Gestionnaire des taches desactivé + Multiples problemes :/

Gestionnaire des taches desactivé + Multiples problemes :/ - Win NT/2K/XP - Windows & Software

Marsh Posté le 21-06-2005 à 00:48:23    

Bonjour
J'ai la boite de dialogue "Le gestionnaire des taches a été désactivé par votre administrateur" qui s'affiche lorsque je fais Alt+Ctrl+Supr.
 
J'ai fait des recherches, et j'ai vu des solutions :
- exécuter spy bot, les antivirus etc ...
- allez dans la base de registre et mettre une valeur à 0 au lieu de 1
 
Sauf que je n'arrive plus à exécuter regedit ni meme mes logiciels, c un miracle que mon navigateur fonctionne ...
 
La restauration du systeme marche pas non plus qd je double clik dessus.
 
Help please, help

Reply

Marsh Posté le 21-06-2005 à 00:48:23   

Reply

Marsh Posté le 21-06-2005 à 01:56:36    

un RAV en ligne seulement sur mon disk system m'a donné ceci :  

Citation :

Scan started at 21/06/2005 01:10:33
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
 
Scanned
============================
 Objects: 31710
 Directories: 2890
 Archives: 755
 Size(Kb): 1915542
 Infected files: 0
 
Found
============================
 Viruses found: 0
 Suspicious files: 1
 Disinfected files: 0
 Mail files: 291

Reply

Marsh Posté le 21-06-2005 à 12:22:24    

wow j'ai pu prendre une foto du virus et la passer du tel au pc :  
http://img137.echo.cx/img137/5007/55ka00024on.th.jpg

Reply

Marsh Posté le 21-06-2005 à 16:30:56    

Y a trojan-gen qui bloque le gestionnaire de tâches, voire d'autres trucs.
 
Démarre en mode sans échec et installe un antivirus. Et tu scannes tranquillement pour tout nettoyer. Ensuite, tu redémarres normalement, tu laisses l'antivirus se mettre à jour sur le net, tu coupes ta connexion et tu relances un scan complet.

Reply

Marsh Posté le 21-06-2005 à 16:59:50    

Merci de repondre.
 
En fait, j'ai un peu avancé depuis mon post et il m'a supprimé mes mp3, mes avi, mes mpeg, mes rar ... etc ... je ne peux exécuter que le poste de travail, ma connexion, et le navigateur (et en mode sans echec, le trojan est toujours là, et je ne peux tjs pas exécuter koike ce soit). Le gestionnaire des taches est desactivé, je ne pas pas accéder à regedit.
Hier, apres avoir vu que mes mp3 avait disparu, j'aV pu exécuter 2-3 trucs, mais aujourd'hui, c plus possible, il est revenu.
Donc installer un antivirus, je sais pas, il va pas vouloir lancer l'exécutable j'pense ... enfin si tu connais un bon antivirus qui fait ça.
 
apparement, ça serait ces virus :
http://securityresponse.symantec.com/avcen...32.nopir.a.html
http://securityresponse.symantec.com/avcen...32.nopir.c.html
mais j'suis pas sûr.
 
sinon, actuellement je fais un scan RAV en ligne, de tout mon pc
 
PS:  Si vous pouviez deplacer ce topic dans la rebrique virus, j'crois que ce serait mieux :)


Message édité par audioslave227 le 21-06-2005 à 17:01:09
Reply

Marsh Posté le 21-06-2005 à 17:06:58    

Pour le faire régulièrement, je te conseille de récupérer avast. Tu démarres en Mode sans échec et tu installes l'antivirus en lui demandant de faire un scan au redémarrage.
Le mode sans échec est fait pour ce genre de cas - entre autres - et avast s'installe très bien dans ce mode (ce qui n'est pas le cas de tous les logiciels). Le virus ne devrait donc pas être activé pendant le processus, ce qui te permet de l'effacer.
Profites-en pour effacer les clés de registre de démarrage liés au virus. Et désactive la restauration du système.

Reply

Marsh Posté le 21-06-2005 à 17:11:43    

ok, j'v dl avast et essayé de la lancer en mode sans echec !
 
vla le rav en attendant :  
 
Scan started at 21/06/2005 15:45:24
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
D:\Archives\p2p\PartageHub\Winrar 3.2 with patch.zip->Winrar 3.2 with patch/wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
D:\Archives\p2p\PartageHub\Winrar 3.2 with patch\wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
 
Scanned
============================
 Objects: 74496
 Directories: 5081
 Archives: 1457
 Size(Kb): -1432490
 Infected files: 0
 
Found
============================
 Viruses found: 0
 Suspicious files: 3
 Disinfected files: 0
 Mail files: 300
 

Reply

Marsh Posté le 21-06-2005 à 17:17:03    

excuse moi, mais je prend lekel ?
http://telecharger.01net.com/reche [...] em=windows


Message édité par audioslave227 le 21-06-2005 à 17:17:15
Reply

Marsh Posté le 21-06-2005 à 17:49:11    

j'ai pris le familiale ... mais je ne peux pas exécuter le setupfre.exe. Meme en mode sans echec, le virus est actif, puisque la fenetre du virus apparait

Reply

Marsh Posté le 21-06-2005 à 18:03:43    

Bonjour,
 
Est-ce que tu peux encore lancer soir cmd.exe (je suppose que non) soit command.com (espérons !) par Démarrer -> Exécuter ?

Reply

Marsh Posté le 21-06-2005 à 18:03:43   

Reply

Marsh Posté le 21-06-2005 à 18:15:21    

non, les 2 ne marchent pas en mode normal ... je doute qu'en sans echec ça fonctionne, vu que pour l'instant, c pareil dans les 2 modes

Reply

Marsh Posté le 21-06-2005 à 18:16:01    

Tu n'as qu'à essayer au lieu de douter :)

Reply

Marsh Posté le 21-06-2005 à 18:40:03    

c fait, et je confirme ... ça ne lance que le virus lol

Reply

Marsh Posté le 21-06-2005 à 18:47:35    

Tu ne peux pas brancher ton disque dur sur le PC depuis lequel tu postes ?

Reply

Marsh Posté le 21-06-2005 à 18:50:47    

ah mais je suis sur le pc verrolé là (je n'ai qu'un pc)
je suis en mode normal vu qu'en sans echec, la connexion internet n'est pas dispo.
 
Et donc en mode normal seule la connexion internet, et le poste de travail fonctionne, apres dans le poste de travail, je tape une adresse web, et la fenetre se "transforme" en internet explorer ...  
et puis, qd je demarre en mode normal, j'ai 14 fenetres du virus qui s'ouvre, au bout d'un moment, ça veut dire que le virus bloque 14 applications au demarage...
 
Mais les 2 liens que j'ai mis plus haut correspondent pile au symptomes que j'ai, mais comment eradiquer ces vers ????!!!

Reply

Marsh Posté le 21-06-2005 à 20:44:45    

D'accord.
 
C'est pas facile tu vois, vu que tu peux pas lancer un .exe ni un .com, ni le gestionnaire de tâches ni regedit.
 
On va essayer qqch. Pris sur ce forum même il me semble. La personne a réussi à lancer cmd.exe par le biais d'un fichier .bat.
 
Donc tu sauvegardes ce fichier et tu double cliques dessus :
http://rapidshare.de/files/2529832/cmd.bat.html
 
Aussi, si tu vas dans C:\Windows\system32 et tu copies cmd.exe en cmd.scr, puis double cliques sur cmd.scr, est-ce que tu peux lancer l'invite de commandes comme ça ?

Reply

Marsh Posté le 21-06-2005 à 21:02:53    

Non, oublie mon dernier post. Tu ne vas pas pouvoir exécuter cmd.scr ni cmd.bat : ces types de fichier sont altérés aussi.
Démarre en sans échec, désactive la restauration système si c'est pas fait, puis regarde si ces dossiers/fichiers existent :
 
Remplace %ProgramFiles% par C:\Program Files.
 
%ProgramFiles%\Outlook Express.sav\outlookrem.exe
%ProgramFiles%\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
%ProgramFiles%\system prot\mmsete.exe
 
C:\Program Files\Projects Visual Studio.NET\Nctrup.exe
C:\Program Files\Restore\vxst.exe
 
Si tu les trouves, supprimes-les (dossiers et fichiers) sauf :
%ProgramFiles%\Outlook Express.sav\outlookrem.exe
et
C:\Program Files\Projects Visual Studio.NET\Nctrup.exe
 
tu supprimes uniquement les fichiers exécutables et non pas les dossiers.
 
Ensuite, tu copies regedit.exe dans ces dossiers sous le nom de outlookrem.exe ou Nctrup.exe selon le cas.
 
Essaie ensuite de lancer regedit en double cliquant sur la version copiée dans les dossiers dessus.
 

Reply

Marsh Posté le 22-06-2005 à 00:50:54    

ok, alors comme ça, a vue, en mode normal, j'ai trouvé certain de ces fichiers, mais je ne peux pas desactiver la resturation systeme car je n'ai pas acces au propriétés systeme :/
 
 
mais ke ferai-je apres dans regedit ? je reactiverai le gestionnaire des taches ... mais le virus, il sera tjs là nan ?

Reply

Marsh Posté le 22-06-2005 à 01:11:20    

Tu sauvegardes les deux fiches de Symantec sur l'ordi puis si tu arrives à lancer regedit, tu vas :
 
- supprimer les valeurs ajoutées par les virus à Run.
- supprimer les valeurs qui désactivent regedit et le gestionnaire de tâches.
- rectifier les valeurs de registre comme indiqué sur les deux pages.
 
Pour les deux derniers points, je t'ai fait un fichier .reg que tu pourras importer par le menu Fichier -> Importer de regedit.
http://rapidshare.de/files/2535030 [...] 7.reg.html
 
Ensuite, tu réessaies d'accéder aux propriétés système pour désactiver la resto système, repasse un scan avec les outils que tu as déjà puis rebooter et tenter un scan en ligne.

Reply

Marsh Posté le 22-06-2005 à 01:27:41    

piuf ok
 
Heu, là, j'ai windows update qui me detecte 7 mises à jours critiques... J'les installe ou je fais ta manip d'abord ?

Reply

Marsh Posté le 22-06-2005 à 01:41:41    

Je dirais corriger le registre d'abord, puis maj Windows avant le scan en lgine.

Reply

Marsh Posté le 22-06-2005 à 01:42:51    

Par contre, parmi les maj, il y a le Remove malware là, essaie si tu peux le faire dès maintenant, ça ne peut pas faire de mal.

Reply

Marsh Posté le 22-06-2005 à 01:48:19    

Ok chef, j'ai tout noté, ... demain grosse journée...
 
Et d'avance, Merci pour tout ;)

Reply

Marsh Posté le 22-06-2005 à 01:54:36    

:)
 
@+

Reply

Marsh Posté le 22-06-2005 à 11:31:31    

Si tu peux le récupérer, je peux aussi te conseiller Avast Bart cd. C'est un cd de boot, donc il ne lance pas windows et te permet de modifier le registre... Très pratique comme logiciel. Par contre, il faudrait une version récente pour être sûr qu'il détecte ton virus.

Reply

Marsh Posté le 22-06-2005 à 12:23:33    

ah ok.
 
Heu sinon, probleme ... le remplacement de outlookrem.exe par regedit.exe puis renomage a pour effet simple de me dire que la modification du registre a été desactivée par votre administrateur qd je double clik dessus (j'ai redemarrer en sans echec, ça change rien) et qd je souhaite lancer les applications qui ne marchaient pas, au lieu d'avoir la fenetre du virus, j'ai la boite de dialogue : la modification du registre a été desactivée par votre administrateur.
 
Donc j'ai tjs pas acces au registre

Reply

Marsh Posté le 22-06-2005 à 14:38:01    

Vu le temps que t'y passes, et le nombre de modifs effectuées par le virus dans ton système, je pense que le formatage serait une solution plus rapide. Si bien sûr tu n'as pas de données importantes sur c.

Reply

Marsh Posté le 22-06-2005 à 14:44:18    

oui peut etre ... mais est-ce que le virus se trouve exclusivement sur c:/  parce que je l'ai chopé sur un fichier se trouvant sur un autre disk
 
(et pour les données, c'est pas l'espace qui me manque, ce con m'a tout supprimé ... les 2-3 restantes sur C: pourront facilement se deplacer sur les autres disk)

Reply

Marsh Posté le 22-06-2005 à 15:33:04    

Il peut très bien être dans une autre partition, mais il ne s'installe et se lance qu'à partir de celle où se trouve windows. Si tu réinstalles, il te faudra juste ne pas accéder à la seconde partition tant que tu n'auras pas un antivirus à jour. Et là, tu devrais pouvoir scanner tranquillement.  
Sur ton pc, la difficulté vient du fait que windows a été corrompu par le virus.

Reply

Marsh Posté le 22-06-2005 à 16:44:10    

nglechau ... ton aviiiiiiiiiiis (pas que sur ce dernier post)
:p


Message édité par audioslave227 le 22-06-2005 à 16:44:44
Reply

Marsh Posté le 22-06-2005 à 16:55:08    

:)
 
Je ne suis pas abonnée HFR :)
 
Bon, je viens d'arriver.
 
Vu qu'il ne te reste pas grande chose importante, effectivement le formattage n'est pas une mauvaise idée :)
 
Sources a raison dans son dernier post.
 
Je te prépare un autre exe pour que tu fasses la même manip que pour regedit.exe (copier/renommer), mais comme il fait appel à reg.exe, je n'y crois pas trop)
 
En tout cas, il est là :
http://rapidshare.de/files/2546787 [...] 7.exe.html

Reply

Marsh Posté le 22-06-2005 à 17:01:35    

ok, je redemarre en sans echec, et je le colle dans outlook express.sav

Reply

Marsh Posté le 22-06-2005 à 17:09:10    

Exact, essaie pour voir.

Reply

Marsh Posté le 22-06-2005 à 17:27:20    

XP me demande avec quoi je souhaite ouvrir ce programme ...
NB : L'icone n'est pas l'icone de regedit
 
En fait, ça me demande "Ouvrir avec" qd je clik sur tous les programmes bloqués, de la meme maniere qu'avant j'avais la fenetre du virus, puis : modification du registre a été desactivée par votre administrateur...


Message édité par audioslave227 le 22-06-2005 à 17:27:47
Reply

Marsh Posté le 22-06-2005 à 17:31:30    

Ok, donc nous ne pouvons pas nous en sortir comme ça.
 
Non, ce n'est pas regedit.exe, c'est juste un batch compilé en exe, d'où l'icone différente.
 
Ben désolée, je n'ai pas d'autres idées pour l'instant, à part le formattage :(

Reply

Marsh Posté le 22-06-2005 à 17:36:35    

Il existe aussi un éditeur de registre sous DOS, mais comme tu ne peux pas lancer les .bat, tu ne peux pas faire la disquette non plus.
 
Je pourrai éditer ton registre (en chargeant tes ruches dans ma base) si ça te tente de m'envoyer tes fichiers. Mais ils sont lourds (plusieurs Mo), donc pour l'upload, c'est pas très évident.

Reply

Marsh Posté le 22-06-2005 à 17:56:44    

heu ouais je ne sais pas, par contre la fenetre "ouvrir avec" me permet de lancer mes appliacations en allant rechercher le .exe associé a l'application.
 
J'essaye de lancer norton, mais j'galere là, ya plein de .exe ... sinon j'pourrai installer avast peut etre
 

Reply

Marsh Posté le 22-06-2005 à 17:59:23    

Une p'tite lueur d'espoir ?
 
Pour voir quel est le bon exe à lancer, tu peux faire clique droit sur le raccourci de Norton dans le menu Démarrer -> propriétés -> champ cible. Mais ça ne lance pas regedit (et au final, le msg d'erreur) ?

Reply

Marsh Posté le 22-06-2005 à 18:09:54    

non ça ne lance pas regedit, mais pour norton, l'autoprotect se lancait au demarage et la cible est la suivante : "C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe" /dat:C:\Program Files\Norton AntiVirus\navui.nsi
 
bizarre, enfin j'arrive pas a le lancer
 
j'pense que je vais retesté en sans echec, et installer avast en sans echec aussi, pour tenter de le lancer ...
J'ai recupéré S-t-i-n-g-e-r.exe aussi, est il utile pour un scannage ?
 
PS : J'ai trouvé un txt sous la racine qui dit : THE PUNISHMENT OF {WIN 32 NOPIR} !!!.txt ==> THE ILLEGAL COPY IS AN ORGANIZED CRIME !!!
lol


Message édité par audioslave227 le 22-06-2005 à 18:18:59
Reply

Marsh Posté le 22-06-2005 à 18:26:04    

parce que tu ne peux pas préciser le paramètre (/dat...)
 
ce que je te suggère, c'est de récupérer HijackThis ici (pas d'installation requise) et de faire un scan avec, ça peut aider à un ptit ménage :
 
http://rapidshare.de/files/1063159/HijackThis.exe.html

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed