Windows repair Fermé

Question

Bonjour!!

C'est la première fois que je poste un message, j'espère que je trouverai de l'aide à mon problème, je vous explique:

J'essaie de retirer le virus windows repair du pc de mes parents:

Presque plus d'îcones sur le bureau, dossiers disparus (mais je les retrouve quand même en dossiers cachés), et plein de messages d'erreur...

J'ai essayé de trouver des logiciels pour enlever le virus, j'ai donc fait quelques recherches sur internet, et j'ai donc téléchargé " "

Après avoir scanné le PC, le logiciel m'a bien retrouvé windows repair et plein de petits fichiers indésirables à supprimer, mais au moment de les supprimer, il faut payer !!!

Après quelques recherches, il semblerait que ce soit aussi un faux logiciel!!!

Bref...

Avez-vous des solutions pour en venir à bout??

Merci d'avance pour vos réponses!

Bonne soirée, 

Sarah.

gen-hackman · Answer

salut

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

et enregistre le sur ton bureau et lance l'installation 

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ces liens dans ta réponse.

gen-hackman · Answer

oui fais :)

gen-hackman · Answer

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse 

&#9654 envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

missys29 · Answer

Salut!!

Je viens de faire la manip demandée, par contre hier soir du coup j'ai eteint le pc, et là en le rallumant, toutes les icones ne sont pas réapparues sur le bureau, c'est normal?

En tout cas, voici le rapport kill'em:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.8 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 06/04/2011 | 17.00 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : SARAH

Système d'exploitation : Microsoft Windows XP  (32 bits)

a:\ -> [Removable] | [] | Total : 0 Mo | Free : 0 Mo -> 
c:\ -> [Fixed] | [] | Total : 55230 Mo | Free : 37220 Mo -> NTFS
d:\ -> [CDROM] | [] | Total : 0 Mo | Free : 0 Mo -> 
e:\ -> [CDROM] | [] | Total : 80 Mo | Free : 0 Mo -> CDFS

Scan : 19:28:56 | 08/04/2011


¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost



¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

Mise en quarantaine :  C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp
Mise en quarantaine :  C:\Documents and Settings\Administrateur\Application Data\Temporary\SP_A0135.jpg
Mise en quarantaine :  C:\Documents and Settings\Administrateur\Application Data\Temporary\SP_A0147.jpg
Mise en quarantaine :  C:\Documents and Settings\Administrateur\Application Data\Temporary\SP_A0148.jpg
Mise en quarantaine :  C:\Documents and Settings\Administrateur\Application Data\Temporary
Erreur de suppression :  C:\Documents and Settings\Administrateur\Application Data\Temporary
Mise en quarantaine :  C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Windows Repair 
Erreur de suppression :  C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Windows Repair 
Mise en quarantaine :  C:\WINDOWS\system32\sshnas??.dll     
Erreur de suppression :  C:\WINDOWS\system32\sshnas??.dll     

¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤

Service stoppé : SSHNAS


Clé supprimée : [HKLM\..\CCS\..\Root\LEGACY_SSHNAS]
Erreur de suppression : [HKLM\..\CCS\..\Root\LEGACY_SSHNAS]
Clé supprimée : [HKLM\..\CCS\Services\SSHNAS]
Clé supprimée : [HKLM\..\CS001\..\Root\LEGACY_SSHNAS]
Erreur de suppression : [HKLM\..\CS001\..\Root\LEGACY_SSHNAS]


¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤

Valeur Supprimée : [HKCU\..\..\Policies\System] | DisableTaskMgr
Valeur Supprimée : [HKLM\..\..\Policies\System] | DisableTaskMgr

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Security Center] | FirstRunDisabled = 1
[HKLM\..\..\Security Center] | AntiVirusDisableNotify = 1
[HKLM\..\..\Security Center] | FirewallDisableNotify = 1
[HKLM\..\..\Security Center] | UpdatesDisableNotify = 1
[HKLM\..\..\Security Center] | AntiVirusOverride = 0
[HKLM\..\..\Security Center] | FirewallOverride = 0


Fin : 19:31:15

¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤

et je ne suis peut-être pas très douée en informatique lol mais je ne comprends pas ta dernière instruction ^^ (zip upload ...)

En tout cas, merci de prendre tout ce temps pour me répondre!!

gen-hackman · Answer

laisse tomber le zip

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

gen-hackman · Answer

desinstalle spyware hunter 4

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Rootkit::
c:\windows\system32\drivers\dpribs8.sys

File::
c:\windows\Cnivyb.exe
c:\windows\Cnivya.exe
c:\program files\Mozilla Firefox\up.exe

Folder::
C:\sh4ldr
c:\windows\41EBC322660F4D16A0DF53147210CBDB.TMP

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"=-
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"HP Component Manager"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] => Microsoft Windows Policies Explorer
"NoResolveTrack"=-

Driver::
SpyHunter 4 Service

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

missys29 · Answer

Bonsoir!!

Voici le rapport c:/combofix.txt:


http://www.cijoint.fr/cjlink.php?file=cj201104/cijjhH2SC8.txt

Merci!! Je me répète ! !lol

Sarah

gen-hackman · Answer

je viens de realiser

il sort d'ou ce windows ?

missys29 · Answer

Comment ça il sort d'où...

je crois qu'il y a 2 ou 3 ans, mes parents on eu un souci avec l'ordi, donc un copain a moi a fait quelques manips dessus, et on a du tout réinitialiser et il me semble qu'il a installé un nouveau windows... Mais je n'en suis pas sûre..

Il y a un problème du coup?

gen-hackman · Answer

il n'est pas officiel il vous a installé un windows "maison" :)

missys29 · Answer

Mais au niveau du virus, c'est réglé? 

Et le fait que ce soit un windows "maison" ça change quoi?

gen-hackman · Answer

ca change que les outils ne peuvent pas travailler correctement , que les mises à jour ne peuvent etre effectuées pleinement donc failles de securité non comblée , donc impossible de ne pas etre infecté