Commande executer et rechercher disparu.
HABONIMANA
Messages postés
34
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour à toute la communauté,
Voila, dans le menu demarrer j'ai fait execute puis j'ai tapé MSconfig, puis l'onglet démarrer et j'ai décocher quelques programmes que je ne me rapelles pas du tout, cela je voulais que ma machine boot rapidement en décochant quelques programmes avec les quels windows doit charger au demarrage. Aujourd'hui les commandes execute et rechercher sont partis, j'ai essayé avec un clic droit sur démarrer puis propriété puis personaliser pour aller cocher sur Afficher la commande executer mais toute la liste était là sauf cette case ou on coche pour la commande execute,
Que faire,
Aidez moi, merci.
Voila, dans le menu demarrer j'ai fait execute puis j'ai tapé MSconfig, puis l'onglet démarrer et j'ai décocher quelques programmes que je ne me rapelles pas du tout, cela je voulais que ma machine boot rapidement en décochant quelques programmes avec les quels windows doit charger au demarrage. Aujourd'hui les commandes execute et rechercher sont partis, j'ai essayé avec un clic droit sur démarrer puis propriété puis personaliser pour aller cocher sur Afficher la commande executer mais toute la liste était là sauf cette case ou on coche pour la commande execute,
Que faire,
Aidez moi, merci.
A voir également:
- Commande executer et rechercher disparu.
- Invite de commande - Guide
- Commande terminal mac - Guide
- Rechercher ou entrer l'adresse - Guide
- Rechercher et remplacer word - Guide
- Clavier disparu android - Guide
22 réponses
--salut
Page d'accueil / Virus / Encyclopédie Virus
Virus.Win32.Gpcode.ai
Autre version: .ac, .ae, .af, .ag, .f
Date de détection 16 jul 2007 00:10 GMT
Date de publication 17 jul 2007
Comportement Virus
* Détails Techniques
* Action destructrice
* Conseils pour la suppression
Détails Techniques
Ce programme malicieux chiffre les fichiers de l’utilisateur sur l’ordinateur infecté. Il s’agit d’une application Windows (fichier PE EXE) compressée sous UPX. La taille du fichier archivé est de 58 368 octets.
Les fichiers exécutables des variantes connues du virus portent le nom de «ntos.exe».
Action destructrice
Après son exécution, le virus crée une clé unique pour le cryptage des fichiers et la sauvegarde dans la base de registre:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<clé de chiffrement;"
Le programme malicieux s’ajoute dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
La valeur de cette clé est régulièrement contrôlée par des processus système dans lesquels le code malfaisant s’est infiltré (par exemple «Winlogon.exe»).
Si la valeur de la clé change («%System%\ntos.exe» est supprimé), elle se réactive automatiquement à partir du processus système.
«%System%\ntos.exe» est protégé contre toute modification, changement de nom et copie. Si la date système indique une date entre le 10 et le 15 juillet 2007 compris, le virus amorce le chiffrement de tous les fichiers dont l'extension est la suivante :
.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.d
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.f
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.h
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pdf
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip
Le programme malicieux place un fichier « read_me.txt» dans chaque répertoire comportant des fichiers chiffrés, et on peut y lire ceci :
Bonjour, vos fichiers sont chiffrés par l’algorithme RSA-4096.
Sans l’aide de notre logiciel il vous faudra au moins plusieurs années pour déchiffrer ces fichiers. Toutes vos informations confidentielles de ces trois derniers mois ont été collectées et nous ont été envoyées. Pour déchiffrer ces fichiers notre logiciel est indispensable. Ce dernier coûte 300$.
Pour acheter notre logiciel veuillez contacter xxxxxxx@xxxxx.com et nous fournir votre code personnel – xxxxxxxxx. Une fois la transaction réussie nous vous enverrons l’outil de décryptage et vos informations confidentielles seront supprimées de notre système.
Si vous ne prenez pas contact avec nous avant le 15/07/2007, vos informations confidentielles seront partagées et vous perdrez toutes vos données.
Glamorous team
Le virus crée dans le répertoire système Windows un dossier masqué du nom de « wsnpoem » dans lequel se trouvent deux fichiers vides - «video.dll» et «audio.dll».
