash de la gendarmerie [Résolu]  (Lu 7940 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Bonjour à tous,

Je suis infecté depuis hier soir (09/11/12) par le virus Ukash. J'ai lu les différents sujets d'internautes infectés, et vu qu'il faut visiblement appliquer une procédure "sur-mesure", je lance mon propre sujet.

J'en suis à ce point :
- j'ai démarré en mode sans échec avec prise en charge réseau
- j'ai téléchargé roguekiller, lancé le scan, fait "supprimer", et le rapport est :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : VERO MANU [Droits d'admin]
Mode : Suppression -- Date : 09/11/2012 22:47:31

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\VERO MANU\AppData\Roaming\wgsdgsdgdsgsd.exe) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EARS-22Y5B1 ATA Device +++++
--- User ---
[MBR] 6459f8de411572ee1902eae77fa38602
[BSP] 3eade2182b4b75d8c4909811298be5db : Linux MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 17408 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 35653632 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 35858432 | Size: 80002 Mo
3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 199704015 | Size: 856355 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: HP Photosmart 5510 USB Device +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_09112012_224731.txt >>
RKreport[1]_S_09112012_224445.txt ; RKreport[2]_D_09112012_224731.txt




J'attends maintenant les instructions d'un utilisateur expérimenté.

Merci beaucoup d'avance pour votre aide
« Modifié: novembre 13, 2012, 22:29:28 par chantal11 »

Security-X


En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #1 le: novembre 10, 2012, 08:19:31 »
Bonjour MANU BREBRE et bienvenue sur Security-X,

J'ai bien reçu ton MP, je te réponds donc ici (j'ai déplacé ton sujet, tu avais posté dans Présentations).

RogueKiller a déjà fait du bon boulot.

Est-ce que le PC peut maintenant démarrer en mode normal ?

Si oui, fais ce qui suit.

---------------------------------------------------------------------------------------------

  Malwarebyte's Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware en cliquant sur Download Now et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
----------------------------------------------------------------------------------------------

   OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    Citer
    netsvcs
    msconfig
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont sauvegardés sur le Bureau.
----------------------------------------------------------------------------------------------

Sont donc attendus les rapports :
  • mbam-log[date-heure].txt
  • liens pour OTL.txt et Extras.txt
@+
 

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #2 le: novembre 10, 2012, 18:35:30 »
Merci beaucoup pour cette réponse si rapide même un wk, vos explications sont très très claire et m'ont beaucoup aidées!! J'ai pu effectivement redémarrer en mode normal et je vous poste le rapport de Malwarebytes:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.09.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
VERO MANU :: VEROMANU-PC [administrateur]

10/11/2012 15:13:48
mbam-log-2012-11-10 (15-13-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 372555
Temps écoulé: 1 heure(s), 21 minute(s), 14 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\VERO MANU\AppData\Local\Temp\rrLapAeL.exe.part (Affiliate.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\VERO MANU\AppData\Local\Temp\is1668783924\BoxoreInstaller.exe (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Users\VERO MANU\AppData\Roaming\wgsdgsdgdsgsd.exe (Trojan.Agent.EDDGen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Qu'est ce que vous en pensez??

Merci

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #3 le: novembre 10, 2012, 18:46:33 »
Re,

Citer
Qu'est ce que vous en pensez??

Malwarebytes a trouvé des fichiers néfastes et les a mis en quarantaine.

Il faut donc maintenant faire la prochaine étape, l'analyse avec OTL  ;)

@+
 

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #4 le: novembre 10, 2012, 20:03:39 »
Voici la suite


liens pour OTL.txt a été envoyé! Voici le lien pour y accéder :

http://security-x.fr/up/file.php?h=Rafac0d0d9042dbe6b60f93768b331c7f

liens pour Extras.txt Voici le lien pour y accéder :

http://security-x.fr/up/file.php?h=R807f0a02e8e05555c7b2ee1e37f4c74b


Voici est ce que c'est bon ?
Merci

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #5 le: novembre 10, 2012, 20:41:56 »
Re,

Encore un peu de nettoyage à faire.

Des navigateurs qui ne sont pas à jour, Java non plus, un terrain propice pour le virus Gendarmerie qui exploite ces failles de sécurité.
Nous mettrons à jour par la suite.

