Services.exe

[pear]

Manifestement, vous n'avez pas lu mon précédent message.

[lauron]

re,

 

le problème que j'ai avec thanos est sur une autre machine (la mienne) surement un virus récupéré par ma fille hier sur internet

 

Donc je reviens par rapport à mon dernier post, impossible de faire combofix l'ordi redémarre après 1 minute dès qu'on lance l'application.

 

merci

[pear]

Ok.

 

Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

[lauron]

re,

j'ai gravé Combofix sur un dvd (seul moyen pour pouvoir le tranférer sur l'ordi.)

je ne suis plus sur place, demain je le regrave en le renommant et j'essaie.

 

Autre problème, je n'ai pas accès au menu Démarrer (Barre des tâches inaccessible pour atteindre le menu Exécuter)

Je suppose que la commande doit se trouver dans le répertoire Windows\system32\ mais laquelle est-ce ?

 

merci

[pear]

Bonsoir,

 

Pour retrouver la barre de tâches:

Copiez collez dans le bloc notes(notepad)

enregistrez sous taskbar.vbs sur le bureau

et lancez le:

'xp_taskbar_desktop_fixall.vbs - Repairs the Taskbar when minimized programs don't show.

'© Kelly Theriot and Doug Knox - 8/22/2003

 

Set WSHShell = WScript.CreateObject("WScript.Shell")

 

Message = "To work correctly, the script will close" & vbCR

Message = Message & "and restart the Windows Explorer shell." & vbCR

Message = Message & "This will not harm your system." & vbCR & vbCR

Message = Message & "Continue?"

 

X = MsgBox(Message, vbYesNo, "Notice")

 

If X = 6 Then

 

On Error Resume Next

 

WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2\"

WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU\"

WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop\"

 

WshShell.RegDelete "HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}\BarSize"

 

P1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"

 

WshShell.RegWrite p1 & "NoBandCustomize", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoMovingBands", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoCloseDragDropBands", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoSetTaskbar", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoToolbarsOnTaskbar", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoSaveSettings",0,"REG_DWORD"

WshShell.RegWrite p1 & "NoToolbarsOnTaskbar", 0, "REG_DWORD"

WshShell.RegWrite p1 & "NoSetTaskbar",0,"REG_DWORD"

WshShell.RegWrite p1 & "NoActiveDesktop",0,"REG_DWORD"

WshShell.RegWrite p1 & "ClassicShell",0,"REG_DWORD"

 

p1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"

 

WshShell.RegWrite p1 & "NoCloseDragDropBands", 0, "REG_DWORD"

WshShell.RegDelete p1 & "NoMovingBands"

 

p1 = "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"

 

WshShell.RegWrite p1, "explorer.exe", "REG_SZ"

 

p1 = "HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}\"

WshShell.RegDelete p1 & "BarSize"

WshShell.RegWrite p1, "Media Band", "REG_SZ"

 

On Error Goto 0

 

For Each Process in GetObject("winmgmts:"). _

ExecQuery ("select * from Win32_Process where name='explorer.exe'")

Process.terminate(0)

Next

 

MsgBox "Finished." & vbcr & vbcr & "© Kelly Theriot and Doug Knox", 4096, "Done"

 

Else

 

MsgBox "No changes were made to your system." & vbcr & vbcr & "© Kelly Theriot and Doug Knox", 4096, "User Cancelled"

 

End If

[lauron]

bonsoir,

 

merci, j'essaie demain matin.

(petit à petit l'oiseau fait son nid)

[lauron]

bonsoir,

 

Combofix se lance mais il n'a pas le temps d'aller bien loin, en effet dès que je le lance, Services.exe démarre la procédure d'extinction de la machine.

Je suis bloqué à ce niveau

 

Que puis-je faire d'autre ?

 

[lauron]

re,

 

J'ai fait mais rien, aucun changement, c'est comme si la barre était masquée (d'ailleurs dans les propriétés elle est cochée "masquer") si je la décoche, ça ne change rien.

Je commence à désespérer et me demande si je ne ferais pas mieux de réinstaller windows.

:P :P :P :P :P

[pear]

Bonjour,

 

Je commence à désespérer et me demande si je ne ferais pas mieux de réinstaller windows.

 

On va essayer encore quelques cartouches, si vous le voulez bien

 

# vous devez désactiver la protection en temps réel, de votre antivirus qui détecte certains composanst de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône en bas à droite à côté de l'horloge.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Télécharger SDFix (créé par AndyManchesta)

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

Ensuite tentez de relancer Mbam.

Modifié le 8 novembre 2008 par pear

[lauron]

bonjour,

 

problème, comme je l'ai indiqué plus haut, je n'ai pas accès au menu démarrer,

donc impossible d'avoir accès à la commande Exécuter et impossible d'avoir accès aux icones en bas à côté de l'horloge.

 

je vais peut-être lancer Sdfix pour voir

A+