Virus : "Windows a été bloqué"
tom -
J'ai depuis hier un gros problème de virus. C'était d'abord Smart Protect 2012, pour lequel j'ai téléchargé de nombreux antivirus, et je ne sais même pas si j'ai réussi à le faire partir (en tout cas il n'est plus visible). Ensuite ce virus a fait entrer BackDoor Agent, et en essayant de faire dégager ce virus (encore de nombreuses recherches de virus, notamment avec MalwareBytes), j'ai voulu faire une réinitialisation du système.
Sauf que c'est là que les ennuis s'enveniment : J'ai eu un autre virus, dont le nom reste inconnu.
En effet, quand Windows démarre, une fraction de seconde après que le bureau s'affiche, j'ai un message : "Pour des raisons de sécurité, Windows a été bloqué". J'ai cherché partout sur Internet avec un autre ordinateur, mais rien n'est indiqué sur ce virus ! (à part peut-être l'évocation d'un truc de ce genre en Allemagne, mais rien de concluant).
En ce moment donc, je ne peux strictement rien faire sous Windows, ce message s'affichant. On voit bien que c'est un virus : fautes dans le message, esthétique très douteuse (écriture blanche et rouge sur fond noir, plus-que-basique)... Mais je ne peux rien lancer par dessus comme application.
En mode sans échec, ça n'apparait pas, mais mon antivirus (toujours MalwareBytes) ne détecte rien, et n'arrive pas à en venir à bout.
A l'aide !
Merci d'avance
35 réponses
- 1
- 2
Un ordinateur Windows est infecté par plusieurs malwares, Smart Protect 2012 et BackDoor Agent, et affiche au démarrage un message de blocage : "Pour des raisons de sécurité, Windows a été bloqué". En parallèle, les tentatives de nettoyage avec MalwareBytes et les conseils pour RogueKiller sont évoqués, avec des prérequis et des ajustements pour contourner les blocages et démarrer l’analyse. Les propositions concrètes incluent l’exécution de RogueKiller en mode pré-scan, parfois en renommant l’exécutable, et la consultation de journaux pour repérer des éléments suspects. D’autres méthodes et ressources techniques sont proposées, notamment des recherches dans le registre et des rapports d’activité afin d’identifier et supprimer les composants malveillants.
-
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
-
Voici le lien, je te remercie d'avance pour ton aide
http://pjjoint.malekal.com/files.php?id=20120126_h8b11i7s12h8
Gui-
ah zut je m'étais retiré car je n'etais pas le premier à avoir posté mais puisque tu as suivi mes directives , on continue
je regarde ca
edit ::
desinstalle spybot si possible
================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_USERS\S-1-5-21-4280870278-2331621559-3049546071-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"window"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\Software\GYOZA]
file::
C:\Windows\Xú--
C:\Users\Guillaume\Downloads\vlc-1.1.11-win32.exe
C:\Users\Guillaume\Downloads\vlc.exe
C:\ProgramData\doexetemali.dat
C:\ProgramData\ilametexeod.dat
C:\ProgramData\export_fix_93.183.203.118.dll
folder::
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Acupgi
C:\Users\Guillaume\AppData\Roaming\Cadu
C:\Users\Guillaume\AppData\Roaming\Cufie
C:\Users\Guillaume\AppData\Roaming\Diwail
C:\Users\Guillaume\AppData\Roaming\Dyni
C:\Users\Guillaume\AppData\Roaming\Edry
C:\Users\Guillaume\AppData\Roaming\Eghel
C:\Users\Guillaume\AppData\Roaming\Elfyo
C:\Users\Guillaume\AppData\Roaming\Emengy
C:\Users\Guillaume\AppData\Roaming\Enmau
C:\Users\Guillaume\AppData\Roaming\Erweb
C:\Users\Guillaume\AppData\Roaming\Faynma
C:\Users\Guillaume\AppData\Roaming\Gaho
C:\Users\Guillaume\AppData\Roaming\Gigoak
C:\Users\Guillaume\AppData\Roaming\Hauty
C:\Users\Guillaume\AppData\Roaming\Hiasry
C:\Users\Guillaume\AppData\Roaming\Isenug
C:\Users\Guillaume\AppData\Roaming\Kibig
C:\Users\Guillaume\AppData\Roaming\Kisiozt
C:\Users\Guillaume\AppData\Roaming\Liyn
C:\Users\Guillaume\AppData\Roaming\Meubud
C:\Users\Guillaume\AppData\Roaming\Mubaba
C:\Users\Guillaume\AppData\Roaming\Omuz
C:\Users\Guillaume\AppData\Roaming\Oszybo
C:\Users\Guillaume\AppData\Roaming\Oxisy
C:\Users\Guillaume\AppData\Roaming\Roe
C:\Users\Guillaume\AppData\Roaming\Ryonv
C:\Users\Guillaume\AppData\Roaming\Seyc
C:\Users\Guillaume\AppData\Roaming\Tuwak
C:\Users\Guillaume\AppData\Roaming\Ufbe
C:\Users\Guillaume\AppData\Roaming\Ultoq
C:\Users\Guillaume\AppData\Roaming\Voibs
C:\Users\Guillaume\AppData\Roaming\Waevux
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Yxigu
C:\Users\Guillaume\AppData\Roaming\Zakoor
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail -
-
-
Voici le lien vers le Pre_script
http://pjjoint.malekal.com/files.php?id=20120126_w14v9q14t13w8
J'ai pu redémarrer mon ordinateur normalement et je n'ai plus la fenêtre intempestive qui me bloquait windows. Néanmoins, au démarrage de windows une fenêtre apparaît me signalant il me semble qu'un fichier dll est manquant.
Merci beaucoup pour ton aide !
-
-
-
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape EFCD.tmp.tmp
dans cette fenêtre
confirme la recherche dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Je suis désolé, j'ai du m'absenter. J'ai essayé de télécharger SF.exe mais le lien ne fonctionne pas ... apparemment le programme a été retiré par son auteur.
-
-
Et voici le lien vers le log.txt
http://pjjoint.malekal.com/files.php?id=20120126_y6q513s15m9
Merci de ton aide précieuse -
-
ha désolé, c'est la fatigue. Voici :
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:08:07 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13. Aucun fichier trouvé
14.
15. =========================
16.
17. Fin à: 22:13:33 le 26/01/2012
18. 387566 Éléments analysés
19.
20. =========================
21. E.O.F -
-
Voici, j'avais peut être oublié de préciser la recherche dans le registre :
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:47:51 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:55:23 le 26/01/2012
24. 650960 Éléments analysés
25.
26. =========================
27. E.O.F
Si ce n'est pas toujours ce que tu attends, je suis vraiment désolé mais pourrais tu m'indiquer ce qu'il ne va pas. Merci -
y a rien
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens -
Voici les 2 liens :
http://pjjoint.malekal.com/files.php?id=20120127_n12n9q13k13t8
http://pjjoint.malekal.com/files.php?id=20120127_i9c6c15d8g9
Merci -
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Setwallpaper"=-
"IntelTBRunOnce"=-
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
-
Le rapport ne s'est pas affiché au démarrage, ou puis-je le trouver ? J'ai remarqué des fichiers text qui sont apparus sur le bureau nommés desktop.ini au démarrage..
-
oui laisse-les on les remettra en caché ce sont des fichiers systeme
=====================
le rapport :
C:\_OTL\MovedFiles\la_date_et_l'heure.log -
D'accord merci. J'ai trouvé, voici le lien :
http://pjjoint.malekal.com/files.php?id=20120127_x7j7e8d14f12 -
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
-
Voici, j'ai suivi la procédure que tu m'as donné
http://pjjoint.malekal.com/files.php?id=20120129_g12i14e1512m10
Merci encore pour ton aide ! -
- 1
- 2