[résolu] windows vista recovery : terrible !

avilug · le 3 juin 2011

bonjour

j'ai un pc portable infecté par WINDOWS VISTA RECOVERY : le bureau est devenu noir, plus d'icone (sauf i.e. et leur cochonnerie de faux programme). Redemarrage toutes les 5 min. Bon heureusement, j'ai trouvé le moyen d'accéder à mes fichiers perso (qui sont tous devenus caché!) en lançant manuellement explorer.exe.

j'ai lu plusieurs sujet sur ce virus mais je ne sais par quoi commencer : malwarebytes ? roguekiller ? hijackthis ? ad-r ? calc.exe ? ça à pas l'air simple vu les discussions.

j'ai accès au mode sans echec. j'ai fait un ghost complet de mon pc (au cas où).

si un helper pouvait me prendre en charge, merci BEAUCOUP !

nb: que pensez vous de ce site qui dit pouvoir ERADIQUER ce virus ? How to Uninstall/Remove Windows Vista Recovery virus Removal Guide | RemoveVirusHelp.com ? c'est encore un rogue ?

Modifié le 16 juin 2011 par avilug

pear · le 3 juin 2011

Bonjour,

Télécharger sur clé Usb et lancer Process Explorer et Rogue Killer

Télécharger Process Explorer

Télécharger Rogue Killer par Tigzy

Lancer Process Explorer

Recherher un processus à 8 ou 10 chiffres aléatoires comme 32431864.exe

et un autre à 8 ou 10 lettres aléatoires comme AhGkYJyFIC.exe

Et les supprimer par Kill process

Lancer Rogue killer

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le prgramme bloque, cliquez droit sur le lien de téléchargement ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Nettoyage du registre Passer en Mode 2

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

Pour supprimer un proxy[/b] Passer en Mode 4

Pour corriger les Dns Passer en Mode 5

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]

Lancez successivement toutes les options

Copier/Coller le contenu des rapports dans la réponse

Redémarrer

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

avilug · le 5 juin 2011

Bonjour pear

merci pour votre réponse !

j'ai fait toute la procédure en mode sans-echec (car en mode normal ça bloquait c-a-d les logiciels ne se lançaient pas)

voici les rapports :

Rk quarantine

Time : 05/06/2011 08:09:58

--------------------------

[HelpPane.exe.vir] -> c:\windows\helppane.exe

[ooyecuncneni.exe.vir] -> c:\programdata\ooyecuncneni.exe

Time : 05/06/2011 08:10:29

--------------------------

[ooyecuncneni.exe.vir] -> c:\programdata\ooyecuncneni.exe

Time : 05/06/2011 08:10:43

--------------------------

Time : 05/06/2011 08:10:53

--------------------------

Time : 05/06/2011 08:11:05

--------------------------

Time : 05/06/2011 08:16:03

TOUS LES AUTRES RAPPORTS ont créé un fichier texte de 0Ko car à chaque fois que je lançais une option, elle se déroulait correctement et une fois qu'il y était marqué "terminé!", j'avais le message "windows à rencontré un pb avec le programme ..."

bref j'ai aucun rapport autre que celui dans le repertoire RKQuarantine.

celui de mbam :

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

Version de la base de données: 6773

Windows 6.0.6002 Service Pack 2 (Safe Mode)

Internet Explorer 8.0.6001.18999

05/06/2011 09:15:55

mbam-log-2011-06-05 (09-15-55).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)

Elément(s) analysé(s): 351450

Temps écoulé: 40 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 90

Processus mémoire infecté(s):