Besoin d'aide - Virus Gendarmerie Ukash

[sebou007]

Je suis, je pense, attaqué par un virus qui me dit que j'ai fait des trucs louches sur Internet et me demande de payer sur Ukash.

Quelqu'un a-t-il une solution ?

Je suis en train de scanner avec RogueKiller, mais c'est bloqué me semble-t-il, au milieu du scan...

Merci de votre aide

[ptitdadou]

Après une petite recherche internet sur les sites spécialisés:

Essaie de démarrer ton ordi en mode sans échec, puis installe Malewarebytes. Lance un scan complet et tout devrait rentrer dans l'ordre.

[sebou007]

Ben en fait, le scan RogueKiller est terminé, j'ai un rapport, tout est revenu normal, mais je ne sais pas lire le rapport. J'ai peur de supprimer des trucs importants...

[dagde]

Il faut que tu mettes ton rapport ici. Ou sinon que tu fasses confiance à la procédure que tu as du suivre avec Roguekiller.

Si ca ne marche pas, en effet Malwarebytes devrait faire le boulot.

[sebou007]

Il faut que tu mettes ton rapport ici. Ou sinon que tu fasses confiance à la procédure que tu as du suivre avec Roguekiller.

Si ca ne marche pas, en effet Malwarebytes devrait faire le boulot.

RogueKiller V7.6.1 [28/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Seb [Droits d'admin]
Mode: Recherche -- Date: 01/07/2012 13:33:05

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 9 ¤¤¤
[Rans.Gendarm] HKCU\[...]\Run : Update (C:\Users\Seb\AppData\Roaming\wpbt0.dll) -> FOUND
[Rans.Gendarm] HKLM\[...]\Run : Update (C:\Users\Seb\AppData\Roaming\wpbt0.dll) -> FOUND
[Rans.Gendarm] HKUS\S-1-5-21-1145773808-3245225285-4242157812-1001[...]\Run : Update (C:\Users\Seb\AppData\Roaming\wpbt0.dll) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
::1 localhost
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3250820AS ATA Device +++++
--- User ---
[MBR] cd3ed054e06212f6dd7bce9306e17c7c
[BSP] 12363dafc8b1110c9583683a9ba0f769 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 54 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 112640 | Size: 10240 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21084160 | Size: 228122 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST3250820AS ATA Device +++++
--- User ---
[MBR] ae0ea716818a6bd07ee321f01e8e5a70
[BSP] ff46259ebb2379290c0e078e2d4bd586 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238416 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

[dagde]

Apparemment il a bien trouvé le Ukash et les fichiers associés et ca n'a pas l'air trop fourbe. Il faut faire une procédure de suppression, faire un ccleaner (nettoyage + erreurs des bases de registres) et redémarrer ton PC.
Tu relances Roguekiller et ca devrait être bon.

Si tu ne le sens pas, tu peux faire la même manip avec Malwarebytes (vois s'il le repère déjà) + ccleaner.

Et dans tous les cas, mettre à jour tes tout ce que tu peux, ca semble passer par des failles de sécurité sur des versions obsolètes.

Tiens nous au jus

[sebou007]

Apparemment il a bien trouvé le Ukash et les fichiers associés et ca n'a pas l'air trop fourbe. Il faut faire une procédure de suppression, faire un ccleaner (nettoyage + erreurs des bases de registres) et redémarrer ton PC.
Tu relances Roguekiller et ca devrait être bon.

Si tu ne le sens pas, tu peux faire la même manip avec Malwarebytes (vois s'il le repère déjà) + ccleaner.

Et dans tous les cas, mettre à jour tes tout ce que tu peux, ca semble passer par des failles de sécurité sur des versions obsolètes.

Tiens nous au jus

Merci copain !
Ca veut dire que je peux supprimer sans crainte ?

[dagde]

Il n'y a jamais de "sans crainte" à 100% à mon niveau de connaissance. Je pense qu'avant de supprimer, tu auras une liste des fichiers, qu'il va vouloir virer. C'est à ce moment-là que tu verras s'il y a d'autres choses qu'il veut éradiquer. S'il le fait automatiquement, Roguekiller doit probablement avoir des restrictions pour éviter d'endommager les fichiers systèmes.
Mais bon dans tous les cas ( et d'après le rapport), il semblerait que ce soit le dll qui soit à l'origine du problème. Or ce n'est pas une substitution de Dll mais bien un nouveau, donc pour moi tu peux y aller sans problème.

[sebou007]

Merci !

[dagde]

Bah on va attendre que ca remarche pour dire cela

[bpoujol]

RogueKiller en principe je supprime sans crainte.
Si RogueKiller ne marche pas, un coup de Malwarebytes en mode sans échec.

Bien galéré moi aussi avec ce genre de virus.

[cosinus]

Il y a une petite précaution toute simple pour limiter les effets de ce genre de virus c'est de lancer windows en session utilisateur simple avant de surfer sur le net et ne surtout pas surfer en administrateur.

[Kell]

Je suis, je pense, attaqué par un virus qui me dit que j'ai fait des trucs louches sur Internet et me demande de payer sur Ukash.

Quelqu'un a-t-il une solution ?

Je suis en train de scanner avec RogueKiller, mais c'est bloqué me semble-t-il, au milieu du scan...

Merci de votre aide

http://www.malekal.com/2011/11/30/troja ... us-police/
La vache j'en avais jamais entendu parlé mais ça calme...

[dagde]

Bah j'espère surtout que Roguekiller a nettoyé le PC du Seb. C'est vrai que c'est moche mais enfin c'est pas non plus ce qui se fait de pire (loin de là)

[dede]

Me sens bien pépére sous nux moi du coup...