Virus administrateur qui commande tous

Résolu/Fermé
kimbrador - 16 déc. 2008 à 23:59
 kimbrador - 21 déc. 2008 à 23:57
Bonjour,

est ce qu'il ya quelquns qui peu m aider?????????

j ai ete attaquer par un virus qui ma bloqué mon compte administrateur ,et c lui qui gere tout je peu acceder que par mon compte utilisateur lorsque je tape administrateur il demande "mot de passe " que j ai jamais fai un ,je peu ni installer ni supprimer ni formater
ce que je sache c que les virus s'appellent
IRI.EXE
OKEA.EXE
SYSTEM9.EXE
SYSTEM43.EXE
XX.EXE

63 réponses

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 déc. 2008 à 13:04
Salut à tous ,

si Destrio5 et Lyonnais92 n'y voient pas d' inconvénient , j'aimerai que tu essayes ceci stp :


Dans l'ordre :


1- Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...


=====================


2- Supprime ton Smithfraudfix si tu l'as encore ( ainsi que les éventuels dossier crées par l'outil ) .


=====================

3- Télécharge ske.exe ( = SmitfraudFix renommé (de S!Ri, balltrap34 et moe31 ) ) :

https://www.sendspace.com/file/w8walf

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "ske.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

0
bonjour sKe69

bon voila le premier rapport du prog "ROOT.EXE"

20/12/2008|14:02

----------------------\\ Search..

No infections found !


1 - "C:\Rooter$\Rooter_1.txt" - 20/12/2008|13:28
2 - "C:\Rooter$\Rooter_2.txt" - 20/12/2008|14:03

----------------------\\ Scan completed at 14:03
0
bon pour "ske.exe" apres tapé (1) comme "recherche "

il m'affiche acces refuse .sans donneé de rapport

NB: j'ai pas arrivé a désinstallé "SmitfraudFix"
"j'ai pas le prévilège d'un administrateur" : voila qu'est ce que j'ai eu comme réponse
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 déc. 2008 à 13:18
Re,

toutes les propositions sont bonnes !

essaye, on verra.
0
bonjour lyonnais69


merci da ton conseil lyonnais
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 déc. 2008 à 14:34
re,

essaye de lancer la manipe avec "ske.exe" en mode sans échec :

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Et autre chose que je viens de voir ... virer Vista pour mettre une version crackée de XP fut loin d'être l'idée du sciècle !

-> info à prendre en compte :
http://www.commentcamarche.net/faq/sujet 2981 windows j utilise une version piratee

0
bon voila j ai fais comme tu ma dis mais c pareil ,par contre cete fois ci lorsque j ai ouvert la page SKe.exe et en cliquant sur 1 comme "recherche " plusieurs plusieurs page du prog (SKe.exe) son ouverte

REMARQUE 1: j ai remarqué que le prog veut demarrer et au dernier instant la page se ferme toute seule (j ai essayer l operation plus q une fois)

REMARQUE 2:je peu rien supprimer ni vista ,ni autre prog ni meme des fichier ;il m affiche tjrs "pas de privilege d administrateur"
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 déc. 2008 à 14:47
Re,

tu me diras aussi ce qui se passe quand tu fais ça :

Démarrer, Exécuter, tu tapes devmgmt.msc puis OK


0
bon avec la commande " devmgmt.msc" il m affiche un message " vous n avez pas les aurorites suffisantes pour desinsttallé des periph ,contactez votre administrateur "

lorsque je clique ok sur la boite de message il m ouvre la page du GESTIONNAIRE DE PEREPHIRIQUE tous seul
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > kimbrador
19 déc. 2008 à 19:07
re,

sache qu'on est plusieurs sur le coup et qu'on réfléchit au prb .... ^^

patience ... ;)
0
kimbrador > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
19 déc. 2008 à 19:12
honnettement je vous tirs le chapeau les gas et je vous bravo et merci infiniment
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 déc. 2008 à 15:41
autre question ,

lorsque tu cliques droit sur "ske.exe" par exemple , tu n'a spas le choix de faire ensuite dans le petit menu qui s'affiche : " exécuter avec les droits d'admin. " ou encore " exécuter entant qu'adminsitrateur " .... ?

0
non il démarre directement
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > kimbrador
19 déc. 2008 à 17:03
avec un clique droit ?
0
kimbrador > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
19 déc. 2008 à 17:09
oui pareil
0
Utilisateur anonyme
19 déc. 2008 à 19:53
ok

c étais previsible

as tu acces a la base de registre ?

demarrer > executer > tape regedit puis fais entrer ... dis moi si ceci marche
0
1)bon lorsque je clique sur "non" dans la boite de message precédente que je t ai explique la page bloc note se ferme et la page noire de CLE.bat reste affiché avec deux ligne la ou il est affiche "acces refusé"

2) avec la commande "regedit" une boite de msg s affiche " vous n'avez pas les autorités de desinstaller ou de rajouté des periphirique contactez votre administrateur........" ; et la page gestionnaire de périphirique s'ouvre juste apres
0
Utilisateur anonyme
19 déc. 2008 à 20:11
OK , on va tenter un truc mais j ai besoin de relire tes rapports donc moi 5 min

