Infection ukash votre ordinateur est bloqué

Résolu
sophlulu Messages postés 47 Statut Membre -  
 Utilisateur anonyme -
Bonjour ,

je ne suis plutôt novice en la matière et j'ai besoin de votre aide car mon PC infecté est celui du travail(windows XP)
J'ai un message UKASH votre ordinateur est bloqué.Je peux encore accéder quelques secondes à mon bureau et ensuite je suis bloquée.
J'ai donc redémarrer mon ordinateur en mode sans echec afin d'éliminer ce virus, mais malgrè le mode sans échec avec connEction au réseau , je ne peux me connecter à internet ni avec le cable ethernet(il fonctionne bien sur un autre ordi) , ni avec le réseau sans fil.
Par contre le mode sans échec fonctionne bien.
Merci de votre aide, je suis bien démunie et dans l'urgence!

96 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Un PC professionnel sous Windows XP est bloqué par une alerte Ransomware UKASH, avec un accès au bureau limité et impossibilité de connexion Internet même en mode sans échec. Parmi les solutions proposées, des méthodes ciblent le fichier dmwu.exe et l’utilisation d’outils comme GMER pour détecter et neutraliser un éventuel rootkit, en effectuant des scans sur XP. Des échanges évoquent aussi le dilemme du travail et la gestion des données, avec des conseils sur le téléchargement et l’exécution en mode administrateur, puis sur la restauration des cookies et du courrier. En cas d’infection sur un poste, il peut être utile d’isoler le PC et de solliciter le support informatique afin d’éviter la perte de dossiers et planifier une restauration sécurisée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut via une clé usb tranfère le prog

    ========

    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!
    0
  2. sophlulu Messages postés 47 Statut Membre
     
    Merci de la réponse si rapide!
    Le problème est que j'ai bien essayé déja par clef usb mais en mode sans échec il m'est impossible d'ouvrir ma clef USB alors qu'elle est bien allumée, son programme ne s'ouvre pas et je ne le retrouve nul part..
    0
  3. g3n-h@ckm@n
     
    je comprends pas ce que tu me dis....

    demarrer/poste de travail et tu trouveras la clé là y'a plus qu'à cliquer dessus pour l ouvrir
    0
  4. sophlulu Messages postés 47 Statut Membre
     
    Je ne sais pas ce qu'il se passe le mode sans échec ne fonctionne plus!
    Quand je sélectionne le mode sans échec l'écran reste noir .. Je crois que je vais être obligée d'emmener mon ordi à réparer demain, en tout cas merci pour ton
    Intervention !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sophlulu Messages postés 47 Statut Membre
     
    merci pour ton lien!
    entre temps j'ai réussi à retourner en mode sans échec j'ai fait tourné roguekiller et depuis mon ordi fonctionne à nouveau, plus de blocage UKASH , comme si le virus avait disparu.
    Mais je trouve cela presque "trop facile", ne penses tu pas qu'il faut un nettoyage plus approfondi au cas ou?Que me conseilles tu?
    0
  7. g3n-h@ckm@n
     
    ok alors fais ce que je demandais au debut
    0
  8. sophlulu Messages postés 47 Statut Membre
     
    ok c'est un ordinateur de boulot et j'ai tous mes dossiers dessus..Faut il faire quelque chose de particulier avant de lancer ou je ne risque pas de perdre mes dossiers et fichiers?
    0
  9. sophlulu
     
    j'ai 6 RKreport+ 1 dossier RK quarantine mais je ne peux les poster sur ton lien https://forums-fec.be/upload car internet me refuse l'accès..
    Mes anti virus sont désactivés (windows+symantec) et je n'arrive pas à les activer ,
    que faire?
    0
  10. sophlulu
     
    j'ai essayé d'envoyer le préscan à la date obtenu par le lien que tu m'as envoyé, j'ai eu du mal a accéder au lien il m'est toujours refusé, j'ai pu juste réussir une fois à l'envoyer mais je n'ai pas de retour et ne sais pas si c'est bon?
    0
  11. g3n-h@ckm@n
     
    c'est bien le fichier texte que tu envoies ?
    0
  12. sophlulu
     
    oui fichier texte mais c'est le lien ou le poster qui ne fonctionne pas
    0
  13. sophlulu Messages postés 47 Statut Membre
     
    c'est ok avec le premier lien j'ai changé d'ordi pour y accéder ca a marché:
    https://forums-fec.be/upload/www/?a=d&i=0388933943
    0
  14. g3n-h@ckm@n
     
    quelle poubelle !!

