Se connecter avec
S'enregistrer | Connectez-vous
Votre question

Virus Ukash "Votre ordinateur a été bloqué..." [Résolu]

Tags :
  • Virus
  • Ordinateur
  • ukash
  • Sécurité
Dernière réponse : dans Sécurité et virus
Partagez
30 Septembre 2012 11:34:23

Bonjour,

Hier soir, mon ordinateur m'a soudainement affiché une page soi-disant de la police fédérale, me disant que mon ordinateur a été bloqué pour avoir visité des sites interdits.

J'ai donc commencé la procédure (en mode sans échec prise en charge réseau) à l'aide de ce topic : http://www.infos-du-net.com/forum/id-2151370/virus-ukas...

Cependant comme les rapports d'analyse varient pour chaque cas et que ça influence la suite de la procédure, je me permets de poster mes rapports ici, en espérant que quelqu'un m'aide pour la suite.

Voici :

OTL.Txt :
http://pjjoint.malekal.com/files.php?id=20120930_e12v12...

Extras.Txt :
http://pjjoint.malekal.com/files.php?id=20120930_z15i15...

Merci d'avance !

Autres pages sur : virus ukash ordinateur bloque resolu

30 Septembre 2012 18:22:11

Bonjour :) 

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O2 - BHO: (Vid-Saver) - {11111111-1111-1111-1111-110011341191} - C:\Program Files\Vid-Saver\Vid-Saver.dll (215 Apps)
    O3 - HKU\S-1-5-21-4121789919-3309200925-2280088842-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O3 - HKU\S-1-5-21-4121789919-3309200925-2280088842-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O3 - HKU\S-1-5-21-4121789919-3309200925-2280088842-1000\..\Toolbar\WebBrowser: (no name) - {EF79F67A-6AD7-4715-A0F8-932FCA442023} - No CLSID value found.
    O4 - HKLM..\Run: [eorezo] File not found
    O4 - HKU\S-1-5-21-4121789919-3309200925-2280088842-1000..\Run: [ywhgqkgcpxtblgn] C:\ProgramData\ywhgqkgc.exe ()

    :files
    C:\ProgramData\njbgylkwpgyayow
    C:\ProgramData\itfjdcsbrzhpxrg
    C:\ProgramData\ywhgqkgc.exe
    C:\Users\Fanny\0.6552733957052438.exe
    C:\ProgramData\~G7YOggVzL1SxWb
    C:\ProgramData\~G7YOggVzL1SxWbr
    C:\ProgramData\G7YOggVzL1SxWb
    C:\Users\Fanny\AppData\Roaming\eoRezo
    C:\Users\Fanny\AppData\Roaming\OfferBox

    :commands
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.

    puis:

    • Télécharge RogueKiller de Tigzy et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne l'option Recherche
    • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse

    m
    0
    l
    30 Septembre 2012 20:56:28

    Bonsoir,
    J'ai bien collé le texte dans la fenêtre, et ça a bien redémarré automatiquement, mais je n'ai pas de rapport qui s'affiche. :s

    m
    0
    l
    Contenus similaires
    30 Septembre 2012 21:23:25

    re
    une copie du rapport est disponible dans ce dossier:
    C:\_OTL\Moved Files
    m
    0
    l
    30 Septembre 2012 22:02:33

    Merci. C'est bien ça ? :
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110011341191}\ deleted successfully.
    C:\Program Files\Vid-Saver\Vid-Saver.dll moved successfully.
    Registry value HKEY_USERS\S-1-5-21-4121789919-3309200925-2280088842-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}\ not found.
    Registry value HKEY_USERS\S-1-5-21-4121789919-3309200925-2280088842-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
    Registry value HKEY_USERS\S-1-5-21-4121789919-3309200925-2280088842-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF79F67A-6AD7-4715-A0F8-932FCA442023} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF79F67A-6AD7-4715-A0F8-932FCA442023}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\eorezo deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-4121789919-3309200925-2280088842-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ywhgqkgcpxtblgn deleted successfully.
    C:\ProgramData\ywhgqkgc.exe moved successfully.
    ========== FILES ==========
    C:\ProgramData\njbgylkwpgyayow folder moved successfully.
    C:\ProgramData\itfjdcsbrzhpxrg moved successfully.
    File\Folder C:\ProgramData\ywhgqkgc.exe not found.
    C:\Users\Fanny\0.6552733957052438.exe moved successfully.
    C:\ProgramData\~G7YOggVzL1SxWb moved successfully.
    C:\ProgramData\~G7YOggVzL1SxWbr moved successfully.
    C:\ProgramData\G7YOggVzL1SxWb moved successfully.
    C:\Users\Fanny\AppData\Roaming\eoRezo folder moved successfully.
    C:\Users\Fanny\AppData\Roaming\OfferBox folder moved successfully.
    ========== COMMANDS ==========

    OTL by OldTimer - Version 3.2.69.0 log created on 09302012_203126
    m
    0
    l
    1 Octobre 2012 21:09:39

    Bonsoir
    oui...
    j'attends la suite. (roguekiller)
    m
    0
    l
    2 Octobre 2012 12:07:02

    Désolée, voilà le rapport de RK :

    RogueKiller V8.1.0 [28/09/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Fanny [Droits d'admin]
    Mode : Recherche -- Date : 02/10/2012 12:04:23

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} (\??\C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl) -> TROUVÉ
    [Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} (\??\C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl) -> TROUVÉ
    [TASK][SUSP PATH] {5DAA0401-55DC-4A2F-A716-56EA3523B9CF} : C:\Windows\System32\pcalua.exe -a C:\Users\Fanny\Desktop\PhotoshopCS3Portable\PhotoshopPortable.exe -d C:\Users\Fanny\Desktop\PhotoshopCS3Portable -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\WLXPGSS.SCR) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[75] : NtCreateSection @ 0x82471DE5 -> HOOKED (Unknown @ 0x8D489FE6)
    SSDT[289] : NtSetContextThread @ 0x824D306F -> HOOKED (Unknown @ 0x8D489FEB)
    SSDT[334] : NtTerminateProcess @ 0x82431143 -> HOOKED (Unknown @ 0x8D489F87)
    S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8D489FF0)
    S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8D489FF5)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost


    Et le second :


    RogueKiller V8.1.0 [28/09/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Fanny [Droits d'admin]
    Mode : Suppression -- Date : 02/10/2012 12:10:18

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} (\??\C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl) -> SUPPRIMÉ
    [Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} (\??\C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl) -> SUPPRIMÉ
    [TASK][SUSP PATH] {5DAA0401-55DC-4A2F-A716-56EA3523B9CF} : C:\Windows\System32\pcalua.exe -a C:\Users\Fanny\Desktop\PhotoshopCS3Portable\PhotoshopPortable.exe -d C:\Users\Fanny\Desktop\PhotoshopCS3Portable -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\WLXPGSS.SCR) -> REMPLACÉ (C:\Windows\system32\logon.scr)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[75] : NtCreateSection @ 0x82471DE5 -> HOOKED (Unknown @ 0x8D489FE6)
    SSDT[289] : NtSetContextThread @ 0x824D306F -> HOOKED (Unknown @ 0x8D489FEB)
    SSDT[334] : NtTerminateProcess @ 0x82431143 -> HOOKED (Unknown @ 0x8D489F87)
    S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8D489FF0)
    S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8D489FF5)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHZ2320BH G2 ATA Device +++++
    --- User ---
    [MBR] ee8fbbcd011dbb1ab3f75d0f4898ce17
    [BSP] f4abafe63db7f9a62bdccedfca2215e4 : Toshiba tatooed MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 294436 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 603006976 | Size: 10805 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt



    m
    0
    l
    2 Octobre 2012 21:04:05

    Bonsoir
    on continue:



    • Rends-toi sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner[R].txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner[R].txt


      Tutoriel: AdwCleaner (Xplode)
    m
    0
    l
    3 Octobre 2012 12:14:05

    Bonjour

    Tu ferais bien de lire: Stop la pub !
    http://forum.security-x.fr/securite-generale/stop-la-pu...




    • Ferme toutes les applications, y compris ton navigateur
    • Relance AdwCleaner par un double-clique sur l'icône AdwCleaner0.exe.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt

      Tutoriel: AdwCleaner (Xplode)


  • <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**


    puis:



    On va vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\


    +++++++++++++++++++++++++++++
    m
    0
    l
    3 Octobre 2012 19:17:08

    Bonsoir,
    Voilà le rapport de AdwCleaner : http://pjjoint.malekal.com/files.php?id=20121003_q15c9k...

    Et voici le rapport de SXCU : http://pjjoint.malekal.com/files.php?id=20121003_o12v14...

    Juste avant de lancer SXCU.exe, il m'a rappelé que ma version 6 de Java n'était pas à jour et expirait bientôt. (Seulement la dernière fois que j'ai voulu faire la mise à jour, ça n'a pas fonctionné. A vrai dire, rien ne se passait...du coup j'ai laissé trainé pensant que ce n'était pas important...)
    m
    0
    l
    3 Octobre 2012 22:30:29

    Bonsoir
    Citation :
    A vrai dire, rien ne se passait...du coup j'ai laissé trainé pensant que ce n'était pas important...)

    ton infection est arrivé par là...

    Rien n'est à jour...
    Lis bien:
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    relance SX Check&Update
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Tutoriel: SX Check&Update
    m
    0
    l
    4 Octobre 2012 21:13:45

    Bonsoir
    c'est ok:


    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 

    ++++++++
    m
    0
    l
    5 Octobre 2012 13:53:22

    D'accord ! Merci beaucoup pour ton aide ! :]
    m
    0
    l
    5 Octobre 2012 21:33:48

    de rien
    bon surf ! :hello: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS