Suppression de Antinul.vbe
Résolu/Fermé
Abennor
Messages postés
7
Date d'inscription
vendredi 3 octobre 2008
Statut
Membre
Dernière intervention
30 octobre 2008
-
29 oct. 2008 à 17:38
Aurelie - 29 janv. 2009 à 11:30
Aurelie - 29 janv. 2009 à 11:30
A voir également:
- Suppression de Antinul.vbe
- Forcer suppression fichier - Guide
- Suppression compte instagram - Guide
- Suppression page word - Guide
- Suppression compte facebook - Guide
- Suppression mot de passe windows 10 - Guide
30 réponses
Salut
pour les personnes touché :
Telecharge UsbFix (No 19 en bas de la page) sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
pour les personnes touché :
Telecharge UsbFix (No 19 en bas de la page) sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
29 oct. 2008 à 18:27
29 oct. 2008 à 18:27
Salut Abennor,
J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.
A+ et merci.
J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.
A+ et merci.
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
29 oct. 2008 à 19:00
29 oct. 2008 à 19:00
Bon bah 1er problème, je ne trouve pas le DD contenant windows. Dans "\media" ne s'affichent que des répertoires vides (fd0, hd, hdf,...)
Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?
Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?
les syst. Linux n'utilisent pas les dénominations classiques en C, D, etc typiques de windows...
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.
Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.
Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon, en relisant ma réponse, je suis pas clair ^^
Ouvre la console:
Alt+F2
tape xterm
Dans la console, tape: kfind
une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...
Voili, plutot que de t'emmerder à repérer le fichier manuellement
.
Ouvre la console:
Alt+F2
tape xterm
Dans la console, tape: kfind
une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...
Voili, plutot que de t'emmerder à repérer le fichier manuellement
.
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
29 oct. 2008 à 21:11
29 oct. 2008 à 21:11
Bon, d'après ce que j'ai pu lire ici et là, il semblerait que knoppix ne reconnaisse pas les SATA, d'où le fait que je n'ai pas accès à mon DD system mais seulement à mon DD externe.
Connaitrais-tu une façon d'y accéder ?
Connaitrais-tu une façon d'y accéder ?
Je suis un peu con ^^ tu dois pas avoir de connection quand tu manips...
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..
Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré
Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..
Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré
Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
29 oct. 2008 à 22:39
29 oct. 2008 à 22:39
ok je test ça.
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
29 oct. 2008 à 23:19
29 oct. 2008 à 23:19
Bon, voici les dernières nouvelles.
la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?
la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?
Abennor
Messages postés
7
Date d'inscription
vendredi 3 octobre 2008
Statut
Membre
Dernière intervention
30 octobre 2008
30 oct. 2008 à 00:52
30 oct. 2008 à 00:52
ls n'est pas un répertoire. C'est une commande qui liste les infos contenus dans un répertoire.
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?
Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo
Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?
Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo
Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...
Abennor
Messages postés
7
Date d'inscription
vendredi 3 octobre 2008
Statut
Membre
Dernière intervention
30 octobre 2008
30 oct. 2008 à 01:03
30 oct. 2008 à 01:03
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
30 oct. 2008 à 09:20
30 oct. 2008 à 09:20
Bonjour Chiquitine29, et merci de ton attention.
Voici le rapport d'UsbFix :
-------------- UsbFix V2.395 ---------------
* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
+- Contenu de l'autorun : E:\autorun.inf
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
--------------- [ Registre / Mountpoint2 ] ----------------
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
--------------- [ Nettoyage des disques ] ----------------
Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun
--------------- ! Fin du rapport ! ----------------
J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.
Voici le rapport d'UsbFix :
-------------- UsbFix V2.395 ---------------
* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
--------------- [ Informations lecteurs ] ----------------
C: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
+- Contenu de l'autorun : E:\autorun.inf
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
--------------- [ Registre / Mountpoint2 ] ----------------
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
--------------- [ Nettoyage des disques ] ----------------
Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun
--------------- ! Fin du rapport ! ----------------
J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.
bonjour,
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
30 oct. 2008 à 10:09
30 oct. 2008 à 10:09
Salut Makhou,
Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.
A+
Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.
A+
Abennor
Messages postés
7
Date d'inscription
vendredi 3 octobre 2008
Statut
Membre
Dernière intervention
30 octobre 2008
30 oct. 2008 à 10:44
30 oct. 2008 à 10:44
@ Noraj, si tu veux avoir accés à la base de registre, t'es obligé de passer par un autre logiciel: RegMagik
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.
@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...
Voili, voilou
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.
@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...
Voili, voilou
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
30 oct. 2008 à 12:52
30 oct. 2008 à 12:52
@Abennor : j'arrive à accéder à l'éditeur de registre sans l'aide d'autres logiciel en Fix cheched dans Hijackthis, les lignes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(la O7 étant la cause)
Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.
En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(la O7 étant la cause)
Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.
En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.
Abennor
Messages postés
7
Date d'inscription
vendredi 3 octobre 2008
Statut
Membre
Dernière intervention
30 octobre 2008
30 oct. 2008 à 13:04
30 oct. 2008 à 13:04
Mouais... perplexe...
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.
Salut tout le monde,
ca fait limite chaud au coeur de voir que je suis plus tout seul. Faut vraiment faire tout ca pour le virer ? c'est la galère, je suis pas aussi calé ... enfin, je vais essayer, ca sera toujours moins chiant que d'avoir ce pop up débile !
d'ailleurs j'ai une question .... comment est il apparu sur notre PC ce pseudo virus ? un site en particulier ?
ca fait limite chaud au coeur de voir que je suis plus tout seul. Faut vraiment faire tout ca pour le virer ? c'est la galère, je suis pas aussi calé ... enfin, je vais essayer, ca sera toujours moins chiant que d'avoir ce pop up débile !
d'ailleurs j'ai une question .... comment est il apparu sur notre PC ce pseudo virus ? un site en particulier ?
Bon, alors moi j'ai trouvé une solution un peu risquée a priori ms qui s'est finalement révélée efficace. Je vais vous l'expliquer comme je peux, sachant que je ne suis pas du tout informaticien.
Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".
Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.
Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous
PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux
Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".
Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.
Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous
PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux
Noraj
Messages postés
25
Date d'inscription
mercredi 25 juin 2008
Statut
Membre
Dernière intervention
19 septembre 2009
4
30 oct. 2008 à 14:54
30 oct. 2008 à 14:54
Ayé enfin débarrassé !! :D
Bon, en fait j'ai démarré en mode sans échec, supprimé le fichier antinul.vbe à l'aide de MoveOnBoot.
Puis effacé les lignes d'Hijackthis et maintenant tout semble rentré dans l'ordre.
Merci beacoup à toi Abennor pour ton acharnement ;)
Et bon courage Makhou.
@+
Bon, en fait j'ai démarré en mode sans échec, supprimé le fichier antinul.vbe à l'aide de MoveOnBoot.
Puis effacé les lignes d'Hijackthis et maintenant tout semble rentré dans l'ordre.
Merci beacoup à toi Abennor pour ton acharnement ;)
Et bon courage Makhou.
@+