Virus : "Windows a été bloqué"

GuiB -  
 tom -
Bonjour,

J'ai depuis hier un gros problème de virus. C'était d'abord Smart Protect 2012, pour lequel j'ai téléchargé de nombreux antivirus, et je ne sais même pas si j'ai réussi à le faire partir (en tout cas il n'est plus visible). Ensuite ce virus a fait entrer BackDoor Agent, et en essayant de faire dégager ce virus (encore de nombreuses recherches de virus, notamment avec MalwareBytes), j'ai voulu faire une réinitialisation du système.
Sauf que c'est là que les ennuis s'enveniment : J'ai eu un autre virus, dont le nom reste inconnu.
En effet, quand Windows démarre, une fraction de seconde après que le bureau s'affiche, j'ai un message : "Pour des raisons de sécurité, Windows a été bloqué". J'ai cherché partout sur Internet avec un autre ordinateur, mais rien n'est indiqué sur ce virus ! (à part peut-être l'évocation d'un truc de ce genre en Allemagne, mais rien de concluant).

En ce moment donc, je ne peux strictement rien faire sous Windows, ce message s'affichant. On voit bien que c'est un virus : fautes dans le message, esthétique très douteuse (écriture blanche et rouge sur fond noir, plus-que-basique)... Mais je ne peux rien lancer par dessus comme application.

En mode sans échec, ça n'apparait pas, mais mon antivirus (toujours MalwareBytes) ne détecte rien, et n'arrive pas à en venir à bout.

A l'aide !

Merci d'avance

35 réponses

  • 1
  • 2
Résumé de la discussion

Un ordinateur Windows est infecté par plusieurs malwares, Smart Protect 2012 et BackDoor Agent, et affiche au démarrage un message de blocage : "Pour des raisons de sécurité, Windows a été bloqué". En parallèle, les tentatives de nettoyage avec MalwareBytes et les conseils pour RogueKiller sont évoqués, avec des prérequis et des ajustements pour contourner les blocages et démarrer l’analyse. Les propositions concrètes incluent l’exécution de RogueKiller en mode pré-scan, parfois en renommant l’exécutable, et la consultation de journaux pour repérer des éléments suspects. D’autres méthodes et ressources techniques sont proposées, notamment des recherches dans le registre et des rapports d’activité afin d’identifier et supprimer les composants malveillants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...

    Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
    2
    1. foxaboost
       
      un grand, un énorme merci !!
      0
    2. tom
       
      Bonjour, j ai ce virus.et je ne sais pas comment je ne peux rien faire. Je veux bien telecharger mzis je ne peux rien faire
      0
  2. GuiB
     
    Voici le lien, je te remercie d'avance pour ton aide

    http://pjjoint.malekal.com/files.php?id=20120126_h8b11i7s12h8

    Gui
    0
    1. g3n-h@ckm@n
       
      ah zut je m'étais retiré car je n'etais pas le premier à avoir posté mais puisque tu as suivi mes directives , on continue

      je regarde ca

      edit ::

      desinstalle spybot si possible

      ================================

      fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

      Lance Pre_script , une page vierge va s'ouvrir.

      selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
      ___________________________________________________
      Kill::

      Registry::
      [HKEY_USERS\S-1-5-21-4280870278-2331621559-3049546071-1001\Software\Microsoft\Windows\CurrentVersion\Run]
      "window"=-
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
      "Locked"=-
      [-HKLM\Software\GYOZA]

      file::
      C:\Windows\Xú--
      C:\Users\Guillaume\Downloads\vlc-1.1.11-win32.exe
      C:\Users\Guillaume\Downloads\vlc.exe
      C:\ProgramData\doexetemali.dat
      C:\ProgramData\ilametexeod.dat
      C:\ProgramData\export_fix_93.183.203.118.dll

      folder::
      C:\Users\Guillaume\AppData\Roaming\window
      C:\Users\Guillaume\AppData\Roaming\Acupgi
      C:\Users\Guillaume\AppData\Roaming\Cadu
      C:\Users\Guillaume\AppData\Roaming\Cufie
      C:\Users\Guillaume\AppData\Roaming\Diwail
      C:\Users\Guillaume\AppData\Roaming\Dyni
      C:\Users\Guillaume\AppData\Roaming\Edry
      C:\Users\Guillaume\AppData\Roaming\Eghel
      C:\Users\Guillaume\AppData\Roaming\Elfyo
      C:\Users\Guillaume\AppData\Roaming\Emengy
      C:\Users\Guillaume\AppData\Roaming\Enmau
      C:\Users\Guillaume\AppData\Roaming\Erweb
      C:\Users\Guillaume\AppData\Roaming\Faynma
      C:\Users\Guillaume\AppData\Roaming\Gaho
      C:\Users\Guillaume\AppData\Roaming\Gigoak
      C:\Users\Guillaume\AppData\Roaming\Hauty
      C:\Users\Guillaume\AppData\Roaming\Hiasry
      C:\Users\Guillaume\AppData\Roaming\Isenug
      C:\Users\Guillaume\AppData\Roaming\Kibig
      C:\Users\Guillaume\AppData\Roaming\Kisiozt
      C:\Users\Guillaume\AppData\Roaming\Liyn
      C:\Users\Guillaume\AppData\Roaming\Meubud
      C:\Users\Guillaume\AppData\Roaming\Mubaba
      C:\Users\Guillaume\AppData\Roaming\Omuz
      C:\Users\Guillaume\AppData\Roaming\Oszybo
      C:\Users\Guillaume\AppData\Roaming\Oxisy
      C:\Users\Guillaume\AppData\Roaming\Roe
      C:\Users\Guillaume\AppData\Roaming\Ryonv
      C:\Users\Guillaume\AppData\Roaming\Seyc
      C:\Users\Guillaume\AppData\Roaming\Tuwak
      C:\Users\Guillaume\AppData\Roaming\Ufbe
      C:\Users\Guillaume\AppData\Roaming\Ultoq
      C:\Users\Guillaume\AppData\Roaming\Voibs
      C:\Users\Guillaume\AppData\Roaming\Waevux
      C:\Users\Guillaume\AppData\Roaming\window
      C:\Users\Guillaume\AppData\Roaming\Yxigu
      C:\Users\Guillaume\AppData\Roaming\Zakoor
      C:\ProgramData\Spybot - Search & Destroy
      C:\Program Files (x86)\Spybot - Search & Destroy

      Mbr::

      clean::

      Reboot::

      ___________________________________________________

      colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

      puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

      des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

      poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
      0
    2. GuiB
       
      En fait (merci tout de même beaucoup à Malekal_morte), mais j'ai déjà essayé quelques trucs avec RogueKiller, sans succès. Je préfèrerais essayer donc l'autre méthode avant :)
      0
    3. g3n-h@ckm@n
       
      ok ca se passe juste au dessus :)
      0
    4. GuiB
       
      Voici le lien vers le Pre_script
      http://pjjoint.malekal.com/files.php?id=20120126_w14v9q14t13w8
      J'ai pu redémarrer mon ordinateur normalement et je n'ai plus la fenêtre intempestive qui me bloquait windows. Néanmoins, au démarrage de windows une fenêtre apparaît me signalant il me semble qu'un fichier dll est manquant.
      Merci beaucoup pour ton aide !
      0
  3. g3n-h@ckm@n
     
    je peux avoir le nom de cette dll manquante ?
    0
    1. GuiB
       
      Voici le message :
      "Problème lors du démarrage de :
      C:\Users\GUILLA~1\AppData\Local\Temp\EFCD.tmp.tmp

      Le module spécifié est introuvable"

      PS : L'ordinateur était plus long au démarrage : normal ?
      PS2 : Oui en fait ce n'est pas une dll...
      0
  4. g3n-h@ckm@n
     
    Télécharge SEAF.exe de C_XX

    *Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

    *Une fenêtre va s'ouvrir .

    *Tape EFCD.tmp.tmp

    dans cette fenêtre

    confirme la recherche dans le registre et [Entrée].

    *Patiente pendant la recherche.

    *Une fenêtre avec un log.txt va s'afficher.

    *Copie/colle ce rapport dans ta prochaine réponse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. GuiB
     
    Je suis désolé, j'ai du m'absenter. J'ai essayé de télécharger SF.exe mais le lien ne fonctionne pas ... apparemment le programme a été retiré par son auteur.
    0
  7. g3n-h@ckm@n
     
    désolé

    http://dl.dropbox.com/u/21363431/SEAF.exe
    0
  8. GuiB
     
    Et voici le lien vers le log.txt
    http://pjjoint.malekal.com/files.php?id=20120126_y6q513s15m9
    Merci de ton aide précieuse
    0
  9. g3n-h@ckm@n
     
    tu ne lis pas ce que je demande....
    0
  10. GuiB
     
    ha désolé, c'est la fatigue. Voici :
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 22:08:07 le 26/01/2012
    4.
    5. Valeur(s) recherchée(s):
    6. EFCD.tmp.tmp
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10.
    11. ====== Fichier(s) ======
    12.
    13. Aucun fichier trouvé
    14.
    15. =========================
    16.
    17. Fin à: 22:13:33 le 26/01/2012
    18. 387566 Éléments analysés
    19.
    20. =========================
    21. E.O.F
    0
  11. GuiB
     
    Voici, j'avais peut être oublié de préciser la recherche dans le registre :
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 22:47:51 le 26/01/2012
    4.
    5. Valeur(s) recherchée(s):
    6. EFCD.tmp.tmp
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Recherche registre
    11.
    12. ====== Fichier(s) ======
    13.
    14. Aucun fichier trouvé
    15.
    16.
    17. ====== Entrée(s) du registre ======
    18.
    19. Aucun élément dans le registre trouvé
    20.
    21. =========================
    22.
    23. Fin à: 22:55:23 le 26/01/2012
    24. 650960 Éléments analysés
    25.
    26. =========================
    27. E.O.F

    Si ce n'est pas toujours ce que tu attends, je suis vraiment désolé mais pourrais tu m'indiquer ce qu'il ne va pas. Merci
    0
  12. g3n-h@ckm@n
     
    y a rien

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    0
  13. GuiB
     
    Voici les 2 liens :
    http://pjjoint.malekal.com/files.php?id=20120127_n12n9q13k13t8
    http://pjjoint.malekal.com/files.php?id=20120127_i9c6c15d8g9
    Merci
    0
  14. g3n-h@ckm@n
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O4 - Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Setwallpaper"=-
    "IntelTBRunOnce"=-

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  15. GuiB
     
    Le rapport ne s'est pas affiché au démarrage, ou puis-je le trouver ? J'ai remarqué des fichiers text qui sont apparus sur le bureau nommés desktop.ini au démarrage..
    0
  16. g3n-h@ckm@n
     
    oui laisse-les on les remettra en caché ce sont des fichiers systeme
    =====================
    le rapport :

    C:\_OTL\MovedFiles\la_date_et_l'heure.log
    0
  17. GuiB
     
    D'accord merci. J'ai trouvé, voici le lien :
    http://pjjoint.malekal.com/files.php?id=20120127_x7j7e8d14f12
    0
  18. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  19. GuiB
     
    Voici, j'ai suivi la procédure que tu m'as donné
    http://pjjoint.malekal.com/files.php?id=20120129_g12i14e1512m10
    Merci encore pour ton aide !
    0
  • 1
  • 2