Suppression de Antinul.vbe
Résolu
Abennor
Messages postés
7
Statut
Membre
-
Aurelie -
Aurelie -
Bonjour à tous,
Voilà, j'ai été "contaminé" par ceci:
Au travail !!
---------------------------
Il est maintenant XX:XX:XX
il est temps de se mettre au travail,au lieu de rester à ne rien faire d'important!!
Ce n'est pas un mabraze ici !!
A priori, c'est du au fichier:
C:\Windows\system32\antinul.vbe
Grâce à un pc sous Ubuntu, j'ai pu le voir présent aussi sur mes clés etc...
Donc, il se copie sur votre PC, interdit les modif de la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:1
empêche certaines options d'affichage et emmerde le monde avec des messages vous rappelant de bosser...
J'ai d'abord essayé de le supprimer avec Hijackthis mais rien à faire et il n'est pas reconnu par les antivirus (J'ai Antivir et il ne bronche pas). Donc j'ai opté pour une solution un plus bourrine.
Là voici décrite pas à pas...
Si vous remarquez des fichiers liés à ce virus que j'ai zappé n'oubliez pas de m'informer en tout cas, il n'est plus actif sur mes bécanes.
Suppression du fichier antinul.vbe => généralement C:\WINDOWS\system32\antinul.vbe
Prérequis
- Avoir installé Hijackthis ou connaître les lignes de la base de registre à modifier (perso, je préfère Hijackthis, car ce « virus » bloque l’accès à la base et on est obligé d’utiliser un autre logiciel pour l’atteindre.)
- Télécharger un live CD Knoppix ftp://ftp.free.fr/pub/Distributions_Linux/knoppix/KNOPPIX_V5.1.1CD-2007-01-04-EN.iso
Mettre la galette de Knoppix
Redémarrer le PC en le bootant sur le CD
Ecran de titre : taper => knoppix lang=fr
Laisser charger…
Arrivée sur le bureau, repérer le DD où se trouve le fichier system32
Normalement hda1 ou hdc1 etc…
Clic gauche, Changer le mode ecriture/lecture, OK (si le DD est indiqué non monté – unmounted – patienter le temps que le syst. finisse de charger).
Aller dans le hdc1 afin de contrôler le chemin du fichier à supprimer (Patienter le temps que tous les fichiers apparaissent). Notez la.
Normalement, le chemin est du type : /media/hdc1/Windows/system32/antinul.vbe
Fermer la fenêtre.
Alt+F2, taper : xterm
Ouverture console, taper : rm –rf /chemin du fichier
Attention, contrôler toujours votre commande !!!!
Valider
AVANT DE QUITTER KNOPPIX PENSEZ A NETTOYER VOS CLES USB AVEC :
Clic droit sur la clé : démonter
Puis dans la console (Alt+F2, xterm): mkfs.vfat –F 32 /dev/nom de la clé
Pour quitter Knoppix, redémarrer le PC. Attendez qu’il vous soit demandé de retirer le CD, et regarder Windows se lancer.
Un message d’erreur Wscript.exe vous accueillera….
Lancer Hijackthis :
Cocher :
R0 – HKCU\Sofware\Microsoft\Internet Explore\Main,Sart Page = Travaillez plus.com
R1 – HKCU\Sofware\Microsoft\Internet Explore\Main,Window Title = Au travail ! arrêtez de surfer !
F2 – Reg :system.ini : user …………C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (ca permettra d'avoir accés à nouveau à la base de registre)
Fix Checked
Redémarrer
Un coup d’Hijackthis pour vérifier que les modifs ont été apportées et normalement c’est OK
Plus de message « Au Travail » ^^
Si j’ai oublié qqchose, n’hésitez pas !!!!
Et si vous pouviez donner votre avis sur la méthode....
Voilà, j'ai été "contaminé" par ceci:
Au travail !!
---------------------------
Il est maintenant XX:XX:XX
il est temps de se mettre au travail,au lieu de rester à ne rien faire d'important!!
Ce n'est pas un mabraze ici !!
A priori, c'est du au fichier:
C:\Windows\system32\antinul.vbe
Grâce à un pc sous Ubuntu, j'ai pu le voir présent aussi sur mes clés etc...
Donc, il se copie sur votre PC, interdit les modif de la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:1
empêche certaines options d'affichage et emmerde le monde avec des messages vous rappelant de bosser...
J'ai d'abord essayé de le supprimer avec Hijackthis mais rien à faire et il n'est pas reconnu par les antivirus (J'ai Antivir et il ne bronche pas). Donc j'ai opté pour une solution un plus bourrine.
Là voici décrite pas à pas...
Si vous remarquez des fichiers liés à ce virus que j'ai zappé n'oubliez pas de m'informer en tout cas, il n'est plus actif sur mes bécanes.
Suppression du fichier antinul.vbe => généralement C:\WINDOWS\system32\antinul.vbe
Prérequis
- Avoir installé Hijackthis ou connaître les lignes de la base de registre à modifier (perso, je préfère Hijackthis, car ce « virus » bloque l’accès à la base et on est obligé d’utiliser un autre logiciel pour l’atteindre.)
- Télécharger un live CD Knoppix ftp://ftp.free.fr/pub/Distributions_Linux/knoppix/KNOPPIX_V5.1.1CD-2007-01-04-EN.iso
Mettre la galette de Knoppix
Redémarrer le PC en le bootant sur le CD
Ecran de titre : taper => knoppix lang=fr
Laisser charger…
Arrivée sur le bureau, repérer le DD où se trouve le fichier system32
Normalement hda1 ou hdc1 etc…
Clic gauche, Changer le mode ecriture/lecture, OK (si le DD est indiqué non monté – unmounted – patienter le temps que le syst. finisse de charger).
Aller dans le hdc1 afin de contrôler le chemin du fichier à supprimer (Patienter le temps que tous les fichiers apparaissent). Notez la.
Normalement, le chemin est du type : /media/hdc1/Windows/system32/antinul.vbe
Fermer la fenêtre.
Alt+F2, taper : xterm
Ouverture console, taper : rm –rf /chemin du fichier
Attention, contrôler toujours votre commande !!!!
Valider
AVANT DE QUITTER KNOPPIX PENSEZ A NETTOYER VOS CLES USB AVEC :
Clic droit sur la clé : démonter
Puis dans la console (Alt+F2, xterm): mkfs.vfat –F 32 /dev/nom de la clé
Pour quitter Knoppix, redémarrer le PC. Attendez qu’il vous soit demandé de retirer le CD, et regarder Windows se lancer.
Un message d’erreur Wscript.exe vous accueillera….
Lancer Hijackthis :
Cocher :
R0 – HKCU\Sofware\Microsoft\Internet Explore\Main,Sart Page = Travaillez plus.com
R1 – HKCU\Sofware\Microsoft\Internet Explore\Main,Window Title = Au travail ! arrêtez de surfer !
F2 – Reg :system.ini : user …………C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (ca permettra d'avoir accés à nouveau à la base de registre)
Fix Checked
Redémarrer
Un coup d’Hijackthis pour vérifier que les modifs ont été apportées et normalement c’est OK
Plus de message « Au Travail » ^^
Si j’ai oublié qqchose, n’hésitez pas !!!!
Et si vous pouviez donner votre avis sur la méthode....
A voir également:
- Suppression de Antinul.vbe
- Forcer suppression fichier - Guide
- Suppression compte gmail - Guide
- Suppression facebook - Guide
- Suppression compte google - Guide
- Suppression page word - Guide
30 réponses
Salut
pour les personnes touché :
Telecharge UsbFix (No 19 en bas de la page) sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
pour les personnes touché :
Telecharge UsbFix (No 19 en bas de la page) sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Salut Abennor,
J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.
