Virus : "Windows a été bloqué"

Question

Bonjour, 

J'ai depuis hier un gros problème de virus. C'était d'abord Smart Protect 2012, pour lequel j'ai téléchargé de nombreux antivirus, et je ne sais même pas si j'ai réussi à le faire partir (en tout cas il n'est plus visible). Ensuite ce virus a fait entrer BackDoor Agent, et en essayant de faire dégager ce virus (encore de nombreuses recherches de virus, notamment avec MalwareBytes), j'ai voulu faire une réinitialisation du système.
Sauf que c'est là que les ennuis s'enveniment : J'ai eu un autre virus, dont le nom reste inconnu.
En effet, quand Windows démarre, une fraction de seconde après que le bureau s'affiche, j'ai un message : "Pour des raisons de sécurité, Windows a été bloqué". J'ai cherché partout sur Internet avec un autre ordinateur, mais rien n'est indiqué sur ce virus ! (à part peut-être l'évocation d'un truc de ce genre en Allemagne, mais rien de concluant).

En ce moment donc, je ne peux strictement rien faire sous Windows, ce message s'affichant. On voit bien que c'est un virus : fautes dans le message, esthétique très douteuse (écriture blanche et rouge sur fond noir, plus-que-basique)... Mais je ne peux rien lancer par dessus comme application.

En mode sans échec, ça n'apparait pas, mais mon antivirus (toujours MalwareBytes) ne détecte rien, et n'arrive pas à en venir à bout.

A l'aide !

Merci d'avance

Configuration: Windows 7 / Firefox 9.0.1

Malekal_morte- · Accepted Answer

Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 

Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad 

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com

D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=

GuiB · Answer

Voici le lien, je te remercie d'avance pour ton aide

http://pjjoint.malekal.com/files.php?id=20120126_h8b11i7s12h8


Gui

g3n-h@ckm@n · Answer

je peux avoir le nom de cette dll manquante ?

g3n-h@ckm@n · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape EFCD.tmp.tmp 

 dans cette fenêtre 

confirme la recherche dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

GuiB · Answer

Je suis désolé, j'ai du m'absenter. J'ai essayé de télécharger SF.exe mais le lien ne fonctionne pas ... apparemment le programme a été retiré par son auteur.

g3n-h@ckm@n · Answer

désolé

http://dl.dropbox.com/u/21363431/SEAF.exe

GuiB · Answer

Et voici le lien vers le log.txt
http://pjjoint.malekal.com/files.php?id=20120126_y6q513s15m9
Merci de ton aide précieuse

g3n-h@ckm@n · Answer

tu ne lis pas ce que je demande....

GuiB · Answer

ha désolé, c'est la fatigue. Voici :
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 22:08:07 le 26/01/2012
4. 
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. 
11. ====== Fichier(s) ======
12. 
13. Aucun fichier trouvé
14. 
15. =========================
16. 
17. Fin à: 22:13:33 le 26/01/2012
18. 387566 Éléments analysés
19. 
20. =========================
21. E.O.F

g3n-h@ckm@n · Answer

meme chose ....

GuiB · Answer

Voici, j'avais peut être oublié de préciser la recherche dans le registre : 
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 22:47:51 le 26/01/2012
4. 
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. Aucun élément dans le registre trouvé
20. 
21. =========================
22. 
23. Fin à: 22:55:23 le 26/01/2012
24. 650960 Éléments analysés
25. 
26. =========================
27. E.O.F

Si ce n'est pas toujours ce que tu attends, je suis vraiment désolé mais pourrais tu m'indiquer ce qu'il ne va pas. Merci

g3n-h@ckm@n · Answer

y a rien

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

GuiB · Answer

Voici les 2 liens :
http://pjjoint.malekal.com/files.php?id=20120127_n12n9q13k13t8
http://pjjoint.malekal.com/files.php?id=20120127_i9c6c15d8g9
Merci

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Setwallpaper"=-
"IntelTBRunOnce"=-

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

GuiB · Answer

Le rapport ne s'est pas affiché au démarrage, ou puis-je le trouver ? J'ai remarqué des fichiers text qui sont apparus sur le bureau nommés desktop.ini au démarrage..

g3n-h@ckm@n · Answer

oui laisse-les on les remettra en caché ce sont des fichiers systeme
=====================
le rapport :

C:\_OTL\MovedFiles\la_date_et_l'heure.log

GuiB · Answer

D'accord merci. J'ai trouvé, voici le lien :
http://pjjoint.malekal.com/files.php?id=20120127_x7j7e8d14f12

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

GuiB · Answer

Voici, j'ai suivi la procédure que tu m'as donné
http://pjjoint.malekal.com/files.php?id=20120129_g12i14e1512m10
Merci encore pour ton aide !

g3n-h@ckm@n · Answer

ok encore des soucis ?

GuiB · Answer

Il ne me semble plus avoir de soucis avec un virus, il n'y a donc plus de virus sur mon ordinateur ? Par contre j'ai un problème avec Office 2010 qui lors du démarrage de word ou tous les autres logiciels me signale une erreur de licence que j'ai pourtant déjà rentrée et ce message me bloque complètement l'accès à office. Est ce que cela peut être lié à une infection ?

g3n-h@ckm@n · Answer

depuis quand ?

GuiB · Answer

Depuis quelques jours mais je ne sais pas avant quelle opération...

g3n-h@ckm@n · Answer

tu l'as eu où office 2010 ?

GuiB · Answer

C'est une version étudiante que j'ai eu avec mon école.

g3n-h@ckm@n · Answer

mmmm.....regarde sur windows update s'ils ont pas des mises à jour à te proposer le concernant

GuiB · Answer

J'ai regardais mais je n'ai rien trouvé. En tout cas mon ordinateur n'est plus infecté alors ?
Merci pour ton aide.

g3n-h@ckm@n · Answer

tu peux pas voir avec l'ecole pour qu'ils te le reinstallent ?

GuiB · Answer

En fait, je n'arrive même plus à désinstaller ni à réparer Office. Crois tu qu'il pourrais être nécessaire de formater mon ordinateur ?

g3n-h@ckm@n · Answer

precise le probleme

GuiB · Answer

A chaque fois que je démarre word ou un autre programme de Office soit il ouvre le programme puis il me dit qu'office ne peut pas vérifier la licence et qu'il va fermer sans que je puisse faire autre chose soit l'installation d'office démarre et ne fonctionne pas. J'ai donc essayer de le désinstaller pour le réinstaller plus tard mais soit la désinstallation n'a pas réussi, soit encore un problème de licence qui ne peut pas être trouvé alors que pourtant j'ai bien la clé d'office.

g3n-h@ckm@n · Answer

desinstalle-le avec ca : 

https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/ 

en mode avancé , ignore l'avertissement de windows installer puis supprime tout ce qu il trouve registre + dossiers/fichiers
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

GuiB · Answer

J'ai fait la manip, mais le désinstaller de office se lance et la désinstallation échoue. Après, sa lance la recherche de base de registre mais cela ne s'arrête pas. On m'a parlé de la touche touche F9 sur les ordinateurs asus qui permettrait de remettre l'ordinateur à zéro, cela peut-être une solution ?

g3n-h@ckm@n · Answer

si t'as rien à perdre....

charl · Answer

Bonjour,

J'ai actuellement le même problème que GuiB. Au démarrage de mon pc, directement après l'apparition du bureau, une fenêtre s'ouvre annonçant "Pour des raisons de sécurité, Windows a été bloqué".

Etant assez novice en informatique, je ne comprends pas trop les explications citées dans ce forum, et je n'ai pas accès à mon bureau, donc je ne vois pas comment envoyer un pre_scan ou autre chose de la sorte.

Merci d'avance pour votre aide

Charles

Virus : "Windows a été bloqué"

35 réponses

Votre réponse

Discussions similaires