Votre question

Pc Hp bloqué par Ukash

Tags :
  • Interface
  • PC
  • HP
  • Anti malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Octobre 2012 19:28:00

Bonsoir,

mon écran c'est bloqué (Etat Français avec demande de paiement pour débloquer via UKASH)

J'ai fait une analyse antivirus avec AVG,
puis a avec Malwarebytes Anti-Malware (a noter que je n'arrive pas à le mettre à jour).
Rien ne change alors qu'il m'a dit l'avoir suprimer

Enfin avec AdwCleaner et c'est toujours bloqué alors que lui aussi à supprimer des choses.

Donc comme je ne sais plus quoi faire je viens vers vous.

voici les rapports

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.21.07

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
mathieu :: PC-DE-MATHIEU [administrateur]

25/10/2012 14:12:56
mbam-log-2012-10-25 (14-12-56).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 379108
Temps écoulé: 1 heure(s), 16 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\mathieu\AppData\Roaming\hellomoto (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 2
C:\Users\mathieu\AppData\Roaming\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\AppData\Roaming\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

(fin)




# AdwCleaner v2.005 - Rapport créé le 25/10/2012 à 18:06:40
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : mathieu - PC-DE-MATHIEU
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\mathieu\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\IMinent toolbar
Dossier Supprimé : C:\Users\mathieu\AppData\LocalLow\Kiwee Toolbar

***** [Registre] *****

Clé Supprimée : HKCU\Software\AGI
Clé Supprimée : HKCU\Software\Binary Noise\mPlayer\kiwee_toolbar_installer.exe
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260E0CC-0F75-462E-88A3-1E05C248BF4C}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AG.MediaPlayerCOM
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{A5461FCA-320C-4D6F-A150-A53823CE8142}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\contenthandler.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4260E0CC-0F75-462E-88A3-1E05C248BF4C}
Clé Supprimée : HKLM\SOFTWARE\Classes\contenthandler.contentselection
Clé Supprimée : HKLM\SOFTWARE\Classes\contenthandler.contentselection.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3E16A203-C0AA-4D44-ACC5-38A70A8C76DA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5663B370-F3C3-40D1-9C46-0E800AA4D0E8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}

Autres pages sur : bloque ukash

a b 8 Sécurité
25 Octobre 2012 19:30:03

Bonjour,

Le rapport n'est pas complet, on verra ça ensuite.

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse

    25 Octobre 2012 19:41:46

    je ne sais pas comment l'enregistrer sur mon bureau.

    voici le rapport du scan

    RogueKiller V8.2.0 [22/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : mathieu [Droits d'admin]
    Mode : Recherche -- Date : 25/10/2012 19:40:02

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : RstrtMgr (C:\Users\mathieu\AppData\Local\Microsoft\Windows\294\RstrtMgr.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-3876042020-2869796249-1238525086-1000[...]\Run : RstrtMgr (C:\Users\mathieu\AppData\Local\Microsoft\Windows\294\RstrtMgr.exe) -> TROUVÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] U : C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHW2160BH PL ATA Device +++++
    --- User ---
    [MBR] a6b8e21421b1f0409eddce6eeccd73a1
    [BSP] 76ab6b3849a1400e55f748669843e26a : HP tatooed MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Contenus similaires
    25 Octobre 2012 19:46:40

    et voici le 2nd rapport après suppression des éléments infectés

    RogueKiller V8.2.0 [22/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : mathieu [Droits d'admin]
    Mode : Suppression -- Date : 25/10/2012 19:45:32

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : RstrtMgr (C:\Users\mathieu\AppData\Local\Microsoft\Windows\294\RstrtMgr.exe) -> SUPPRIMÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> SUPPRIMÉ
    [ZeroAccess][FILE] @ : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> SUPPRIMÉ
    [Del.Parent][FILE] 00000004.@ : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L\00000004.@ --> SUPPRIMÉ
    [Del.Parent][FILE] 55490ac4 : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L\55490ac4 --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Users\mathieu\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MHW2160BH PL ATA Device +++++
    --- User ---
    [MBR] a6b8e21421b1f0409eddce6eeccd73a1
    [BSP] 76ab6b3849a1400e55f748669843e26a : HP tatooed MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 145032 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 297025785 | Size: 7593 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    25 Octobre 2012 20:07:02

    le Pc est débloqué Merci.

    D'autres manip à faire ?
    a b 8 Sécurité
    28 Octobre 2012 16:37:26

    Re,

    Oui il y en a, désolé du retard.

    • Télécharge OTL (de Old Timer) sur ton Bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS