Attaque par rogue + bouillon de culture
CAt
-
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
je dois m'occuper pour la première fois de nettoyer un portable infecté, dont la protection antivirale (avast) était apparemment inactive depuis un bon moment. Kapersky était installé mais non actif.
Ce qui ressemble à un rogue l'a attaqué samedi (barre de lancement rapide, bureau, DD locaux apparemment vides, CTRL-ALT-SUPPR inopérant, message de DD en mauvais état).
L'ordi, qui avait été éteint, ne bootait plus sous windows.
Ne sachant que faire, j'ai booté avec un live-CD ubuntu : les programmes et docs sont bien là mais cachés lorsque windows tourne. Sous ubuntu, j'ai installé avast : divers trojans et bombes de décompression ont été trouvés et supprimés selon avast (je n'ai pas accès à mes notes de cette manip pour le moment).
Cela boote sous windows à présent. J'ai ré-installé firefox, fait tourner CCleaner et HijackThis, puis tenté d'interpréter le rapport HijackThis.
Je pense avoir repéré des bestioles mais je ne sais pas dans quel ordre les supprimer.
D'autre part, j'ai téléchargé RogueKiller, mais le système (ou une bébête, sans doute) refuse de le laisser s'exécuter, même après renommage en winlogon.exe
Pourriez-vous me guider, s'il-vous-plaît ?
Merci beaucoup !
Rapport HijackThis ci dessous:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:56, on 27/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Dell\QuickSet\Quickset.exe
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Wave Systems Corp\Common\DataServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\debugvirus\programmes_utiles\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2542115
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O1 - Hosts: 173.192.170.88 drghwaweg45j4i6u3q32fg2h.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {4C34EB77-08E1-5F90-EF4D-F364077104C3} - c:\windows\system32\wowquwgb.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Avikutufumuligi] rundll32.exe "C:\WINDOWS\snigms.dll",Startup
O4 - HKCU\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\gg\LOCALS~1\Temp\Sk9.exe
O4 - HKCU\..\Run: [OUU6KC5WPX] C:\DOCUME~1\gg\LOCALS~1\Temp\Sk5.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [fpact] C:\DOCUME~1\gg\LOCALS~1\Temp\zitui1.exe
O4 - HKLM\..\Policies\Explorer\Run: [Manager] "C:\WINDOWS\Temp\Managee.exe"
O4 - HKLM\..\Policies\Explorer\Run: [mslivemsn] C:\Program Files\Windows NT\Accessories\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bitmeter2.lnk = C:\Program Files\Internet\Codebox\BitMeter\BitMeter2.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} (XTSAC Control) - https://193.252.218.167:4443/XTSAC.cab
O21 - SSODL: LGootkitSSO - {C35598E7-B37B-4715-9EF4-D5D9B6B5553E} - (no file)
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
je dois m'occuper pour la première fois de nettoyer un portable infecté, dont la protection antivirale (avast) était apparemment inactive depuis un bon moment. Kapersky était installé mais non actif.
Ce qui ressemble à un rogue l'a attaqué samedi (barre de lancement rapide, bureau, DD locaux apparemment vides, CTRL-ALT-SUPPR inopérant, message de DD en mauvais état).
L'ordi, qui avait été éteint, ne bootait plus sous windows.
Ne sachant que faire, j'ai booté avec un live-CD ubuntu : les programmes et docs sont bien là mais cachés lorsque windows tourne. Sous ubuntu, j'ai installé avast : divers trojans et bombes de décompression ont été trouvés et supprimés selon avast (je n'ai pas accès à mes notes de cette manip pour le moment).
Cela boote sous windows à présent. J'ai ré-installé firefox, fait tourner CCleaner et HijackThis, puis tenté d'interpréter le rapport HijackThis.
Je pense avoir repéré des bestioles mais je ne sais pas dans quel ordre les supprimer.
D'autre part, j'ai téléchargé RogueKiller, mais le système (ou une bébête, sans doute) refuse de le laisser s'exécuter, même après renommage en winlogon.exe
Pourriez-vous me guider, s'il-vous-plaît ?
Merci beaucoup !
Rapport HijackThis ci dessous:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:56, on 27/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Dell\QuickSet\Quickset.exe
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Wave Systems Corp\Common\DataServer.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\debugvirus\programmes_utiles\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2542115
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O1 - Hosts: 173.192.170.88 drghwaweg45j4i6u3q32fg2h.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {4C34EB77-08E1-5F90-EF4D-F364077104C3} - c:\windows\system32\wowquwgb.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Avikutufumuligi] rundll32.exe "C:\WINDOWS\snigms.dll",Startup
O4 - HKCU\..\Run: [NtWqIVLZEWZU] C:\DOCUME~1\gg\LOCALS~1\Temp\Sk9.exe
O4 - HKCU\..\Run: [OUU6KC5WPX] C:\DOCUME~1\gg\LOCALS~1\Temp\Sk5.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [fpact] C:\DOCUME~1\gg\LOCALS~1\Temp\zitui1.exe
O4 - HKLM\..\Policies\Explorer\Run: [Manager] "C:\WINDOWS\Temp\Managee.exe"
O4 - HKLM\..\Policies\Explorer\Run: [mslivemsn] C:\Program Files\Windows NT\Accessories\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bitmeter2.lnk = C:\Program Files\Internet\Codebox\BitMeter\BitMeter2.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} (XTSAC Control) - https://193.252.218.167:4443/XTSAC.cab
O21 - SSODL: LGootkitSSO - {C35598E7-B37B-4715-9EF4-D5D9B6B5553E} - (no file)
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: DataSvr2 - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
A voir également:
- Attaque par rogue + bouillon de culture
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Bouillon - Guide
- Télécharger podcast france culture mp3 - Guide
- France culture application iphone - Télécharger - Médias et Actualité
- La prévention des attaques par dictionnaire est déclenchée ✓ - Forum Virus
29 réponses
ca se complique
redemarre le pc comme pour le mode sans echec
Au démarrage du PC a la place de MSE, choisir Invite de commandes en mode sans échec et voir pour une restauration à une date récente où il fonctionnait encore avec cette commande :
%windir%\system32\restore\rstrui.exe
redemarre le pc comme pour le mode sans echec
Au démarrage du PC a la place de MSE, choisir Invite de commandes en mode sans échec et voir pour une restauration à une date récente où il fonctionnait encore avec cette commande :
%windir%\system32\restore\rstrui.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok.
Mon ami ne l'a plus, mais je vais voir si quelqu'un peut me dépanner dans mon entourage ce w.e., puis je reviendrai.
Avant cela, quelques questions tout de même :
0) quelle version du CD dois-je utiliser ? Celle qui correspond à mon système ? Et spécifiquement à l'upgrade Spx présent au moment de l'infection ?
1) Une idée sur ce qui a causé ce problème au boot ?
2) Cette machine, infectée, a été connectée à un disque/une clef usb. Comment vérifier la bonne santé de ceux-ci ?
Merci en tout cas à toi et aux personnes qui ont développé les outils dont il est question dans ce fil.
Mon ami ne l'a plus, mais je vais voir si quelqu'un peut me dépanner dans mon entourage ce w.e., puis je reviendrai.
Avant cela, quelques questions tout de même :
0) quelle version du CD dois-je utiliser ? Celle qui correspond à mon système ? Et spécifiquement à l'upgrade Spx présent au moment de l'infection ?
1) Une idée sur ce qui a causé ce problème au boot ?
2) Cette machine, infectée, a été connectée à un disque/une clef usb. Comment vérifier la bonne santé de ceux-ci ?
Merci en tout cas à toi et aux personnes qui ont développé les outils dont il est question dans ce fil.
0)
un cd xp
1)
je sais pas
2)
branche tes usb à un pc et fais ca
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option RECHERCHE
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
un cd xp
1)
je sais pas
2)
branche tes usb à un pc et fais ca
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option RECHERCHE
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Bonjour - bonjour, je suis de retour...
On m'a prêté le CD fourni pour l'installation de windows installée sur l'ordi de mon ami. Je suis à pied d'oeuvre !
NB : merci pour les indications concernant le traitement des périphs usb. Ils paraissent infectés, mais je verrai cela plus tard : mise en quarantaine physique. Je suis bonne pour avoir à faire un traitement lourd de tout le matos de cette thurne, d'ailleurs. Je créerai des fils pour chacun d'entre eux : je crois que je vais hanter ce forum :-).
On m'a prêté le CD fourni pour l'installation de windows installée sur l'ordi de mon ami. Je suis à pied d'oeuvre !
NB : merci pour les indications concernant le traitement des périphs usb. Ils paraissent infectés, mais je verrai cela plus tard : mise en quarantaine physique. Je suis bonne pour avoir à faire un traitement lourd de tout le matos de cette thurne, d'ailleurs. Je créerai des fils pour chacun d'entre eux : je crois que je vais hanter ce forum :-).
J'ai suivi le lien et la méthode 1.
J'ai eu un messqge d'erreur de copie peu après la saisie du numéro de série :
"
le programme d'installation ne peut pas copier le fichier cmprops.dl_
Vérifiez que le disque étiqueté ÇD du service pack 3 [...] est dans le lecteur ci-dessous, ou spécifiez l'endroit où se trouve le fichier.
Copier les fichiers à partir de :
"
Et là, il me propose :
- D:\i386
- C:\DELL\DRIVERS\R219871\DRIVER_ROW
- C:\DELL\DRIVERS\R151517\DRIVER
- C:\DELL\DRIVERS\R114200
Que fais-je ?
Je peux au choix : grignoter un nouveau bout de l'écran, recommencer, annuler, parcourir l'arborescence des dossiers (tout a l'air toujours là, d'ailleurs).
J'ai eu un messqge d'erreur de copie peu après la saisie du numéro de série :
"
le programme d'installation ne peut pas copier le fichier cmprops.dl_
Vérifiez que le disque étiqueté ÇD du service pack 3 [...] est dans le lecteur ci-dessous, ou spécifiez l'endroit où se trouve le fichier.
Copier les fichiers à partir de :
"
Et là, il me propose :
- D:\i386
- C:\DELL\DRIVERS\R219871\DRIVER_ROW
- C:\DELL\DRIVERS\R151517\DRIVER
- C:\DELL\DRIVERS\R114200
Que fais-je ?
Je peux au choix : grignoter un nouveau bout de l'écran, recommencer, annuler, parcourir l'arborescence des dossiers (tout a l'air toujours là, d'ailleurs).
Recommencer donne la même chose.
Rhuumf. Le Théorême de l'Emm** Maximum a encore frappé.
Peut-être que le DD est abîmé, mais pourquoi est-ce que je vois toujours son contenu, alors ? Qu'est-ce qui serait abîmé ?
Pourquoi me propose-t-il d'ouvrir spécifiquement un dossier contenant les drivers DELL ?
J'ai essayé d'annuler : il me propose de continuer l'installation sans copier ce fichier.
C'est à présent IEXPLORE.EX_ qu'il ne peut pas copier...
Je vais terminer cet essai de réparation et regarder comment tester les barrettes mémoire. Si tu as un conseil à ce propos...
Rhuumf. Le Théorême de l'Emm** Maximum a encore frappé.
Peut-être que le DD est abîmé, mais pourquoi est-ce que je vois toujours son contenu, alors ? Qu'est-ce qui serait abîmé ?
Pourquoi me propose-t-il d'ouvrir spécifiquement un dossier contenant les drivers DELL ?
J'ai essayé d'annuler : il me propose de continuer l'installation sans copier ce fichier.
C'est à présent IEXPLORE.EX_ qu'il ne peut pas copier...
Je vais terminer cet essai de réparation et regarder comment tester les barrettes mémoire. Si tu as un conseil à ce propos...
C'est déjà fait depuis samedi.
Mon ami me signale que l'ordi "grattait" souvent. Effectivement, je l'ai entendu faire lorsque j'ai enfin pu finir de le mettre en route.
Qu'est-ce qu'il y a à changer, finalement ?
(question subsidiaire : doit-on rediriger ce post vers une autre section du forum :-) ?)
Mon ami me signale que l'ordi "grattait" souvent. Effectivement, je l'ai entendu faire lorsque j'ai enfin pu finir de le mettre en route.
Qu'est-ce qu'il y a à changer, finalement ?
(question subsidiaire : doit-on rediriger ce post vers une autre section du forum :-) ?)