Se connecter / S'enregistrer
Votre question
Fermé

Virus UKash "votre ordinateur a été bloqué..."

Tags :
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Août 2012 13:14:33

Bonjour,

Hier, alors que je surfais, mon ordinateur a affiché une page soi-disant de la police fédérale, me disant que mon ordinateur a été bloqué pour avoir visité des sites interdits.

J'ai lu sur des forums qu'il s'agirait du virus Ukash, mais je ne comprends pas bien comment faire pour m'en débarrasser.

Quelqu'un pourrait-il m'assister ? Je suis sous windows vista

Merci d'avance !

Autres pages sur : virus ukash ordinateur bloque

17 Août 2012 12:39:04

Affirmatif, mon capitaine, il démarre en mode sans échec !
Contenus similaires
17 Août 2012 12:40:01

Petit détail ! Au moment ou le virus a attaqué, mon disque dur externe etait connecté, il faut certainement prendre ça an compte, au cas ou il serait infecté aussi !
a c 548 8 Sécurité
17 Août 2012 13:52:23

Re,

Normalement ces variantes ne se propagent pas au supports amovible.

On y va, à faire en mode sans échec donc, si tu as accès à internet en mode sans échec avec prise en charge réseau, fais-le. Sinon, il faudra copier à partir d'un pc connecté le logiciel, copier le script sur un fichier texte, le tout sur une clé usb à transférer sur le pc infecté. Et inversement pour les rapports obtenus.

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 548 8 Sécurité
    17 Août 2012 19:54:45

    Re,

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

    Une raison pour que ton système Vista ne soit pas à jour vers le service pack 2 ?


    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note si tu obtiens une erreur, passe à la suite de la procédure

    - Java(TM) 6 Update 6
    - Java(TM) 6 Update 7

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
    IE - HKU\S-1-5-21-2205011759-1541632337-3512368747-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
    IE - HKU\S-1-5-21-2205011759-1541632337-3512368747-1000\..\SearchScopes\{BC8A6052-3B9B-480C-BA4B-D5A359A57E11}: "URL" = http://www.google.com/search?source=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TSEA;
    O3 - HKU\S-1-5-21-2205011759-1541632337-3512368747-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
    O3 - HKU\S-1-5-21-2205011759-1541632337-3512368747-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKU\S-1-5-21-2205011759-1541632337-3512368747-1000..\Run: [hckirhibbahxouc] C:\ProgramData\hckirhib.exe (Withdrawals)
    [2012/08/14 19:05:59 | 000,086,016 | ---- | C] (Withdrawals) -- C:\ProgramData\hckirhib.exe
    [2012/08/14 19:05:59 | 000,000,000 | ---D | C] -- C:\ProgramData\areczgktbjaixsj
    [2012/08/14 19:05:55 | 000,086,016 | ---- | C] (Withdrawals) -- C:\Users\Frounz\ms.exe
    [2012/08/14 19:05:59 | 000,000,051 | ---- | M] () -- C:\ProgramData\blavqziofutxmjb
    [2012/02/13 14:16:42 | 000,000,000 | ---D | M] -- C:\Users\Frounz\AppData\Roaming\Babylon

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais normalement pouvoir redémarrer normalement à partir de maintenant, sinon, dis-le moi.

    Fais alors ceci en mode normal :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    :jap: 
    17 Août 2012 21:15:02

    J'imagine que je ne suis pas a jour de SP2 parce que SP2 n'est pas sur mon disque d'installation, et j'ai oublié de le remettre la dernière fois que j'ai formatté.

    Je ne sais pas supprimer java 6 mise a jour 6 et 7, j'obtiens ce message
    "Impossible d’accéder au service Windows installer. Ceci peut se produire si Windows est en mode sans echec, ou si le programme d’installation de windows n’est pas bien installé. Contactez votre support technique pour assistance"

    Je fais quand meme la nouvelle manip OTL ?
    a c 548 8 Sécurité
    17 Août 2012 21:48:04

    Re,

    Citation :
    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note si tu obtiens une erreur, passe à la suite de la procédure


    ça répond à ta question ? :) 

    Merci de bien lire la suite de la procédure ;) 
    a c 548 8 Sécurité
    18 Août 2012 14:55:26

    Re,

    Ok pour les rapports, malwarebyte's n'a fait que trouver ce que j'avais déjà traité.

    As-tu encore des problèmes/symptômes sur ce pc ?

    Si tout est bon, on nettoie les outils et on conclut :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Mise à jour du système et des logiciels :

    Met à jour ton système vers le service pack 2 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> Tous les programmes -> Windows Update

    (Note : si tu rencontres une erreurs, vient me le dire)

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    (pense à supprimer les anciennes version dans ajout/suppression des programmes (si présentes) : Java(TM) 6 Update 33 , Java(TM) 6 Update 6 , Java(TM) 6 Update 7 )

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    (vérifie que les anciennes versions sont supprimée, sinon fais-le manuellement : Adobe Reader 8.1.2)

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    18 Août 2012 16:18:08

    SXCU refe de se lancer : "application win32 non valide"
    a c 548 8 Sécurité
    18 Août 2012 22:22:21

    Re,

    Tu as réussis à installer le service pack 2 pour Vista déjà ?

    Tu l'as bien téléchargé, pas d'erreur ou autre pendant ?
    Essaye de supprimer et télécharger un nouvel exemplaire et vois si cela refais pareil.
    21 Août 2012 19:24:41

    Dans "systeme, il semblerait que SP2 soit installé !
    Internet expolorer 9 aussi

    par contre j'ai retenté d'installer sxcu, j'obtiens le message suivant : "sxcu.exe n'es pas souvent téléchargé et risque d'endommager votre ordinateur" et je n'rrive pas à la télécarger

    ( désolé pour le retard, j'ai été pris, dernièrement )
    21 Août 2012 19:48:36

    Voilà, j'ai réussi à utiliser sxcu, mais il n'installe pas de mise à jour de acrobat reader et java 7 mise à jour 6, c'est la bonne version ?

    Si tout ça est ok, alors je pense qu'on est bons !
    a c 548 8 Sécurité
    21 Août 2012 23:02:40

    Re,

    Ok pour le SP2.

    Pour SXCU, oui java c'est bien la 7 update 6, concernant adobe reader, met à jour manuellement alors, comme indiqué, vers la 10.1.4 et pense à supprimer la version 8 dans ta liste des programmes ;) 
    a c 548 8 Sécurité
    30 Août 2012 21:36:55

    Bonsoir,

    Merci de ne pas poster dans un sujet, si vous souhaitez une prise en charge, créer votre propre sujet.

    Je ferme ici.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS