Virus Windows Recovery + Win32
Rebe-K
Messages postés
14
Statut
Membre
-
Rebe-K Messages postés 14 Statut Membre -
Rebe-K Messages postés 14 Statut Membre -
Bonjour,
Depuis 3 jours j'essaye de réparer mon pc.
J'ai eu droit au faux anti virus: Windows Recovery.
Depuis le son du pc se coupe tout seul, les fenêtres ressemblent à celles de windows 98 et je ne peux plus accéder à une seule page sur google chrome.
J'ai tenté premièrement avec SpyBot.
Puis j'ai suivi les conseils en utilisant ZHPDiag.
Malgré tout, dans mes reports il est noté que mes clés sont absentes (cf. clé registre plus bas)
J'ai ensuite lancé combofix qui ne me trouve aucun fichier infecté.
J'ai récupéré mes dossiers en passant par l'affichage des dossiers cachés.
Le problème persiste mais d'une manière différente.
Le programme Windows Recovery est toujours disponible dans la liste des programmes de "démarrer". Existe t'il une solution pour le supprimer définitivement?
Depuis je reçois un message "Generic Hos PRocess for Win32 Services" qui me dit: "Generic Host Process for Win32 Services a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.".
Je n'accède toujours pas à google chrome, mon pc est ralenti et fonctionne d'une manière étrange.
J'ai même utilisé Roguekiller qui m'a été conseillé par un ami mais sans succès. J'ai pensé à restaurer le système à une date précédente, mais la seule date de restauration possible (impossible de passer aux mois précédents) est la date ou le problème est survenu, donc pas forcément une solution.
Auriez vous une solution simple pour tout cela?
Merci pour vos conseils.
========== Clé(s) du Registre ==========
HKCU\Software\BearShare => Clé absente
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente
HKLM\Software\Classes\imside1egate.application.1 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "%windir%\system32\drivers\svchost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.) => Valeur absente
O47 - AAKE:Key Export DP - "%windir%\system32\drivers\svchost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.) => Valeur absente
.
Depuis 3 jours j'essaye de réparer mon pc.
J'ai eu droit au faux anti virus: Windows Recovery.
Depuis le son du pc se coupe tout seul, les fenêtres ressemblent à celles de windows 98 et je ne peux plus accéder à une seule page sur google chrome.
J'ai tenté premièrement avec SpyBot.
Puis j'ai suivi les conseils en utilisant ZHPDiag.
Malgré tout, dans mes reports il est noté que mes clés sont absentes (cf. clé registre plus bas)
J'ai ensuite lancé combofix qui ne me trouve aucun fichier infecté.
J'ai récupéré mes dossiers en passant par l'affichage des dossiers cachés.
Le problème persiste mais d'une manière différente.
Le programme Windows Recovery est toujours disponible dans la liste des programmes de "démarrer". Existe t'il une solution pour le supprimer définitivement?
Depuis je reçois un message "Generic Hos PRocess for Win32 Services" qui me dit: "Generic Host Process for Win32 Services a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.".
Je n'accède toujours pas à google chrome, mon pc est ralenti et fonctionne d'une manière étrange.
J'ai même utilisé Roguekiller qui m'a été conseillé par un ami mais sans succès. J'ai pensé à restaurer le système à une date précédente, mais la seule date de restauration possible (impossible de passer aux mois précédents) est la date ou le problème est survenu, donc pas forcément une solution.
Auriez vous une solution simple pour tout cela?
Merci pour vos conseils.
========== Clé(s) du Registre ==========
HKCU\Software\BearShare => Clé absente
HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4} => Clé absente
HKLM\Software\Classes\imside1egate.application.1 => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "%windir%\system32\drivers\svchost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.) => Valeur absente
O47 - AAKE:Key Export DP - "%windir%\system32\drivers\svchost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.) => Valeur absente
.
A voir également:
- Virus Windows Recovery + Win32
- Android recovery - Guide
- Clé windows 8 - Guide
- Montage video gratuit windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
7 réponses
salut poste ton rapport de combofix et roguekiller
......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
Hello pour avancer Gen Hackman
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: DirLook:: C:\32788R22FWJFW Rootkit:: c:\windows\mc76412.exe c:\windows\mc00255.exe c:\windows\system32\cmd.execf c:\windows\system32\CF27296.exe c:\documents and settings\CYRIEL~1\LOCALS~1\Temp\DAT26C8.tmp.exe c:\windows\system32\drivers\ethaojmp.sys Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- "iTunesHelper"=- "Adobe Reader Speed Launcher"=- [HKLM\SYSTEM\CurentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\mc00255.exe"= - Driver:: ethaojmp MemChecker mnjvagekodmzj jnzparmb NetSvc:: jnzparmb Reboot::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Merci juju666.
J'ai bien fait comme indiqué et voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijVfKq1Hp.txt
Les symptômes depuis sont toujours les mêmes: le son se coupe, mes pages et barre de tâche s'affiche souvent en windows 98 et une page pour un problème win32 s'ouvre toujours.
J'ai bien fait comme indiqué et voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijVfKq1Hp.txt
Les symptômes depuis sont toujours les mêmes: le son se coupe, mes pages et barre de tâche s'affiche souvent en windows 98 et une page pour un problème win32 s'ouvre toujours.
▶ Télécharge ici : USBFIX sur ton bureau
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
branche tous tes periphériques sans les ouvrir
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Ah oui j'avais déjà utilisé USBFix une fois (il y a longtemps pour m'assurer que mes clefs usb n'avaient pas été touchées par un virus), c'est drolement bien développé.
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijXXb3eAG.txt
Je ne veux pas m'avancer trop, mais il me parrait que mon pc ne "plante" plus comme avant. Du moins cela fait quelques heures que je ne vois plus de fenêtre s'afficher pour win32, ni de modification en windows 98. (avec ma chance, une nouvelle fenêtre s'affichera après l'envoi de ce message ahahah)
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijXXb3eAG.txt
Je ne veux pas m'avancer trop, mais il me parrait que mon pc ne "plante" plus comme avant. Du moins cela fait quelques heures que je ne vois plus de fenêtre s'afficher pour win32, ni de modification en windows 98. (avec ma chance, une nouvelle fenêtre s'affichera après l'envoi de ce message ahahah)
le 17/04...hum si c'était dimanche c'est peut être un copain informaticien qui a regardé ça 2 secondes mais je ne sais pas trop ce qu'il a fait vu que je n'étais pas dans la salle à ce moment. Il y a un problème avec ce qu'il a fait?
Pour le virus win32, vu que je viens de recevoir une nouvelle fenêtre indiquant son dysfonctionnement, j'imagine qu'il n'est pas encore neutralisé.
Pour le virus win32, vu que je viens de recevoir une nouvelle fenêtre indiquant son dysfonctionnement, j'imagine qu'il n'est pas encore neutralisé.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
explique-moi comment tu procedes pour le cfscript et essaie de repondre aux choses qu on ecrit
Je veux bien répondre, mais il faudrait qu'il y ait des questions pour cela ;)
Si tu parles du Nod32 (mon antivirus qui s'affiche comme périmé dans tous les cas), je l'ai désactivé avant de procéder à combofix. Je vais retenter à nouveau. Et pour le cfscript, je ne fais que glisser le document texte sur l'icône de combofix qui se lance donc automatiquement.
Si tu parles du Nod32 (mon antivirus qui s'affiche comme périmé dans tous les cas), je l'ai désactivé avant de procéder à combofix. Je vais retenter à nouveau. Et pour le cfscript, je ne fais que glisser le document texte sur l'icône de combofix qui se lance donc automatiquement.
En fait j'ai re-vérifié, je l'avais bien fait en copiant tout mais en enlevant la ligne que tu avais demandé...donc ce n'était pas du à ça...
Mais bon au cas ou je viens de le refaire une troisième fois. J'avais désactivé mon antivirus, mais il était toujours détecté comme actif par Combofix...Vu que celui ci ne fonctionnait plus (enfin il s'affichait périmé) je l'ai carrément désinstallé et j'ai envoyé combofix en glissant le CFScript dessus.
Voici le dernier rapport: http://www.cijoint.fr/cjlink.php?file=cj201104/cijmA34pUO.txt
Cependant, la fenêtre mentionnant que Generic Host Process for Win32 a rencontré un problème vient de s'afficher à nouveau à l'instant.
Mais bon au cas ou je viens de le refaire une troisième fois. J'avais désactivé mon antivirus, mais il était toujours détecté comme actif par Combofix...Vu que celui ci ne fonctionnait plus (enfin il s'affichait périmé) je l'ai carrément désinstallé et j'ai envoyé combofix en glissant le CFScript dessus.
Voici le dernier rapport: http://www.cijoint.fr/cjlink.php?file=cj201104/cijmA34pUO.txt
Cependant, la fenêtre mentionnant que Generic Host Process for Win32 a rencontré un problème vient de s'afficher à nouveau à l'instant.
Voici les rapports:
Roguekiller: http://www.cijoint.fr/cjlink.php?file=cj201104/cijJClkAEo.txt
Combofix: http://www.cijoint.fr/cjlink.php?file=cj201104/cijkabI0iO.txt
C'est en regardant un peu le rapport combofix que je me suis rendue compte que mon antivirus (qui doit normalement durer plusieurs années) semble être périmé, ce qui m'étonne un peu...Dois-je tenter de le réinstaller de nouveau ou j'attend que tous les trojans soient supprimés avant de le faire?
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
c:\windows\mc76412.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Ils disent que ce fichier a déjà été analysé par le passé.
Voici le rapport: http://www.virustotal.com/file-scan/report.html?id=526db8d09592a6eb0358354c3fd23ce995c20c0ebb208ff1513e1cd0603b41b9-1303342926