Gendarmerie national
RésoluMalekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
s il vous plait Quelques un peut il m aider pour ce virus car je m arrache les cheveux
Merci beaucoup
8 réponses
Des utilisateurs confrontés à un virus signalent une fenêtre affichant System32 au démarrage et des difficultés à démarrer en mode sans échec, le PC se réactivant malgré les tentatives. Pour remédier, plusieurs répondants évoquent l’accès à l’invite de commandes, l’outil FRST et le fichier fixlist.txt, ou encore la modification de clés de registre liées à Winlogon et Autorun. Des échanges portent sur les restrictions liées au téléchargement d’outils et sur démarches complémentaires, telles que l’exécution de programmes de nettoyage compatibles avec l’OS et conseils pour restaurer le système. D'autres éléments utiles mentionnent la sauvegarde des données et la vérification des mises à jour après nettoyage, afin de limiter le risque de réinfection et de stabiliser le paysage logiciel.
-
salut explique à quoi tu as accès , mode sans echec , invité de commandes , etc....
-
avant tout merci beaucoup de cette rapidité de réponse
Voilà, j ai beaucoup lu tout ce qui se dit sur les sites pour éradiquer ce virus mais le soucis est que lorsque je vais en mode sans échec, il y a bien le windows limité mais tout de suite après il se referme et le windows infecté se réactive sans que je puisse faire quoi que ce soit
Pour le moment, j ai déjà tellement essayer que mon pc fait une vérification en dos et il est à 62% effectués -
-
-
-
re
ca ne réponds pas à ma question as-tu accès à l'invité de commandes ?
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10...Tiranium Antivirus Attention => Fake -
et bien selectionne invité de commandes et dis moi si cela fonctionne , si tu as une fenetre noire avec un curseur qui clignote de ce style :
C:\Windows\System32>_
-
voilà plusieurs fois que je le fais et j'ai le chargement de fichier windows qui se fait, dans l'écran noir, ensuite le windows limité se met en route mais se referme tout aussi vite pour remettre en route l'autre windows, pendants une demi seconde je vois également un petit écran noir mais il disparait tout aussi vite et revoila de nouveau ma page de gendarmerie;
Je ne sais plus quoi faire -
-
-
-
ca sert à rien d'insister, il a bien démarrer en invites de commandes en mode sans échec.
C'est le même cas que là : https://forums.commentcamarche.net/forum/affich-28345779-comment-debarrasser-le-virus-adopi-variante-flimrans#7
comme c'est expliqué sur sa fiche, il fait redémarrer le PC en invites de commandes en mode sans échec : https://www.malekal.com/flimrans-ransomware-office-central-de-la-lutte-contre-la-criminalite-lie-aux-technologies/
@rol : si tu es sur Windows Seven, faut faire une restauration du système au démarrage.
Lance une restauration du système à partir du menu "réparer mon ordinateur".
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, Réparer mon ordinateur et appuye sur la touche entrée du clavier.
Laisse toi guider.
Aide - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263
** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **
NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.
si tu as une autre version de Windows, faut passer par un Live CD. -
-
-
-
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Ton antivirus a dû virer le malware d'où la fenêtre noire au démarrage.
Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :
(Boxore OU) C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe
HKCU\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKCU\...\Command Processor: <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [fjglfdldpdljgfjkfgieaocdapejkdlh] - C:\Program Files (x86)\Boxore\BoxoreClient\BoxoreExtension\GoogleChrome\BoxoreExtension.crx
CHR HKLM-x32\...\Chrome\Extension: [jeaihkehdlhkocphopopahkfjcfcphef] - C:\Program Files (x86)\Boxore\SmartDisplay\SmartExtensions\GoogleChrome\SmartDisplayExtension.crx
2013-08-15 20:19 - 2013-08-15 20:19 - 01057225 _____ C:\Users\user\AppData\Local\2433f433
2013-08-15 20:19 - 2013-08-15 20:19 - 01057171 _____ C:\Users\user\AppData\Roaming\2433f433
2013-08-15 20:19 - 2013-08-15 20:19 - 01057152 _____ C:\ProgramData\2433f433
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
-
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 17-08-2013
Ran by user at 2013-08-17 13:33:40 Run:1
Running from C:\Users\user\Desktop
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
(Boxore OU) C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe
HKCU\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKCU\...\Command Processor: <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [fjglfdldpdljgfjkfgieaocdapejkdlh] - C:\Program Files (x86)\Boxore\BoxoreClient\BoxoreExtension\GoogleChrome\BoxoreExtension.crx
CHR HKLM-x32\...\Chrome\Extension: [jeaihkehdlhkocphopopahkfjcfcphef] - C:\Program Files (x86)\Boxore\SmartDisplay\SmartExtensions\GoogleChrome\SmartDisplayExtension.crx
2013-08-15 20:19 - 2013-08-15 20:19 - 01057225 _____ C:\Users\user\AppData\Local\2433f433
2013-08-15 20:19 - 2013-08-15 20:19 - 01057171 _____ C:\Users\user\AppData\Roaming\2433f433
2013-08-15 20:19 - 2013-08-15 20:19 - 01057152 _____ C:\ProgramData\2433f433
*****************
C:\Program Files (x86)\Boxore\BoxoreClient\boxore.exe => No running process found
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKCU\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\fjglfdldpdljgfjkfgieaocdapejkdlh => Key deleted successfully.
"C:\Program Files (x86)\Boxore\BoxoreClient\BoxoreExtension\GoogleChrome\BoxoreExtension.crx " => File/Directory not found.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\jeaihkehdlhkocphopopahkfjcfcphef => Key deleted successfully.
C:\Program Files (x86)\Boxore\SmartDisplay\SmartExtensions\GoogleChrome\SmartDisplayExtension.crx => Moved successfully.
C:\Users\user\AppData\Local\2433f433 => Moved successfully.
C:\Users\user\AppData\Roaming\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
==== End of Fixlog ====
-
-
Tu as toujours la fenêtre noire au démarrage ?
ou le bureau s'ouvre directement ?
-
tape explorer.exe et OK.
Menu Démarrer / tape regedit et OK.
Déroule l'arborescence suivante à gauche.
HKEY_CURRENT_USER => Software => Microsoft => Command Processor
Si tu as Autorun ou shell à droite.
Clic droit supprimer si présent.
Recommence pour :
HKEY_LOCAL_MACHINE => Software => Microsoft => Command Processor
Si tu as Autorun ou shell à droite.
Clic droit supprimer si présent.
Recommence pour :
HKEY_CURRENT_USER => \SOFTWARE => \Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, supprimer la clef Shell si présente.
Redémarre le PC.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left -
OK ça devait être bon après FRST en fait.
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Suppression].
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/