Virus qui bloque le mode sans echec et le gestinaire de tâche
skk201
Messages postés
942
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à tous,
Voilà un ami m'a demandé d'enlevé un Virus de son ordi.
Il s'agit d'un virus "police" qui circule dans ma région. Le virus bloque la session administrateur en fermant Explorer.exe et en affichant un page qui invite la personne "à payer une ammande". (Ce virus n'est absolument pas offciel)
La dernière fois que j'ai été confronté à ce virus j'ai simplement executé exprorer.exe avec le raccourcis [Windows]+[R], puis désactivé la tâche planifiée qui executait le virus. Avant d'analyser l'ordi avec un anti-virus qui a suprimé le malware.
Aujourd'hui, chez cet autre ami, le virus à changer et est plus difficile a contourner. Les raccourcis windows ne marchaient pas. J'ai essayé d'accèder a la session en mode sans echec, mais dès que j'arrivais sur l'éran pour choisir les sessions, l'ordi s'éteignait.
J'ai donc utilisé un anti-virus gratuit (malwarebyte) sur une session limité. Maintenant, exporer.exe se lance dès le début de la session. Le problème c'est que la fenètre du virus reste au premier plan et ne permet que de voir la barre de tâche. Donc impossible de lancé CCleaner pour désactivé le lancement automatique du virus ou même d'instalé un meilleur antivirus payant.
Il est également impossible d'ouvrir le gestinaire de tâche. Le virus le ferme automatiquement.
Est-ce que vous avez des idées de ce que je pourrais faire ?
Merci d'avance. Et désolé pour ce pavé !
Voilà un ami m'a demandé d'enlevé un Virus de son ordi.
Il s'agit d'un virus "police" qui circule dans ma région. Le virus bloque la session administrateur en fermant Explorer.exe et en affichant un page qui invite la personne "à payer une ammande". (Ce virus n'est absolument pas offciel)
La dernière fois que j'ai été confronté à ce virus j'ai simplement executé exprorer.exe avec le raccourcis [Windows]+[R], puis désactivé la tâche planifiée qui executait le virus. Avant d'analyser l'ordi avec un anti-virus qui a suprimé le malware.
Aujourd'hui, chez cet autre ami, le virus à changer et est plus difficile a contourner. Les raccourcis windows ne marchaient pas. J'ai essayé d'accèder a la session en mode sans echec, mais dès que j'arrivais sur l'éran pour choisir les sessions, l'ordi s'éteignait.
J'ai donc utilisé un anti-virus gratuit (malwarebyte) sur une session limité. Maintenant, exporer.exe se lance dès le début de la session. Le problème c'est que la fenètre du virus reste au premier plan et ne permet que de voir la barre de tâche. Donc impossible de lancé CCleaner pour désactivé le lancement automatique du virus ou même d'instalé un meilleur antivirus payant.
Il est également impossible d'ouvrir le gestinaire de tâche. Le virus le ferme automatiquement.
Est-ce que vous avez des idées de ce que je pourrais faire ?
Merci d'avance. Et désolé pour ce pavé !
A voir également:
- Virus qui bloque le mode sans echec et le gestinaire de tâche
- Mode sans echec ps4 - Guide
- Mode avion - Guide
- Mode sans echec - Guide
- Mode sécurisé samsung - Guide
- Code puk bloqué - Guide
1 réponse
Salut sur la session limité :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Est-ce que ton programme arrivera quand meme a le voir ? ou est-ce que il faut que je lance la session admin, puis que j'aille sur la session limité pour lancé ton programme ?
Tampis pour lui qu'il se débrouille.
Merci de ton aide ! Et désoler de t'avoir fait poireauter.