---------------------------------------------------------------------------------------------

   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

- Babylon toolbar (adware)

----------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
    Citer
    :OTL
    IE - HKU\S-1-5-21-47040598-342882438-1370641803-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=108988&tt=031012_IKAN_4212_3&babsrc=HP_ss&mntrId=9cf0310800000000000090fba6e1b925
    IE - HKU\S-1-5-21-47040598-342882438-1370641803-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=108988&tt=031012_IKAN_4212_3&babsrc=SP_ss&mntrId=9cf0310800000000000090fba6e1b925
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=108988&tt=031012_IKAN_4212_3&babsrc=KW_ss&mntrId=9cf0310800000000000090fba6e1b925&q="
    [2012/10/24 17:53:36 | 000,000,000 | ---D | M] (Toolbar YouGoo) -- C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@yougoo.fr
    [2012/10/16 22:32:39 | 000,002,361 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O33 - MountPoints2\{67ad9377-f480-11df-beaf-90fba6e1b925}\Shell - "" = AutoRun
    O33 - MountPoints2\{67ad9377-f480-11df-beaf-90fba6e1b925}\Shell\AutoRun\command - "" = L:\MI.exe
    [2012/10/16 22:32:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar
    [2012/10/16 22:32:30 | 000,000,000 | ---D | C] -- C:\Users\VERO MANU\AppData\Roaming\Babylon
    [2012/10/16 22:32:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:15D5AA51

    :files
    ipconfig /flushdns /c

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du script dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • AdwCleaner(S).txt
  • C:\_OTL\MovedFiles\********_******.log
@+
 

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #6 le: novembre 12, 2012, 07:56:42 »
Bonsoir
Voici les rapports:

   Le rapport de: AdwCleaner(S).txt

# AdwCleaner v2.007 - Rapport créé le 11/11/2012 à 23:15:44
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : VERO MANU - VEROMANU-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\VERO MANU\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\VERO MANU\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\VERO MANU\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\Public\Desktop\Get The Best Facebook Chat Messenger.lnk
Fichier Supprimé : C:\Users\VEROMA~1\AppData\Local\Temp\Uninstall.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Conduit

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=108988&tt=031012_IKAN_4212_3&babsrc=HP_ss&mntrId=9cf0310800000000000090fba6e1b925 --> hxxp://www.google.com

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\VERO MANU\AppData\Roaming\Mozilla\Firefox\Profiles\ispyhrjo.default\prefs.js

C:\Users\VERO MANU\AppData\Roaming\Mozilla\Firefox\Profiles\ispyhrjo.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.excTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.id", "9cf0310800000000000090fba6e1b925");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15629");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.8.3.8");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.8.3.8");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "about:home");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.3.823:32:48");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\VERO MANU\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3732 octets] - [11/11/2012 23:15:44]

########## EOF - C:\AdwCleaner[S1].txt - [3792 octets] ##########




    Le rapport:OTL\MovedFiles\********_******.log

All processes killed
========== OTL ==========
HKU\S-1-5-21-47040598-342882438-1370641803-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-47040598-342882438-1370641803-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Search the web (Babylon)" removed from browser.search.selectedEngine
Prefs.js: "http://search.babylon.com/?affID=108988&tt=031012_IKAN_4212_3&babsrc=KW_ss&mntrId=9cf0310800000000000090fba6e1b925&q=" removed from keyword.URL
C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@yougoo.fr\chrome folder moved successfully.
C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@yougoo.fr folder moved successfully.
File C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
File C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ not found.
File C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\BabylonToolbarTlbr.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{67ad9377-f480-11df-beaf-90fba6e1b925}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67ad9377-f480-11df-beaf-90fba6e1b925}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{67ad9377-f480-11df-beaf-90fba6e1b925}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67ad9377-f480-11df-beaf-90fba6e1b925}\ not found.
File L:\MI.exe not found.
Folder C:\Program Files (x86)\BabylonToolbar\ not found.
Folder C:\Users\VERO MANU\AppData\Roaming\Babylon\ not found.
Folder C:\ProgramData\Babylon\ not found.
ADS C:\ProgramData\TEMP:15D5AA51 deleted successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Configuration IP de Windows
Cache de r‚solution DNS vid‚.
C:\Users\VERO MANU\Desktop\cmd.bat deleted successfully.
C:\Users\VERO MANU\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: VERO MANU
->Temp folder emptied: 400021217 bytes
->Temporary Internet Files folder emptied: 65931375 bytes
->Java cache emptied: 200182 bytes
->FireFox cache emptied: 68448661 bytes
->Google Chrome cache emptied: 6123288 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 13017 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 168575719 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68111 bytes
RecycleBin emptied: 168428 bytes
 
