Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus gendarmerie

SimonPersavessa
 Partager

Messages recommandés

SimonPersavessa Member

SimonPersavessa

Posté(e)
Posté(e) (modifié)

Bonjour a tous

L'ordi de ma fille est infecté par ce virus . J'ai déjà fais quelques recherches sur ce sujet. Mais pour suivre la procedure conseillée je bute sur la première étape. Démarrer en mode sans échec. En faisant F8 comme indiqué je tombe sur un écran qui propose de démarrer sur le cd ou sur le disque. F2 ne donne rien Del le bios. Je ne sais pas si c'est un effet du virus ou pas. (il y avait sur cet ordi un multi boot avec une version d'essai de seven qui n'est plus valide).

Si vous avez une idée d'avance merci.

Modifié par SimonPersavessa
Lien vers le commentaire
Partager sur d’autres sites

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Attention, certaies infections désactivent le Mode sans échec

 

Retirez toutes les disquettes, tous les CD et DVD des lecteurs de votre ordinateur, puis redémarrez votre ordinateur.

Cliquez sur le bouton DémarrerImage du bouton Démarrer, cliquez sur la flèche située en regard du bouton ArrêterImage du bouton Arrêter, puis cliquez sur Redémarrer.

Si un seul système d’exploitation est installé sur votre ordinateur,à la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 ou F11, si F8 ne fonctionne pas) jusqu'à ce que le menu des options avancées de Windows apparaisse.

 

Sur .portable HP appuyer sur F2, attendre lécran de commande et appuyer sur F8.

Un écran de choix de différent mode apparaît alors dont le mode sans échec.

 

Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier".

Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.

Si le logo Windows apparaît , vous devrez recommencer une fois que vous aurez attendu l’affichage de l’écran d’ouverture de session Windows, que vous aurez arrêté puis redémarré l’ordinateur.

 

Si plusieurs systèmes d’exploitation sont installés sur votre ordinateur, utilisez les touches de direction pour sélectionner le système d’exploitation à démarrer en mode sans échec, puis appuyez sur F8 (ou F5 ou F11 si F8 ne fonctionne pas)

 

Dans l’écran Options de démarrage avancées, utilisez les touches de direction pour sélectionner l’option de mode sans échec voulue, puis appuyez sur ?Entrée. Pour plus d’informations sur les options, voir Options de démarrage avancées (y compris le mode sans échec).

 

Connectez-vous à votre ordinateur avec un compte d’utilisateur qui dispose de droits d’administrateur.

 

Lorsque votre ordinateur est en mode sans échec, les mots Mode sans échec s’affichent dans les coins de l’écran.

Pour quitter le mode sans échec, redémarrez votre ordinateur et laissez Windows démarrer normalement.

 

 

Avant tout, tenter une restauration système à une date antérieure.

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

0804151215422955205.jpg

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

1) Si vous n'avez pas accès à internet

Démarrer en Mode sans échec avec prise en charge du réseau

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

110331105357302855.jpg

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

2) Si l'infection persiste:

Démarrer en Mode sans échec avec Invite de commande.

 

Première option,si vous avez le cd Windows:

Lancer Démarrer->Exécuter

SFC /scannow

Le scan devrait pouvoir restaurer le fichier explorer.exe

 

Sinon, seconde option:

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

Vous y voyez, comme donnée quelque chose comme C:\Documents and settings\xxxx\Desktop\machin.exe

ou “%Appdata%\mahmud.exe

Ce machin est variable .Notez le

clic droit shell -> Modifier

dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par c:\Windows \twexx32.dll

 

Remontez à la barre de Regedit->Edition->Rechercher tapez le machin trouvé précédemment

 

Vous devriez le trouver là:

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

et là

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

 

Clic droit sur la ligne où il apparait->Supprimer

Nettoyer:

C:\Documents and settings\xxxx\Desktop\machin.exe

C:\Users\xxxx\AppData\Roaming\mahmud.exe

%Temp%\JhrIdKrdhd8LhgDi8yt.tmp

 

Redémarrer en mode normal

 

Rechercer c:\Windows \twexx32.dll

et si vous le trouvez

Renommez le explorer.exe

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell dans la colonne de droite

clic droit shell -> Modifier

dans Données remplacer twexx32.dll par explorer.exe

 

Sinon,si vous ne trouvez pas twexx32.dll

Téléchargez le explorer.exe correspondant à votre système :

 

]http://www.malekal.com/download/explorer_XP_SP2.exe] Windows XP SP2/SP3 [/url]

]http://www.malekal.com/download/explorer_Vista_SP2.exe] Windows Vista [/url]

Windows Seven SP1

 

Aller dans le dossier C:Windows

Renommer explorer.exe explorer.old

Copier le explorer.exe que vous avez téléchargé

Démarrer->Exécuter->Regedit

Aller à

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aller à shell.

clic droit shell -> Modifier

dans Données remplacer C:\Documents and settings\xxxx\Desktop\machin.exe par Explorer.exe

 

Redémarrez, vous devriez avoir accès à votre système.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...