au secours: registre bloqué, NAV marche plus

Question

Bonjour a tous

J'ai un gros problème depuis ce matin :

-Norton antivirus autoprotect ne s'exécute plus au démarrage et impossible de l'ouvrir, quand je double clic dessus rien ne se passe.
-Quand je veux aller dans ma base de registre il me met un message d'erreur qui dit que "la modification du registre est désactivée par l'administrateur" (or je suis l'administrateur et je n'ai rien changé) donc je ne peux rien changé la dedans .
-quand je suis sur internet, les fenetres qui contiennent le mot VIRUS se ferment automatiquement !!! par exemple je tape virus dans google, je clic sur chercher et la fenetre se ferme. Donc impossible d'aller sur le forum virus de ccm, impossible d'executer l'antivirus en ligne de secuser...

J'ai redémarré en mode sans échec et j'ai pu lancé Norton Antivirus, j'ai fait un scan complet, il m'a trouvé 10 virus dont Bloodhound Packed, Trojan.Simcss.B, Backdoor.coreflood, PWSteal.Trojan. Les fichiers infectés ont été supprimé sauf 1 mis en quarantaine. J'ai redémarrer en mode normal et ça n'a rien changé !

SVP aidez moi !!! Merci d'avance

ma config : p4 a 2.66ghz, 256mo ram, windows XP home sp1.

Afficher la suite

balltrap34 · Answer

salut
un petit cooup de ca
alors action numero 1
telecharger ce fichier :
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC

Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

darkcrystal33 · Answer

------------------
Trojan.Simcss.B
------------------
Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer in Safe mode.

# Click Start, and then click Run. (The Run dialog box appears.)
# Type regedit
Then click OK. (The Registry Editor opens.)
# Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
# In the right pane, delete the value:
"mslagent"="%windir%\mslagent\mslagent.exe"
# Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall
# Delete the subkey:
mslagent
# Exit the Registry Editor.
# Restart the computer in Normal mode.

-----------------------
Backdoor.Coreflood
-----------------------
1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit, and then click OK. (The Registry Editor opens.)
3. Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. In the right pane, delete the value that refers to the filename detected as Backdoor.Coreflood.
5. Exit the Registry Editor.

------------------
PWSteal.Trojan
------------------
1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit
Then click OK. (The Registry Editor opens.)
3. Navigate to the key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. In the right pane, delete the value:
"Windows"="C:\Msdos98.exe"
5. Exit the Registry editor.
The Trojan is now removed from your system. Restart the computer.

-----------------------------------------------------------------------
http://securityresponse.symantec.com/avcenter/venc/data/trojan.simcss.b.html#removalinstructions
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html#removalinstructions
http://www.symantec.com/avcenter/venc/data/pwsteal.trojan.html#removalinstructions
-----------------------------------------------------------------------

*** http://vil.nai.com/vil/stinger/ ***
*** http://www.ravantivirus.com/scan/ ***

camille · Answer

Super merci beaucoup balltrap34, j'ai fait ce que tu m'as dis et ça marche impec. Juste une question, il m'a demandé si je voulais supprimer certains fichiers manuellement (ddm_d.exe, unwise.exe, ie.reg, 8ALL142.exe, QTnotify.exe, wowpost.exe) et j'ai mis non a chaque fois (dans le doute)...j'aurais du les supprimer?

merci

balltrap34 · Answer

salut
c est super darkcrystal33 tu as fait la recherche a ma place
j etais absent
merci
quand a camille
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.

camille · Answer

Ok le scan est en train de se faire. Petite question vue que vous avez l'air au point : je ne peux plus activer auto-protect de NAV. Pas de message d'erreur mais je coche la case pour activer et ça reste désactivé....un virus?
je poste le rapport du scan dés qu'il est fini.
Merci encore !

camille · Answer

voila le résultat du scan :

Scan started at 20/04/2004 19:40:02

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\TFTP392 - Win32/MSBlast.E.dam#2 -> Infected

Scanned
============================
Objects: 64456
Directories: 4355
Archives: 18478
Size(Kb): -1876726
Infected files: 1

Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 102

D'aprés ce que je comprends j'ai 1 fichier infecté...est-ce qu'il suffit de le supprimer?

camille · Answer

Ok tout est rentré dans l'ordre, mon systeme n'est plus infecté. Par contre j'ai un message d'erreur eu démarrage de windows :
"Erreur de chargement de EGCOMLIB_1035.dll. Le module specifié est introuvable."

Si vous avez une solution sur ce dernier problème, ce serait le top du top !
Merci!

balltrap34 · Answer

salut
pour cela tu fait
demarrer/executer
tu tape msconfig tu vas sur demarrage
la tu decoche la ligne en rapport avec tu redemarre
une nouvelle fenetre vas s ouvrir tu coche ne plus afficher ce message et voila

camille · Answer

Ok pour ça c'est bon. Il reste une derniere chose qui déconne : quand je vais dans executer et que je tape regedit, j'ai un message d'erreur qui dit : "La modification du registre a été désactivée par votre administrateur" donc je ne peux pas y accéder. Comment régler ce problème?

balltrap34 · Answer

salut
alors action numero 1
telecharger ce fichier :
ftp://www.renonce.com/pub/renonce/RimouveXPFr.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC

Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve dans le dossier tmp que le fichier rimouveur.exe vas creer ...

camille · Answer

balltrap34 j'ai fait ce que tu as dis ça donne ça :

Taches effectués sur le PC :

Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire -Peut cacher des virus ...-)

Fichier(s) avec demande de suppression manuelle :
C:\
UNWISE.EXE
C:\WINDOWS\Downloaded Program Files\
8ALL142.exe
C:\WINDOWS\System\
hpsysdrv.exe
QTNOTIFY.EXE
WOWPOST.EXE
C:\WINDOWS\System32\Wins\
Recherche du fichier wkspatch*.exe

Correctif Microsoft KB824146 deja installe

Voila j'y comprends pas grand chose...par contre ça ne regle pas le probleme de l'accés a la base de registre.

balltrap34 · Answer

essai ce que ta mis darck au message 16 2eme lienpour le reste je cherche

balltrap34 · Answer

grilled

camille · Answer

Ok le 2e lien de darkcrystal33 a fonctionné, je peux accéder a la base de registre.Merci a tout les 2 !

balltrap34 · Answer

de rien a++

Au secours: registre bloqué, NAV marche plus

15 réponses

Votre réponse

Newsletters