Windows Recovery (Malware)

[limo760]

Bonjour,

Je vous sollicite pour un problème.

Ma colloc allemande a cliqué sur une boîte de dialogue nous invitant à installer un utilitaire windows (windows recovery)

Il s'agissait en fait d'une pub mensongère et tout le bureau ainsi que tous les fichiers étaient cachés.

J'ai d'abord fait un scan avec un ptit logiciel (Housecall) et il a enlevé des trojan.

Voyant que cela n'avait aucun effet, j'ai tapé dans MSCONFIG de démarrer windows avec les utilitaires de base. Mais cela n'a rien n'a changé.

J'ai donc trouvé sur le forum d'utiliser le logiciel KILLEROGUE (j'ai fait un scan, puis supprimer, puis fait tout réapparaître).

Problème : le fond d'écran est revenu, les icônes sur le bureau aussi, mais il n'y a plus rien dans le démarrer, (on peut retrouver l'ordinateur en faisant une recherche), de plus quand on ouvre le gestionnaire de tâche, ou l'utilitaire pour restaurer à une date antérieure, les fenêtres apparaissent mais les boutons n'apparaissent pas ou très peu, et msconfig n'apparaît presque plus. (fenêtre allongé mais sans rien). Je peux vous envoyer des captures d'écrans si vous souhaitez...

Et impossible d'installer malwarebytes (on voit une barre verticale en plein milieu de l'écran). Mais la fenêtre ne s'affiche pas..! Et internet ne marche pas non plus ...(il n'y a pas de proxi configuré).

Merci pour votre aide à l'avance!

L'ordinateur est un samsung (mini pc) sous seven Starter !

[pear]

Bonjour,

 

Si vous n'avez plus accès à Internet,

Redémarrez en mode sans échec avec option réseau.

Il peut être nécessaire de désactiver un proxy installé par le malware:

Pour IE:

- Outils-> Options Internet-> Connexions-> Paramétres Réseaux

- Décocher "Utiliser un proxy pour votre réseau local...."

 

Pour Firefox:

Outils/options/Avancé/Réseau/paramètre/ et choisir l'option pas de proxy

 

Télécharger sur clé Usb Tdss Killer,Process Explorer , Rogue Killer et Mbam que vous lancerez à partir de la clè.

 

Télécharger TDSSKILLER

Télécharger Rogue Killer par Tigzy

Téléchargez MBAM

Télécharger Process Explorer

 

Lancer Process Explorer

Rechercher un processus à 8 ou 10 chiffres aléatoires comme 32431864.exe

et un autre à 8 ou 10 lettres aléatoires comme AhGkYJyFIC.exe

Et les supprimer par Kill process

 

Lancer Rogue killer

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien de téléchargement ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Nettoyage du registre Passer en Mode 2

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6

 

Lancez successivement les options 1,2,et 6

 

Copier/Coller le contenu des rapports dans la réponse

 

Redémarrer

 

 

Pour lancer Tdsskiller

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection

, ("Malicious objects")

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

 

lancez Mbam

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.