Ukash

[Fiascow09]

Bonjour,

 

Voilà mon ordinateur est totalement bloqué par une page de la soi-disante "Police nationale" qui me demande 100€ pour débloquer mon PC

 

J'ai commencé à suivre les instructions d'un autre forum d'aide mais je n'ai plus de réponse, j'avais été ici il y'a un an et j'étais très satisfait donc me revoilà !

 

Je vous poste ce que j'ai fais jusqu'à présent, tout d'abord un rapport Roguekiller :

 

RogueKiller V8.0.4 [19/09/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Loïc [Droits d'admin]

Mode : Suppression -- Date : 22/09/2012 17:28:44

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[RUN][sUSP PATH] HKCU\[...]\Run : spoolss (C:\Users\Loïc\AppData\Local\Microsoft\Windows\4278\spoolss.exe) -> SUPPRIMÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-2813638859-3109702445-1673379533-1000\$e5032387ccd7f7fa62f24f5febf981ee\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-2813638859-3109702445-1673379533-1000\$e5032387ccd7f7fa62f24f5febf981ee\n --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-2813638859-3109702445-1673379533-1000\$e5032387ccd7f7fa62f24f5febf981ee\@ --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2813638859-3109702445-1673379533-1000\$e5032387ccd7f7fa62f24f5febf981ee\U --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2813638859-3109702445-1673379533-1000\$e5032387ccd7f7fa62f24f5febf981ee\L --> SUPPRIMÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++

--- User ---

[MBR] 09d66fc7fade3728d5f9da6efa83d473

[bSP] 8338d34b1e5e20d9cb744e1ef80ed93c : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690074 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413681152 | Size: 21067 Mo

3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

Rapport Malwarebytes :

 

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.09.22.04

 

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)

Internet Explorer 9.0.8112.16421

Loïc :: LOÏC-HP [administrateur]

 

22/09/2012 17:29:49

mbam-log-2012-09-22 (17-29-49).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 330431

Temps écoulé: 21 minute(s), 12 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 1

C:\Users\Loïc\AppData\Roaming\hellomoto (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 2

C:\Users\Loïc\AppData\Roaming\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Loïc\AppData\Roaming\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Et le rapport OTL après ces deux scans :

 

Lien CJoint.com 3IwsoFXy3mn

 

Merci pour votre aide !

[pear]

Bonjour,

 

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

 

Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Des boutons permettent alors un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

Télécharger Sx Checkupdate

Cliquez sur Rapports

 

Téléchargez TFC par OldTimer sur votre Bureau pour supprimer vos fichiers temporaires

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

 

 

Ce logiciel peut désinstaller les outils utilisés pour la désinfection:

Télécharger DelFix de Xplode

Lancez-le.

Cliquez [Recherche]

puis [suppression]

 

Un rapport va s'ouvrir à la fin, à coller dans la réponse

 

Enfin cliquer [Désinstallation]

[Fiascow09]

Salut pearl et merci à toi !

 

Après avoir fait toutes les opérations, Delfix a tout supprimé, et les rapports ne s'ouvrent plus.

 

Je recommence depuis le début ?

 

Il ne me reste plus que le rapport Delfix, mais je pense que ca sert pas à grand chose :

 

# DelFix v8.9 - Rapport créé le 23/09/2012 à 11:49:34

# Mis à jour le 27/07/12 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Loïc - LOÏC-HP (Administrateur)

# Exécuté depuis : C:\Users\Loïc\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\08VGC4Q2\DelFix-8.9.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\Users\Loïc\Desktop\RK_Quarantine

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[R1].txt

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\Users\Loïc\Desktop\adwcleaner.exe

Supprimé : C:\Users\Loïc\Desktop\AdwCleaner[R1].txt

Supprimé : C:\Users\Loïc\Desktop\AdwCleaner[s1].txt

Supprimé : C:\Users\Loïc\Desktop\Extras.Txt

Supprimé : C:\Users\Loïc\Desktop\OTL.Txt

Supprimé : C:\Users\Loïc\Desktop\OTL2.Txt

Supprimé : C:\Users\Loïc\Desktop\OTL.exe

Supprimé : C:\Users\Loïc\Desktop\RKreport[1].txt

Supprimé : C:\Users\Loïc\Desktop\RKreport[2].txt

Supprimé : C:\Users\Loïc\Desktop\RKreport[3].txt

Supprimé : C:\Users\Loïc\Desktop\TFC.exe

Supprimé : C:\Users\Loïc\Downloads\OTL.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[R1].txt - [1391 octets] - [23/09/2012 11:49:21]

DelFix[s1].txt - [1363 octets] - [23/09/2012 11:49:34]

 

########## EOF - C:\DelFix[s1].txt - [1487 octets] ##########

 

Et le rapport SX :

 

SX Check&Update

Lien vers le tutoriel : Tutoriels - Security-X - Page 1

---

Windows Version : Windows 7 64bits

Service Pack : 1

UserName : Loïc

23/09/2012

11:38:07

version = v0.2.5

---

Windows Update Information :

AUOptions : 4

Automatically, no notification

---

 

---

Name : FlashPlayer ActiveX

Version : 10.3.183.10

Flash Player ActiveX n'est pas à jour! (11.4.402.278)

 

Java Information :

Nom : Java 6 Update 31

Version : 6.0.310

Java 6 Update 31 n'est pas à jour! (6.0.350)

 

Java Information :

Nom : Java 7 Update 5

Version : 7.0.50

Java 7 Update 5 n'est pas à jour! (7.0.70)

 

Nom : Adobe Reader X (10.1.0) MUI

Version : 10.1.0

Adobe Reader n'est pas à jour! (10.1.4)

 

Nom : Internet Explorer

Version : 9.0.8112.16421

Modifié le 23 septembre 2012 par Fiascow09

[pear]

Il vous revient de faire les mises à jour demandées par Sx.