Me debarasser de windows xp recovery svp ....

Zabays -  
 g3n-h@ckm@n -
Bonjour,

Au démarrage mon ordi est bloqué en raison d'erreurs critiques soit disant.
Je ne peux pas sortir d'une page "d'aide" de windows xp recovery.
Je n'ai jamais entendu parler de ce logiciel.
Quelqu'un pourrait-il m'aider ?
Merci d'avance.

97 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Le démarrage est bloqué par des messages d'erreur prétendument critiques affichés par un outil nommé Windows XP Recovery, ce qui semble indiquer une infection plutôt qu’un problème système légitime.
Plusieurs intervenants estiment qu'il s'agit d'un rogue tenace et recommandent des outils de désinfection tels que RogueKiller, puis d'établir un rapport détaillé pour permettre l'analyse par les éditeurs d'antivirus.
Des procédures techniques sont également proposées, incluant des scripts et rapports à copier/coller (Pre_Script, ZHPFix, TDSSKiller) et l'examen des éléments de registre et des objets de démarrage.
Enfin, certaines contributions évoquent l'intérêt, avant nettoyage, de collecter des traces d'activité et des rapports pour enrichir l'analyse des éditeurs et orienter les actions de réparation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    bonjour il s'agit d'un rogue tenace actuellement très répendu !

    télécharge le logiciel roguekiller et colle nous un rapport avec l'option 2

    a plus
    2
    1. Zabays
       
      rapport rogue killer :

      RogueKiller V5.2.2 [05/06/2011] par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur: Administrateur [Droits d'admin]
      Mode: Suppression -- Date : 13/06/2011 21:04:49

      Processus malicieux: 0

      Entrees de registre: 2
      [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

      Fichier HOSTS:
      127.0.0.1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
  2. g3n-h@ckm@n
     
    salut pour avancer jlpjlp :

    fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

    selectionne ce texte sans les lignes :
    ___________________________________________________
    file::
    C:\Documents and Settings\All Users\Application Data\qwpBUWKFBbisA.exe

    folder::
    C:\Documents and Settings\jerome\Local Settings\Application Data\ArmA
    C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "qwpBUWKFBbisA"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"=-
    "HP Software Update"=-
    "Adobe Reader Speed Launcher"=-

    ___________________________________________________

    copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

    colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
    1
  3. Zabays
     
    Merci de ton aide.

    Voici le rapport rogue killer:

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 13/06/2011 21:04:49

    Processus malicieux: 0

    Entrees de registre: 2
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok colle un rapport avec l'option 6

    puis télécharge le logiciel malwarebyte's antimalware, mets le à jour et colle un rapport d'analyse rapide avec

    a plus
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    up
    0
  7. Zabays
     
    Désolé pour le doublon du premier post, je ne savais pas ou le mettre ...

    Rapport rogue option 6 :

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 13/06/2011 21:17:08

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 35 / Fail 0
    Menu demarrer: Success 66 / Fail 0
    Dossier utilisateur: Success 44 / Fail 0
    Mes documents: Success 10 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 21931 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [A:] \Device\Floppy0 -- 0x2 --> Skipped
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\CdRom2 -- 0x5 --> Skipped
    [E:] \Device\CdRom3 -- 0x5 --> Skipped
    [G:] \Device\CdRom4 -- 0x5 --> Skipped
    [H:] \Device\CdRom5 -- 0x5 --> Skipped
    [Q:] \Device\CdRom0 -- 0x5 --> Skipped
    [R:] \Device\CdRom1 -- 0x5 --> Skipped

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok passe à malwarebyte

    a plus
    0
  9. Zabays
     
    il faut que je click sur supprimer la selection de trojan trouvés dans malware avant de poster le rapport ?
    0
  10. Zabays
     
    Rapport malware :

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6849

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 8.0.6001.18702

    13/06/2011 21:40:31
    mbam-log-2011-06-13 (21-40-25).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 204672
    Temps écoulé: 5 minute(s), 11 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\17489700.exe (Trojan.FakeAlert) -> No action taken.
    c:\documents and settings\all users\application data\qwpbuwkfbbisa.exe (Trojan.FakeAlert) -> No action taken.
    c:\documents and settings\jerome\local settings\temp\adobe_flash_player.exe (Trojan.FakeAlert) -> No action taken.
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Avant de commencer la procédure, peux-tu faire ceci.
    Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/

    Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : https://forum.malekal.com/viewtopic.php?t=33301&start=
    Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
    Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
    Enregistre le fichier url.txt sur ton bureau.
    Pour le transmettre :

    * Soit en message privé ici: https://forums.commentcamarche.net/forum/inbox/new/jlpjlp
    * Soit Envoie url.txt sur http://upload.malekal.com

    ________________

    ensuite

    supprime ce qui a été trouvé par malwarebyte

    puis colles nous un rapport avec l'option 2 de roguekiller
    0
  12. Zabays
     
    Je ne peux pas te donner les adresses monnnavigateur efface l'historiqque quand je le ferme

    Rapport rogue option 2 :

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 13/06/2011 21:52:05

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    1/t u as bien supprimé ce qui a été trouvé par malwarebyte ?

    2/ comment va le pc ?

    3/ pour faire le point aussi:

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  14. Zabays
     
    Pour l'instant le PC va bien mais je suis en mode sans echec en meme temps !!!

    Je dl ZHPDiag et je post le rapport
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    mets toi en mode normal pour voir si tout est ok ou pas

    et colle nous un rapport zhpdiag

    a plus
    0
  16. Zabays
     
    Lien vers le rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201106/ciji7w4Z11.txt
    0
  17. Zabays
     
    Je ne sais pas si ça a une incidence mais j'ai posté le dernier rapport avant d'avoire redemarré en mode normal ....

    Je redemarre là
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok il en reste un peu :)

    0/ tu peux laisser lecture seule (j 'ai pareil sur mon ordinateur ...)

    1/
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
    [HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2]
    [HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2.1]
    [HKLM\Software\Classes\CLSID\{01AD9322-02FF-4f4f-AC52-92FDA5AE65F0}]
    [HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}] =>Adware.RecordNRip
    [HKLM\Software\Classes\CLSID\{5D9E7BE9-95E5-4392-8CD2-D82DE89589ED}]
    [HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    2/

    ensuite passe un coup de tdsskiller et colle nous le rapport

    Téléchargez TDSSKiller sur votre bureau

    https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Cochez les et cliquez sur "Delete/Repair Selected".

    Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

    Informations complémentaires sur cet outil :
    https://support.kaspersky.com/5350
    0
  19. zabays
     
    j'ai redemaré en mode normal et je n'ai plus aucune icone sur mon bureau.
    C'est normal ?
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il reste des infections alors cela peu être normal

    fais mon message précédent
    0
  21. zabays
     
    en fait il y a comme une page bleue par dessus le bureau (les logiciels sont installés mais je ne les vois pas et je ne peux pas les lancer apparement).

    Je redemarre en mode sans echec ?
    0
  • 1
  • 2
  • 3
  • 4
  • 5