A+ et merci.
J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.
A+ et merci.
Bon bah 1er problème, je ne trouve pas le DD contenant windows. Dans "\media" ne s'affichent que des répertoires vides (fd0, hd, hdf,...)
Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?
Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?
les syst. Linux n'utilisent pas les dénominations classiques en C, D, etc typiques de windows...
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.
Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.
Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon, en relisant ma réponse, je suis pas clair ^^
Ouvre la console:
Alt+F2
tape xterm
Dans la console, tape: kfind
une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...
Voili, plutot que de t'emmerder à repérer le fichier manuellement
.
Ouvre la console:
Alt+F2
tape xterm
Dans la console, tape: kfind
une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...
Voili, plutot que de t'emmerder à repérer le fichier manuellement
.
Bon, d'après ce que j'ai pu lire ici et là, il semblerait que knoppix ne reconnaisse pas les SATA, d'où le fait que je n'ai pas accès à mon DD system mais seulement à mon DD externe.
Connaitrais-tu une façon d'y accéder ?
Connaitrais-tu une façon d'y accéder ?
Je suis un peu con ^^ tu dois pas avoir de connection quand tu manips...
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..
Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré
Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..
Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré
Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.
ok je test ça.
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+
Bon, voici les dernières nouvelles.
la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?
la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?
ls n'est pas un répertoire. C'est une commande qui liste les infos contenus dans un répertoire.
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?
Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo
Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?
Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo
Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...
Bonjour Chiquitine29, et merci de ton attention.
Voici le rapport d'UsbFix :
-------------- UsbFix V2.395 ---------------
* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
+- Contenu de l'autorun : E:\autorun.inf
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
--------------- [ Registre / Mountpoint2 ] ----------------
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
--------------- [ Nettoyage des disques ] ----------------
Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun
--------------- ! Fin du rapport ! ----------------
J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.
Voici le rapport d'UsbFix :
-------------- UsbFix V2.395 ---------------
* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
+- Contenu de l'autorun : E:\autorun.inf
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
--------------- [ Registre / Mountpoint2 ] ----------------
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
--------------- [ Nettoyage des disques ] ----------------
Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun
--------------- ! Fin du rapport ! ----------------
J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.
bonjour,
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette
Salut Makhou,
Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.
A+
Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.
A+
@ Noraj, si tu veux avoir accés à la base de registre, t'es obligé de passer par un autre logiciel: RegMagik
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.
@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...
Voili, voilou
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.
@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...
Voili, voilou
@Abennor : j'arrive à accéder à l'éditeur de registre sans l'aide d'autres logiciel en Fix cheched dans Hijackthis, les lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(la O7 étant la cause)
Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.
En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(la O7 étant la cause)
Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.
En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.
Mouais... perplexe...
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.
Salut tout le monde,
ca fait limite chaud au coeur de voir que je suis plus tout seul. Faut vraiment faire tout ca pour le virer ? c'est la galère, je suis pas aussi calé ... enfin, je vais essayer, ca sera toujours moins chiant que d'avoir ce pop up débile !
d'ailleurs j'ai une question .... comment est il apparu sur notre PC ce pseudo virus ? un site en particulier ?
ca fait limite chaud au coeur de voir que je suis plus tout seul. Faut vraiment faire tout ca pour le virer ? c'est la galère, je suis pas aussi calé ... enfin, je vais essayer, ca sera toujours moins chiant que d'avoir ce pop up débile !
d'ailleurs j'ai une question .... comment est il apparu sur notre PC ce pseudo virus ? un site en particulier ?
Bon, alors moi j'ai trouvé une solution un peu risquée a priori ms qui s'est finalement révélée efficace. Je vais vous l'expliquer comme je peux, sachant que je ne suis pas du tout informaticien.
Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".
Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.
Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous
PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux
Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".
Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.
Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous
PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux
