Problème Windows Recovery (MALWARE)

limo760 -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,

Je vous sollicite pour un problème.
Ma colloc allemande a cliqué sur une boîte de dialogue nous invitant à installer un utilitaire windows (windows recovery)
Il s'agissait en fait d'une pub mensongère et tout le bureau ainsi que tous les fichiers étaient cachés.

J'ai d'abord fait un scan avec un ptit logiciel (Housecall) et il a enlevé des trojan.

Voyant que cela n'avait aucun effet, j'ai tapé dans MSCONFIG de démarrer windows avec les utilitaires de base. Mais cela n'a rien n'a changé.

J'ai donc trouvé sur le forum d'utiliser le logiciel KILLEROGUE (j'ai fait un scan, puis supprimer, puis fait tout réapparaître).

Problème : le fond d'écran est revenu, les icônes sur le bureau aussi, mais il n'y a plus rien dans le démarrer, (on peut retrouver l'ordinateur en faisant une recherche), de plus quand on ouvre le gestionnaire de tâche, ou l'utilitaire pour restaurer à une date antérieure, les fenêtres apparaissent mais les boutons n'apparaissent pas ou très peu, et msconfig n'apparaît presque plus. (fenêtre allongé mais sans rien). Je peux vous envoyer des captures d'écrans si vous souhaitez...

Et impossible d'installer malwarebytes (on voit une barre verticale en plein milieu de l'écran). Mais la fenêtre ne s'affiche pas..! Et internet ne marche pas non plus ...(il n'y a pas de proxi configuré).

Merci pour votre aide à l'avance!

L'ordinateur est un samsung (mini pc) sous seven Starter !

1 réponse

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour si je comprend bien tu as utiliser rogukiller ok tu as fais quoi comme option ??
    passes le en mode 6

    Télécharger sur le bureau RogueKiller https://www.luanagames.com/index.fr.html
    Quitter tous les programmes en cours
    Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    Sinon lancer simplement RogueKiller.exe
    Lorsque demandé, taper 6 et valider
    Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
    0
    1. limo760
       
      Bonjour Jacques,

      J'ai fait le scan (1), supprimer (2) et pour refaire apparaître (6) !

      As tu besoin du rapport?
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      si tu as déjà fais l'option 6 bizarre que tu n'ai pas retrouver tes truc , situ as les rapport poste les !!et puis postes un zhpdiag pour voire si on y trouve pas autre choses , merci

      Ouvre ce lien et télécharge ZHPDiag :

      https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

      cliques sur télécharger "celui du bas"

      ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



      Enregistres le sur ton Bureau.

      Une fois le téléchargement achevé

      pour XP, double-clique sur ZHPDiag

      pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

      N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

      /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : https://www.cjoint.com/
      0
    3. limo760
       
      Merci Jacques,

      J'ai téléchargé ZHP DIAG comme tu me l'as soumis.

      Mais pareil que malwarebytes,après l'avoir ouvert en tant qu'admin, la fenêtre apparaît, mais est grise...il y a juste la croix dans le coin, et tu vois que le logiciel est ouvert car il apparaît en bas..mais l'affichage n'est pas bon, comme pour le gestionnaire de tâches, ou msconfig et bien d'autres...! c'est très bizarre !
      0
    4. limo760
       
      Voici le 1er scan du rogue KILLER :

      RogueKiller V6.1.4 [10/22/2011] by Tigzy
      contact at http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Operating System: Windows 7 (6.1.7600 ) 32 bits version
      Started in : Normal mode
      User: Rangina [Admin rights]
      Mode: Scan -- Date : 10/30/2011 17:21:12

      Bad processes: 0

      Registry Entries: 6
      [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
      [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
      [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
      [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
      [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

      Particular Files / Folders:

      Driver: [LOADED]

      HOSTS File:


      Finished : << RKreport[1].txt >>
      RKreport[1].txt
      0
    5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok cela est la recherche de roguekiller !! as tu les autres , !!
      essais de redémarrer le pc en mode sans echec avec prise en charge du réseau et regarde si internet fonctionne et fais zhpdiag !!


      .Cliques sur Démarrer
      .Cliques sur Arrêter
      .Sélectionnes Redémarrer et au redémarrage
      .Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
      .Utilises les touches de direction pour sélectionner mode sans échec avec prise en charge du réseau
      .puis appuis sur ENTRÉE
      .Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
      une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude
      0