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    (Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste son rapport.

    il sera aussi : C:\Adwcleaner[Sx].txt

    ======================

    ensuite relance pre_scan , clique sur Diag et heberge -le rapport
    0
  15. sophlulu
     
    # AdwCleaner v2.005 - Rapport créé le 29/10/2012 à 09:22:41
    # Mis à jour le 14/10/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Sophie - FR-GAUDIN
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Documents and Settings\Sophie\Mes documents\Downloads\AdwCleaner (3).exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
    Dossier Supprimé : C:\Documents and Settings\Sophie\Application Data\Babylon
    Dossier Supprimé : C:\Documents and Settings\Sophie\Application Data\BabylonToolbar
    Dossier Supprimé : C:\Documents and Settings\Sophie\Local Settings\Application Data\Giant Savings
    Dossier Supprimé : C:\Program Files\BabylonToolbar
    Dossier Supprimé : C:\Program Files\Giant Savings
    Supprimé au redémarrage : C:\Documents and Settings\Sophie\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ndkhncnongaclekkbelchmeafffimifj

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\BabylonToolbar
    Clé Supprimée : HKCU\Software\Cr_Installer
    Clé Supprimée : HKCU\Software\Crossrider
    Clé Supprimée : HKCU\Software\Giant Savings
    Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKCU\Software\Somoto
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\Software\BabylonToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\b
    Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
    Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220022442279}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.BHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0004479.Sandbox.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
    Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550055445579}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660066446679}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440044444479}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ndkhncnongaclekkbelchmeafffimifj
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{1EF93620-4B15-4DB4-B0EA-889E2F187081}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{EF8FC2FA-BE02-444B-8355-08C75A6D7E3A}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Giant Savings
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Giant Savings
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=HP_ss&mntrId=301e6e8800000000000000ff0084f187 --> hxxp://www.google.com
    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=NT_ss&mntrId=301e6e8800000000000000ff0084f187 --> hxxp://www.google.com

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Documents and Settings\Sophie\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    Supprimée [l.8] : homepage = "hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=HP_ss&mntrId=301e6e8800000000000000ff0084f187",
    Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=HP_ss&mntrId=301e6e8800000000000000ff0084f187" ]
    Supprimée [l.35] : icon_url = "hxxp://www.babylon.com/favicon.ico",
    Supprimée [l.38] : keyword = "babylon.com",
    Supprimée [l.41] : search_url = "hxxp://search.babylon.com/?q={searchTerms}&affID=115849&tt=4312_8&babsrc=SP_ss&mntrId=301e6e8800000000000000ff10f90a88",
    Supprimée [l.223] : homepage = "hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=HP_ss&mntrId=301e6e8800000000000000ff0084f187",
    Supprimée [l.469] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?affID=110824&tt=4412_5&babsrc=HP_ss&mntrId=301e6e8800000000000000ff0084f187" ]

    *************************

    AdwCleaner[R1].txt - [22320 octets] - [29/10/2012 08:57:22]
    AdwCleaner[S2].txt - [21791 octets] - [29/10/2012 08:59:31]
    AdwCleaner[S3].txt - [9492 octets] - [29/10/2012 09:22:41]

    ########## EOF - C:\AdwCleaner[S3].txt - [9552 octets] ##########
    0
  16. sophlulu
     
    j'ai aussi le rapport pré scan veux tu que je te l'envois?
    0
  17. sophlulu
     
    je ne peux plus ouvrir mes messages sur hotmail avec cet ordinateur , un message apparait :Hotmail requiert des cookies pour être activé et fonctionner normalement.
    Activez les cookies dans votre navigateur.
    que puis je faire?
    De plus mes antivirus sont toujours désactivés, impossible de les remettre en fonctionnement.
    Merci en tout cas pour le temps que tu m'accordes !
    0
  • 1
  • 2
  • 3
  • 4
  • 5