Sujet Précédent Sujet Suivant

Virus Votre ordinateur est bloqué...help

Fermé
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013 - 31 janv. 2013 à 19:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 févr. 2013 à 15:21
Bonjour,



Je viens de me choper le virus Ukash avec la page de la police fédérale "Votre ordinateur est bloqué" et la demande de payer 100 €... je suis sur windows vista et le mode sans echec reseau ne fonctionne pas car je retombe sur la page UKash... help
A voir également:

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
3 févr. 2013 à 21:17
voila

https://pjjoint.malekal.com/files.php?id=20130203_w12y14s14u14o10


ou

RogueKiller V8.4.4 [Feb 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur : Amilo [Droits d'admin]
Mode : Suppression -- Date : 03/02/2013 21:07:06
| ARK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : PPort11reminder ("C:\Program Files (x86)\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini") -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : DNS7reminder ("C:\Program Files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking11\Ereg.ini) -> SUPPRIMÉ
[TASK][SUSP PATH] 319c1480 : C:\Users\Amilo\AppData\Local\Temp\\setup205068928.exe -> SUPPRIMÉ
[TASK][SUSP PATH] 6b19488c : C:\Users\Amilo\AppData\Local\Temp\\setup1186819084.exe -> SUPPRIMÉ
[TASK][SUSP PATH] 7f3149b8 : C:\Users\Amilo\AppData\Local\Temp\\setup3209398456.exe -> SUPPRIMÉ
[TASK][SUSP PATH] 937d8400 : C:\Users\Amilo\AppData\Local\Temp\\setup3284280320.exe -> SUPPRIMÉ
[TASK][SUSP PATH] a6b6762c : C:\Users\Amilo\AppData\Local\Temp\\setup1813742956.exe -> SUPPRIMÉ
[TASK][SUSP PATH] d7513ec0 : C:\Users\Amilo\AppData\Local\Temp\\setup891736512.exe -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST310003 33AS SCSI Disk Device +++++
--- User ---
[MBR] c3cbac8052ae54487083d70bceae3db7
[BSP] a1eab751e1c5a7a17ff3cdb43d18ac04 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12004 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24586240 | Size: 168755 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 370201860 | Size: 773104 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_03022013_210706.txt >>
RKreport[1]_S_03022013_210221.txt ; RKreport[2]_D_03022013_210706.txt
0
Réponse 22 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
3 févr. 2013 à 21:28
j ai fermé RogueKiller puis suivi le reste de ta procédure sur ton site...

*Revenez sur le gestionnaîre de tâches.
*Menu Fichier puis Nouvelle tâche.
*Tapez shutdown -t 1
*Cela va fermer la session.

puis redemarrer normallement mais toujours écran noir
0
Réponse 23 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
3 févr. 2013 à 21:39
Recherchage le bureau comme précédemment.


* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe"
"Shell"="explorer.exe"

* redemarre le pc sous windows et poste le rapport ici


Vois ce que cela donne.
0
Réponse 24 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 10:18
tu me dis de bien prendre OTL mais le rapport que tu m'envois ne contient pas cette mention au début ....
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 10:29
?
y a le lien de téléchargement OTL.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 10:37
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"userinit.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!

OTL by OldTimer - Version 3.2.69.0 log created on 02042013_103137
0
Réponse 26 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 10:41
voila, je viens de redemmarer mis toujours la meme chose... page de démarage windows visible puis quand il charge pour rentrer dans mon bureau, ecran noir
0
Réponse 27 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 14:52
sniff
0
Réponse 28 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 16:21
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

0
Réponse 29 / 40
malcolmx007
4 févr. 2013 à 19:22
Voici ce que j'ai fait :

1. je viens de lancer un nouveau scan OTL de mon pc et voici le rapport

http://pjjoint.malekal.com/files.php?id=20130204_u12z7j711q14


2. j'ai ensuite copié le script ci dessus sous Personnalisation et voici le rapport

http://pjjoint.malekal.com/files.php?id=20130204_k8e13i9r15t10
0
Réponse 30 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 19:41
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
[2013/01/25 20:34:57 | 000,229,376 | ---- | M] (Microsoft Corporation) -- C:\Users\Amilo\wgsdgsdgdsgsd.exe

*poste le rapport ici


Clic sur le menu Démarrer et dans la barre de recherche
tape regedit et OK.
OK sur le message d'avertissement.

A gauche, navigue dans l'arborescence suivante en cliquant sur les +

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon

A droite, tu dois avoir une clef Shell.
Double-clic dessus, il doit y avoir C:\PROGRA~3\dsgsdgdsgdsgw.bat
Efface tout et mets explorer.exe
Valide par OK.

Redémarre l'ordinateur et vois ce que cela donne pour l'écran noir.

0
Réponse 31 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 20:38
Voici le rapport

https://pjjoint.malekal.com/files.php?id=20130204_i10e514i6b14

j'ai ensuite suivi ta procédure ((attention : à la dernière étape (clef shell), je n'avais pas besoin d'effacer tout car il était déja mentionner explorer.exe) et j'ai redémarré l'ordinateur... mais toujours l'écran noir
0
Réponse 32 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 21:02
SystemLookup :

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:


:regfind
dsgsdgdsgdsgw.bat


[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt




0
Réponse 33 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 22:07
voila le rapport

https://pjjoint.malekal.com/files.php?id=20130204_p14j8s6b12h10

j'espere que l'on arrive à la fin :((((
0
Réponse 34 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 22:27
je crois que tu as mis un espace après le .bat
Du coup ça a faussé les résultats.


Sinon ce que tu peux faire
C'est lancé regedit et faire une recherche sur dsgsdgdsgdsgw.bat et de donner la clef où il se trouve.

Ou encore tu peux tenter de lancer une restauration du système en prenant une date antérieure à l'infection.
0
Réponse 35 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 22:57
Je viens de recommencer en prenant garde de ne pas laisser un espace après le .bat
Voici le rapport
https://pjjoint.malekal.com/files.php?id=20130204_o9f15s12g14n14

Pour le reste j'ai essayé de lancer une restauration du système mais toujours écran noir avec souris active (et je n'ai pas compris "Sinon ce que tu peux faire
C'est lancé regedit et faire une recherche sur dsgsdgdsgdsgw.bat et de donner la clef où il se trouve.")

j'attends les résultats du rapport... mais je désespère
0
Réponse 36 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 23:05
ha p'tain, c'est la clef "normale" qui est pas bonne.
C'est chelou.


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

* redemarre le pc sous windows et poste le rapport ici
0
Réponse 37 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
4 févr. 2013 à 23:18
et voila le nouveau rapport demandé :

https://pjjoint.malekal.com/files.php?id=20130204_10p12u5m13q14

toujours la mm chose au redémarrage...
0
Réponse 38 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 févr. 2013 à 23:47
et si tu vas dans regedit.
Tu as quoi dans Shelll sur la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?
0
Réponse 39 / 40
malcolmx007 Messages postés 23 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 5 février 2013
5 févr. 2013 à 12:58
explorer.exe
0
Réponse 40 / 40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
5 févr. 2013 à 15:21
Supprime le RogueKiller, si tu l'as encore.
Retélécharge le et relance la suppression.

Il a été mis à jour.
Donne lerapport.
0