@+
0
ok prends ton temps et merci encore
0
Utilisateur anonyme
19 déc. 2008 à 20:25
re

essai ceci dans un premier temps :

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
bon j ai éxécuté le prog il a maché pendant +/- 5 seconde j 'ai vu quelques lignes " acces refusé "

et apres l'ordi a resté bloqué a la page d'acceil vierge (pas d'icone de bureau ) j'ai attendu une vingtaine de mn et apres je l'ai redémarré mannuellement ,

voila ce qu'est passé exactement

NOTE : j'ai demandé au ex-propriétaire de cet ordi (portable de marque MEDION) il m'a dit que l'ordi été avec vista comme sys d'exploitation et il la formaté et lui a insttallé une version XP windo PRO piraté que j 'ai maintenant
0
Utilisateur anonyme
19 déc. 2008 à 21:48
ok pas evident ton probleme

perso je vais me le penser si les collegues ont des choses a te faire faire qu ils se ne genent pas
0
ok merci chiquitine29 et a toute l'equipe
0
par contre cette question et pour toute l'equipe avec mes sincers respect pour destrio5
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293
19 déc. 2008 à 23:24
Ton cas est intéressant pour nous ;)
0
oui je vois je vois que vous faites votre maximun ;encore merci
0
bonjour destrio
tu es la ?
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293 > kimbrador
20 déc. 2008 à 20:32
Je ne suis pas disponible ce soir, désolé.
0
kimbrador > Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023
20 déc. 2008 à 20:42
ok pas de pb ,juste j'ai voulu de te dire que j'ai reussi a mettre les fichier du dossier pour chiquitine dans un dossier "pour chiquitine .rar"

a al prochaine alors
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293 > kimbrador
20 déc. 2008 à 20:43
J'ai 10-20 minutes à t'accorder, tu te connectes sur MSN ?
0
Utilisateur anonyme
19 déc. 2008 à 23:29
0
je vois ce ke tu m a ecrit mais j'ai pas compris
0
Utilisateur anonyme
19 déc. 2008 à 23:36
ok on va reprendre

je t explqiue je voudrais que tu fasses une manip afin de rcuperer certains fichiers pour les etudiers puis t aider

donc

je voudrias que tu ailles sur le disque C

et que tu trouves ces fichiers :

IRI.EXE
OKEA.EXE
SYSTEM9.EXE
SYSTEM43.EXE
XX.EXE


si tu les vois dis la moi apres je t explique
0
oui je l'ai vvois tous sur le c:\
0
Utilisateur anonyme
19 déc. 2008 à 23:42
ok

alors tu vas faire

as tu winrar ou 7 zip ??

peutx tu sans cliquer sur ces fichier les nevoyer dans un dossier pouis les compresser dans une archive avec winrar ou 7 zip ?

tu me suis ? t as compris ?
0
REMARQ 1) lorsque l'ai essayé l'option "compressé et envoyer" il l'air de marché par ce qu'il a ouvert la boite pour outlook express et a demandé l'adresse email ,jèai tapé une adresse par defaut il passé a une 2ème page il demande le nom du serveur et autre truc

REMARQ 2) lorsque j'ouvre le c:\normalement je l'ai trouve ces fichiers par contre lorsque je fais "EXPLORER"
je les trouves pas ils sont oas affichés avec le reste des prog et fichiers
0
oui je l'ai deja fais ca avant de vous contacté et ca n a pas marché ,et voila j ai reessayer pour etre sur mais non

boite message "imposssible d'ouvrir le fichier code error......
0
Utilisateur anonyme
20 déc. 2008 à 00:03
ok
mais tu fais ouvrir

moi je te demande CLIC DROIT SUR LE FICHIER envoyer vers document par exemple c possible , ,?
0
oui je peut l'envoyer sur le bureau (raccourci)
je peut l'envoyer a mes document
mais pas a un dossier compressé
0
lorsque je clic 'envoyer vers ' 'dossier compressé'

resultat : impossible de compressé le fichier
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293
20 déc. 2008 à 00:16
Tu n'as pas Winrar ?
0
si, je l'ai
0
je suis désole j'ai été obligé de sortir en urgence , et a demain j'espère bien
0
Utilisateur anonyme
20 déc. 2008 à 00:17
destrio va t expliquer -;)
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293
20 déc. 2008 à 00:20
Tu ne peux pas mettre les fichiers infectés dans une archive ?
0
attendez je vais voir
0
non ca marche pas comme le ZIP impossible d'ouvrir le fichier
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293
20 déc. 2008 à 00:32
Ouvrir le fichier.
0
non ils s'ouvre pas les cinq
0
kimbrador > kimbrador
20 déc. 2008 à 00:48
par contre depuis que j 'ai essayer de les ouvrir la connexion a devenu lente ,par exemple pour revenir a la boite de message (pour vous répondre ) je mais 5 a 10 seconde maintenant il met plus qu'une minute et le symbol de lèorloge de sable elle a resté tourner dans le vide
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 293 > kimbrador
Modifié le 21 déc. 2008 à 23:57
T'as MSN ?

(adresse mail supprimée)
0
kimbrador > Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023
20 déc. 2008 à 02:35
je suis la chef
0