Problème Windows Recovery (MALWARE)

Fermé

limo760 - 30 oct. 2011 à 22:58
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 - 31 oct. 2011 à 11:30

Bonjour,

Je vous sollicite pour un problème.
Ma colloc allemande a cliqué sur une boîte de dialogue nous invitant à installer un utilitaire windows (windows recovery)
Il s'agissait en fait d'une pub mensongère et tout le bureau ainsi que tous les fichiers étaient cachés.

J'ai d'abord fait un scan avec un ptit logiciel (Housecall) et il a enlevé des trojan.

Voyant que cela n'avait aucun effet, j'ai tapé dans MSCONFIG de démarrer windows avec les utilitaires de base. Mais cela n'a rien n'a changé.

J'ai donc trouvé sur le forum d'utiliser le logiciel KILLEROGUE (j'ai fait un scan, puis supprimer, puis fait tout réapparaître).

Problème : le fond d'écran est revenu, les icônes sur le bureau aussi, mais il n'y a plus rien dans le démarrer, (on peut retrouver l'ordinateur en faisant une recherche), de plus quand on ouvre le gestionnaire de tâche, ou l'utilitaire pour restaurer à une date antérieure, les fenêtres apparaissent mais les boutons n'apparaissent pas ou très peu, et msconfig n'apparaît presque plus. (fenêtre allongé mais sans rien). Je peux vous envoyer des captures d'écrans si vous souhaitez...

Et impossible d'installer malwarebytes (on voit une barre verticale en plein milieu de l'écran). Mais la fenêtre ne s'affiche pas..! Et internet ne marche pas non plus ...(il n'y a pas de proxi configuré).

Merci pour votre aide à l'avance!

L'ordinateur est un samsung (mini pc) sous seven Starter !

A voir également:

Problème Windows Recovery (MALWARE)
Android recovery - Guide
Clé windows 10 gratuit - Guide
Montage video windows - Guide
Windows ne démarre pas - Guide
Malware byte - Télécharger - Antivirus & Antimalwares

1 réponse

Réponse 1 / 1

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
30 oct. 2011 à 23:16

bonjour si je comprend bien tu as utiliser rogukiller ok tu as fais quoi comme option ??
passes le en mode 6

Télécharger sur le bureau RogueKiller https://www.luanagames.com/index.fr.html
Quitter tous les programmes en cours
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Sinon lancer simplement RogueKiller.exe
Lorsque demandé, taper 6 et valider
Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

limo760
30 oct. 2011 à 23:24

Bonjour Jacques,

J'ai fait le scan (1), supprimer (2) et pour refaire apparaître (6) !

As tu besoin du rapport?

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
30 oct. 2011 à 23:29

si tu as déjà fais l'option 6 bizarre que tu n'ai pas retrouver tes truc , situ as les rapport poste les !!et puis postes un zhpdiag pour voire si on y trouve pas autre choses , merci

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Fermes ZHPDiag en fin d'analyse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

et si problème passe par celui ci : https://www.cjoint.com/

limo760
30 oct. 2011 à 23:46

Merci Jacques,

J'ai téléchargé ZHP DIAG comme tu me l'as soumis.

Mais pareil que malwarebytes,après l'avoir ouvert en tant qu'admin, la fenêtre apparaît, mais est grise...il y a juste la croix dans le coin, et tu vois que le logiciel est ouvert car il apparaît en bas..mais l'affichage n'est pas bon, comme pour le gestionnaire de tâches, ou msconfig et bien d'autres...! c'est très bizarre !

limo760
30 oct. 2011 à 23:47

Voici le 1er scan du rogue KILLER :

RogueKiller V6.1.4 [10/22/2011] by Tigzy
contact at http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7600 ) 32 bits version
Started in : Normal mode
User: Rangina [Admin rights]
Mode: Scan -- Date : 10/30/2011 17:21:12

Bad processes: 0

Registry Entries: 6
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

Particular Files / Folders:

Driver: [LOADED]

HOSTS File:

Finished : << RKreport[1].txt >>
RKreport[1].txt

jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
31 oct. 2011 à 11:30

ok cela est la recherche de roguekiller !! as tu les autres , !!
essais de redémarrer le pc en mode sans echec avec prise en charge du réseau et regarde si internet fonctionne et fais zhpdiag !!

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec avec prise en charge du réseau
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude