Virus, ou simple bug de Windows ?

[fiber]

Bonjour,

 

Depuis quelques jours mon disque C: a disparu sous Windows Seven, et tous mes raccourcis de dossiers sur mon bureau ouvrent une fenêtre indiquant le message suivant "Cette opération a été annulée en raison de restrictions sur cet ordinateur. Contactez votre administrateur système."

 

Il m'est impossible d'accéder à mes fichiers et dossiers sur mon disque C:

 

Le même message apparaît en lançant regedit, CMD et même msconfig. Impossible aussi d'utiliser explorer.

 

Pourtant je peux lancer des programmes installés dans mon C:, et il apparaît bien sous gestion des disques. En revanche je peux accéder à tous mes autres disques… bizarre.

 

J'ai lancé, après avoir mis à jour Avast, une détection totale avant de démarrer Windows, j'ai lancé Malwarebytes, Spyboot, CCleaner, mais le problème persiste.

 

Pensez-vous qu'il s'agisse d'un virus, ou simplement d'un bug suite à l'installation d'une mise à jour de Windows ? Avez-vous eu ce genre de problème ?

 

Merci par avance.

[lance_yien]

Bonjour fiber,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger sur le Bureau d'un PC sain et fonctionnel:

• ComboFix© (par sUBs) depuis ici ou ici
  
• Unhide.exe (par Grinler) depuis ici.
  
• Rkill (par Grinler) depuis l'un de ces liens:
  
  • Rkill.exe
    
  • Rkill.com
    
  • Rkill.scr

Insérer une clé USB ou tout autre média amovible (carte mémoire...) et copier les fichiers dessus.

 

Redémarrer le PC infecté et tapoter la touche F8 sans interruption, juste avant que Windows commence à se charger. Dans le menu qui apparait choisir (avec les flèches HAUT/ BAS) le Mode sans échec avec prise en charge réseau.

 

 

>>> Utiliser Rkill: Une fois sur le Bureau insérer le média amovible contenant les fichiers et double-cliquer sur le fichier Rkill (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Son seul rôle est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Je n'ai pas besoin de voir le rapport qu'il produit.

 

 

Maintenant, copier Unhide.exe et ComboFix sur le Bureau.

 

 

>>> Utiliser Unhide.exe: Double-cliquer sur Unhide.exe (Vista/W7, Cliquer-droit => "Exécuter en tant qu'administrateur"). Ceci a pour effet de supprimer l'attribut "Caché" sur les fichiers/ dossiers cachés par certaines variétés de Rogues.

 

>>> Utiliser ComboFix: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer ComboFix.exe (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Suivre les instructions.

Accepter l'Agrément de la licence et l'installation de la Console de Récupération (proposée sous XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\)

Poster son contenu.

 

 

Rapports demandés:

• ComboFix.txt

Est-ce mieux?

[fiber]

Bonjour,

 

Merci pour les instructions, mais rkill ne veut pas se lancer car il bloque le CMD. Il m'ouvre une fenêtre indiquant "L'invite de commande a été désactivée par votre administrateur. Appuyer sur une touche pour continuer"

 

Dois-je continuer quand même à installer les autres progs, unhide et combofix ?

 

Merci.

[lance_yien]

Re,

 

Es-tu bien en "Mode sans échec avec prise en charge réseau"?

Si tu as plusieurs comptes tu dois être en administrateur.

Enfin si tu as Vista ou W7 tu dois cliquer-droit => "Exécuter en tant qu'administrateur" sur les fichiers pour lancer les programmes.

 

Si c'est OK pour tout ça, appuie sur une touche comme demandé par RKill et vois ce qu'il te dit. Ensuite, continue avec le reste des outils.

 

En cas de problème, n'hésite pas.

[fiber]

Oui, j'ai suivi les consignes… mode sans échec et clic droit, et il ne veut pas lancer le prog rkill.

 

La commande CMD est bloquée, et tout programme l'utilisant ne fonctionne pas.

 

Sinon, j'ai crée un compte utilisateur invité, et sur ce compte tout à l'air normal, mon disque est visible et je peux accéder aux dossiers…

 

Peut-être que je peux essayer de lancer les progs sur ce compte ? Qu'en penses-tu ?

 

Merci.

[lance_yien]

"peut-etre que je peux essayer de lancer les progs sur ce compte?"

Si tu pouvais le faire je n'aurai pas dit "il faut être en administrateur"

Donc juste appliquer les instructions comme indiqué sans RKill et poster les rapports obtenu.

[fiber]

Combien de temps faut-il laisser ComboFix ? Car, après plus de 2H, la fenêtre est toujours figée, impossible de fermer l'ordi ni d'annuler… Je pense qu'il ne fonctionne pas.

[lance_yien]

Bonjour,

 

S'il y est toujours, arrête ta machine par le bouton et redémarre-la après 2 ou 3 min d'arrêt.

Est-ce que "Unhide" a bien fonctionné (si oui tu dois avoir le retour de certaines icônes/ raccourcis)?

Modifié le 30 août 2011 par lance_yien

[fiber]

non unhide.exe n'a pas fonctionné ..

 

blocage commande Ms dos..

[lance_yien]

On fait autrement!

 

>>> Dr.Web CureIt!: IMPRIMER ces instructions car Internet sera inaccessible en "Mode sans échec" et EN PLUS le programme bloquera l'accès à tous les dossiers et/ programmes dès qu'il est lancé (A moins d'avoir un autre PC à côté et connecté à Internet).

Cliquer ici puis sur "Téléchargez Dr.Web CureIt!" et "Enregistrer" sur le "Bureau" (remplir le formulaire).

 

Démarrer le PC en Mode sans échec (en tapotant, SANS ARRET, la touche "F8" ou "F5") dès le démarrage.

Double-cliquer sur le fichier de Dr.Web CureIt (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur") puis sur "Commencer le scan". Cliquer sur OK/ OUI dans la(les) fenêtre(s) suivante(s).

Il s'agit d'un scan RAPIDE de la Mémoire, les Secteurs de Démarrage... N'y changer rien et attendre la fin du scan (peut durer très longtemps).

Une petite pub s'affichera, cliquer dessus pour acheter, sinon cliquer sur la [X].

Si un "mauvais" fichier est détecté, une fenêtre s'affichera. Choisir "Oui pour tout".

Une ligne sera ajoutée pour chaque item dans la partie "Objet |Chemin...".

 

Toujours en Mode sans échec: Cliquer sur "Analyse Sélective" puis Sélectionner tous les lecteurs présents dans votre machine (sauf lecteurs CD/DVD). Un point rouge indiquera que le lecteur a été bien sélectionné.

Cliquer sur la flèche verte (à droite) pour démarrer le scan et répondre par "Oui"/ "OK" à toutes les questions qui vous seront posées.

Cliquer sur "Sélectionner Tout" => "Quarantaine". Ce qui a pour effet de déplacer la sélection dans un dossier: "%userprofile%\DoctorWeb\quarantaine" (généralement "c:\Documents and Settings...").

Si difficultés voyez si vous pouvez cliquer sur l'icône à côté de chaque fichier trouvé et choisir l'option adéquate pour le mettre en quarantaine.

 

A la fin, cliquer sur "Fichier" => "Enregistrer le rapport". Cliquer sur Bureau (à gauche) puis sur "Enregistrer" (en bas à droite). Laisser le nom par défaut "DrWeb.csv".

Cliquer sur "Fichier" => "Quitter" et redémarre en Mode normal. Poster le contenu du rapport