Total Files Cleaned = 677,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 11122012_002804

Files\Folders moved on Reboot...
C:\Users\VERO MANU\AppData\Local\Temp\McAfeeLogs\UpdaterUI_VEROMANU-PC.log moved successfully.
C:\Users\VERO MANU\AppData\Local\Temp\McAfeeLogs\UpdaterUI_VEROMANU-PC_error.log moved successfully.
C:\Users\VERO MANU\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\WFVA3AD.tmp not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

merci encore

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #7 le: novembre 12, 2012, 08:30:22 »
Bonjour,

OK pour les rapports.

Comment se comporte le système ?

---------------------------------------------------------------------------------------------

  Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

---------------------------------------------------------------------------------------------

  Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
Téléchargez Internet Explorer 9

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Java et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport SX Check&Update

@+
 

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #8 le: novembre 12, 2012, 20:41:14 »
Bonsoir

Tout marche bien pour le moment.
Dois je faire un contrôle de l'ordinateur avec mon antivirus?

Voici le rapport:

SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows 7 64bits
Service Pack : 1
UserName : VERO MANU
12/11/2012
20:37:15
version = v0.3.0 
---
Windows Update Information :
AUOptions : 2
Notify Download and Install
---

---
Name : FlashPlayer ActiveX 
Version : 11.4.402.278
Flash Player ActiveX  n'est pas à jour! (11.5.502.110)

Name : FlashPlayer Plugin FF
Version : 11.5.502.110
Flash Player Plugin FF est à jour

Name : FlashPlayer Plugin
Version : 11.5.502.110
Flash Player Plugin est à jour

Nom : Google Chrome
   Version : 23.0.1271.64

Nom : Mozilla Firefox 16.0.2 (x86 fr)
   Version : 16.0.2

Java Information :
   Nom : Java 7 Update 9
   Version : 7.0.90
Java 7 Update 9 est à jour

Name : Adobe Reader 9.5.2 MUI
Version : 9.5.2
Adobe Reader est à jour

Nom : Internet Explorer
   Version : 9.0.8112.16421

Merci
bonne soiree

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #9 le: novembre 12, 2012, 20:53:51 »
Bonsoir,

Citer
Dois je faire un contrôle de l'ordinateur avec mon antivirus?

Tu peux oui, il faut contrôler son système très régulièrement.

---------------------------------------------------------------------------------------------

  Installe la dernière version Adobe Flash Player sous Internet Explorer :

Ouvre Internet Explorer, télécharge et installe cette dernière version :
Adobe Flash Player
Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

---------------------------------------------------------------------------------------------

Nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

  Purge points de restauration :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :Commands
    [CLEARALLRESTOREPOINTS]
    [EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
  • Relance AdwCleaner et clique sur Désinstaller
  • Supprime SXCU de ton Bureau
  • Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :


  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu


  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
    Maintenir Java, Adobe Reader et le player Flash à jour
    Exploitation SWF/PDF et Java - système non à jour = danger


  • Au niveau de Firefox, tu peux sécuriser ta navigation
    Firefox sécurisé


    /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
    Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

 

Hors ligne MANU BREBRE

  • Membres
  • Members
  • *
  • Messages: 6
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #10 le: novembre 13, 2012, 21:52:18 »
Merci beaucoup tout marche très bien et tout est rentré dans l'ordre!!!

Bonne soirée

En ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23535
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Ordinateur bloquer suite au virus ukash de la gendarmerie
« Réponse #11 le: novembre 13, 2012, 22:28:56 »
Bonne continuation  :AAC
 

Tags: virus gendarmerie ukash