Conseils pour la suppression
Si votre ordinateur n’était pas protégé par un antivirus et est infecté par ce code malicieux, alors il est indispensable de suivre les instructions ci-après pour le supprimer :
1. Modifiez la valeur de la clé dans la base de registre en ajoutant un symbole à la fin du nom du module malicieux : Exemple :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
2. Redémarrez l’ordinateur.
3. Supprimez le fichier suivant dans le répertoire système de Windows :
ntos.exe
4. Afin de décrypter les fichiers chiffrés par le programme malicieux, nous mettons à votre disposition un utilitaire gratuit. Pour obtenir les informations sur les conditions d'utilisation de cette utilitaire et pour le télécharger, consultez le site du support technique de Kaspersky Lab (en anglais). Attention ! Veuillez lire attentivement les instructions d'utilisation de l'utilitaire. La mention d'une clé incorrecte pour le déchiffrage pourrait conduire à une altération irréversible des fichiers.
5. Effectuez une analyse complète de l’ordinateur à l’aide de Kaspersky Anti-Virus avec les bases antivirus mises à jour. Pour télécharger une version d’essai, cliquez ici .
Il n'y a pas de problèmes; il n'y a que des solutions.
L'esprit de l'homme invente ensuite le problème.
Page d'accueil / Virus / Encyclopédie Virus
Virus.Win32.Gpcode.ai
Autre version: .ac, .ae, .af, .ag, .f
Date de détection 16 jul 2007 00:10 GMT
Date de publication 17 jul 2007
Comportement Virus
* Détails Techniques
* Action destructrice
* Conseils pour la suppression
Détails Techniques
Ce programme malicieux chiffre les fichiers de l’utilisateur sur l’ordinateur infecté. Il s’agit d’une application Windows (fichier PE EXE) compressée sous UPX. La taille du fichier archivé est de 58 368 octets.
Les fichiers exécutables des variantes connues du virus portent le nom de «ntos.exe».
Action destructrice
Après son exécution, le virus crée une clé unique pour le cryptage des fichiers et la sauvegarde dans la base de registre:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"WinCode" = "<clé de chiffrement;"
Le programme malicieux s’ajoute dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe"
La valeur de cette clé est régulièrement contrôlée par des processus système dans lesquels le code malfaisant s’est infiltré (par exemple «Winlogon.exe»).
Si la valeur de la clé change («%System%\ntos.exe» est supprimé), elle se réactive automatiquement à partir du processus système.
«%System%\ntos.exe» est protégé contre toute modification, changement de nom et copie. Si la date système indique une date entre le 10 et le 15 juillet 2007 compris, le virus amorce le chiffrement de tous les fichiers dont l'extension est la suivante :
.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.d
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.f
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.h
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip
Le programme malicieux place un fichier « read_me.txt» dans chaque répertoire comportant des fichiers chiffrés, et on peut y lire ceci :
Bonjour, vos fichiers sont chiffrés par l’algorithme RSA-4096.
Sans l’aide de notre logiciel il vous faudra au moins plusieurs années pour déchiffrer ces fichiers. Toutes vos informations confidentielles de ces trois derniers mois ont été collectées et nous ont été envoyées. Pour déchiffrer ces fichiers notre logiciel est indispensable. Ce dernier coûte 300$.
Pour acheter notre logiciel veuillez contacter xxxxxxx@xxxxx.com et nous fournir votre code personnel – xxxxxxxxx. Une fois la transaction réussie nous vous enverrons l’outil de décryptage et vos informations confidentielles seront supprimées de notre système.
Si vous ne prenez pas contact avec nous avant le 15/07/2007, vos informations confidentielles seront partagées et vous perdrez toutes vos données.
Glamorous team
Le virus crée dans le répertoire système Windows un dossier masqué du nom de « wsnpoem » dans lequel se trouvent deux fichiers vides - «video.dll» et «audio.dll».
Conseils pour la suppression
Si votre ordinateur n’était pas protégé par un antivirus et est infecté par ce code malicieux, alors il est indispensable de suivre les instructions ci-après pour le supprimer :
1. Modifiez la valeur de la clé dans la base de registre en ajoutant un symbole à la fin du nom du module malicieux : Exemple :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
2. Redémarrez l’ordinateur.
3. Supprimez le fichier suivant dans le répertoire système de Windows :
ntos.exe
4. Afin de décrypter les fichiers chiffrés par le programme malicieux, nous mettons à votre disposition un utilitaire gratuit. Pour obtenir les informations sur les conditions d'utilisation de cette utilitaire et pour le télécharger, consultez le site du support technique de Kaspersky Lab (en anglais). Attention ! Veuillez lire attentivement les instructions d'utilisation de l'utilitaire. La mention d'une clé incorrecte pour le déchiffrage pourrait conduire à une altération irréversible des fichiers.
5. Effectuez une analyse complète de l’ordinateur à l’aide de Kaspersky Anti-Virus avec les bases antivirus mises à jour. Pour télécharger une version d’essai, cliquez ici .
Il n'y a pas de problèmes; il n'y a que des solutions.
L'esprit de l'homme invente ensuite le problème.