14 utilisateurs en ligne

94,611 questions

971,815 réponses

100,664 membres

Identification
Pas encore inscrit ? Cliquez-ici
Le look SOSordi.net : qu'en pensez-vous ?

SOS ukash virus

Bonjour,
C'est grave grave...
Sur une autre tour que celle qui est dans mon profil ,je n'ai plus aucun accès "Plus d’icônes, plus de barre démarrer"

Le PC s'allume, arrive windows puis une page de BundesPolizei je proposant de dévirusser contre 100€ :
http://www.removespywarecenter.com/how-to-remove-bundespolizei-achtung-virus-step-by-step/

Après avoir essayé en mode sans échec on est bloqué.

D'accord c'est une arnaque mais comment arriver à retrouver l'accès à mes commandes et enlever ce virus.
Merci de me secourir au plus tôt...merci
zemo
posté le 11 Déc 2011 dans la catégorie Sécurité / Virus par zemo

20 Réponses

Bonjour zemo

Ce n'est pas un virus mais un ransonware

- A partir d'un autre PC
- Télécharge OTLPEnet http://oldtimer.geekstogo.com/OTLPENet.exe

- Mets un cd vierge dans ton graveur

- Double clic sur OTLPENet.exe et accepte la gravure du cd
- Redémarre le PC infecté avec le CD que tu viens de graver

- Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long

- Si ton PC est connecté en Ethernet tu auras accés au net

- Avec readtogo tu dois avoir un fichier nommé OTLPE

- Double clic dessus :

- Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes

Citation:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT



- Clique sur le bouton Runscan
- Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
- Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.

- Poste le contenu de OTL.txt en lien en utilisant cet hébergeur http://www.1fichier.com/
- Ce dernier est beaucoup trop grand pour tenir dans une réponse

- Tu as un tutoriel pour OTLPEnet ici http://forum.malekal.com/otlpe-live-t23453.html
répondu le 11 Déc 2011 par Geronimo
merci pour la rapidité de ta réponse...
La manip est en cours, si j'ai un problem je te recontacte
répondu le 11 Déc 2011 par zemo
Bonjour!
Ce fut du sport...j'ai pu y arriver avec mon Iphone en relais
Le lien : http://em72rl.dl4free.com/
A plus
Zemo
répondu le 12 Déc 2011 par zemo
Mon cher Géronimo
Est-ce que tu peux répondre sur une autre boite mail que la mienne?
et enlever cette adresse du site? mille mercis.
zemo
répondu le 12 Déc 2011 par zemo
modifié le 12 Déc 2011
Bonjour zemo

Désolé je ne peux pas.

Peux tu redémarrer ce PC sous ce mode : Invite de commandes en mode sans échec
répondu le 12 Déc 2011 par Geronimo
modifié le 12 Déc 2011
OK et après?
répondu le 12 Déc 2011 par zemo
Redémarre ton PC en Invite de commandes en mode sans échec

Tape regedit valide par Entrée
Dans regedit suis ce chemin HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Dans la partie de droite repère la valeur Shell
Clic droit dessus choisis Modifier

En dessous de données de la valeur
Remplace C:\Documents and Settings\Chantier 32\Application Data\mahmud.exe par explorer.exe

Quitte regedit et redémarre le PC
répondu le 12 Déc 2011 par Geronimo
C'est bon je le fais...
C'est un peu long parce que ma tour en panne estdans un bureau à 100m de chez moi...mais je suis attentive à tes instructions
a tout à l'heure
zemo
répondu le 12 Déc 2011 par zemo
Merci encore, je n'ai plus la fenêtre Ukash. Comment je récupère la barre "menu démarrer" et mes icônes, maintenant ?
Au revoir,
Thomas.fils de ezmo
By Iphone
répondu le 12 Déc 2011 par zemo
- Télécharge RogueKiller (par tigzy) sur le bureau http://www.sur-la-toile.com/RogueKiller/
- Quitte tous tes programmes en cours
- Lance RogueKiller.exe.
- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur
- Lorsque demandé, tape 2 (delete) et valide
- Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Note:
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

===========================================================================


- Quitte tous tes programmes en cours

- Double clic sur RogueKiller.exe

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur
- Lorsque demandé, tape 6 (Raccourcis RAZ) et valide
- Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Note : Tu as deux rapports à poster
répondu le 12 Déc 2011 par Geronimo
Difficile et long parce qu'il n'a a pas d'icones et de menu démarrer...
zemo

Message transféré
De : Thomas Hennequin
Date : 12 décembre 2011 19:17
Objet : Re: Geronimo suite
À : Nathalie Paquet <

de thomas
Laborieux de lancer Roguekiller sous le systeme infecte mais reussit.
En tout cas REATOGO est une mine incroyablement riche
_________________

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Interne [Droits d'admin]
Mode: Suppression -- Date : 12/12/2011 18:51:00

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\Chantier 32\Application Data\explorer.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] bea06e31e7ff217f88b1cfae816bdf1e
[BSP] 987cf5983f07a295a06cf311d092e291 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 63 | Size: 8381 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16370235 | Size: 241666 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt



==================
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Interne [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 12/12/2011 18:57:58

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 63 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 120 / Fail 0
Mes documents: Success 672 / Fail 0
Mes favoris: Success 3 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1538 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\CdRom3 -- 0x5 --> Skipped
[F:] \Device\CdRom2 -- 0x5 --> Skipped
[G:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[I:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
répondu le 12 Déc 2011 par zemo
modifié le 12 Déc 2011
On va essayer d'en récupérer encore.

Télécharge Unhide.exe sur le bureau http://download.bleepingcomputer.com/grinler/unhide.exe

- Double clic sur le fichier téléchargé, et laisse le travailler.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Et dis nous ce que cela donne
répondu le 12 Déc 2011 par Geronimo
Quelle manip faut-il pour récupérer les icônes le menu démarrer?
C'est infernal de ne pas avoir accès aux commandes...
Tu peux nous aider là dessus précisément?
Mercis de ton aide
zemo
répondu le 12 Déc 2011 par zemo
Ton dernier espoir de récupérer les icônes c'est unhide
répondu le 12 Déc 2011 par Geronimo
Merci, je fais passer le message et... probablement à demain
Amicalement
Zemo
répondu le 12 Déc 2011 par zemo
Bonjour, c'est Thomas le fils de Zemo,
j'ai bien suivi toutes les démarches à effectuer, et ce matin le PC m'a proposé une fenêtre de restauration, j'en ai profité avant de faire Unhide et toutes les commandes sont réapparues. Merci, merci
Tous les sites d'aide que j'ai trouvé "remove machin truc... et autre" ne sont pas très efficaces, si on ne maitrise pas cmd et regedit à fond.
Merci encore, problème résolu !!
répondu le 14 Déc 2011 par athomass
 
Solution
Bonjour athomass

Tu as anticipé ma pensée voila une bonne initiative.

- Je te donne quelques consignes de sécurité :

- Windows Update ( http://www.windowsupdate.com/ ) parfaitement à jour (catégories critique, Services Pack et Services Release)
- Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- Scan hebdomadaire antimalware

Verifie si ta console Java est à jour:

Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo http://www.filehippo.com/download_jre_32/

- Si tu considères ton problème comme résolu
- A gauche : Actions dans Aide en ligne clique sur Mon problème est résolu et coche la case devant les réponses qui t'ont aidé à résoudre ton problème.

- Clique ensuite sur Mon problème est résolu qui est en bas de la page.
répondu le 14 Déc 2011 par Geronimo
Bonsoir Géronimo
Je suis ravie d'avoir pu vous mettre tous deux en communication. J'étais sûre que tu pourrais nous dépanner. Une fois de plus tu étais là quand j'étais dans l'embarras. Mille mercis
A Bientôt j'espère sur un forum de discussion
Bon vent Geronimo...même si j'ai rien compris à ton message-signature.
Zemo
répondu le 14 Déc 2011 par zemo
Réponse automatique :

Cette question est résolue
répondu le 14 Déc 2011 par Robot SOSOrdi
Bonsoir zemo
Citation:
même si j'ai rien compris à ton message-signature

C'est un proverbe Picard qui dit Il en verrais un plus bête que lui dans une lanterne, qu'il casserait les verres pour prendre sa place

Ça ce dit d'un idiot, imbécile et de quelqu'un qui se croit plus malin que les autres.
répondu le 14 Déc 2011 par Geronimo

Questions associées:

19 réponses 1 vue
posté le 29 Jan 2013 dans la catégorie Sécurité / Virus par Lendy
14 réponses 4 vues
posté le 21 Oct 2012 dans la catégorie Internet par epidemic
31 réponses 1 vue
posté le 22 Fév 2012 dans la catégorie Internet par LeGland
14 réponses 2 vues
posté le 11 Fév 2012 dans la catégorie Internet par fofie59
8 réponses 2 vues
posté le 29 Juil 2012 dans la catégorie Spywares / Malwares / Virus par jakko
...