Bonjour
J'ai la boite de dialogue "Le gestionnaire des taches a été désactivé par votre administrateur" qui s'affiche lorsque je fais Alt+Ctrl+Supr.
 
J'ai fait des recherches, et j'ai vu des solutions :
- exécuter spy bot, les antivirus etc ...
- allez dans la base de registre et mettre une valeur à 0 au lieu de 1
 
Sauf que je n'arrive plus à exécuter regedit ni meme mes logiciels, c un miracle que mon navigateur fonctionne ...
 
La restauration du systeme marche pas non plus qd je double clik dessus.
 
Help please, help

un RAV en ligne seulement sur mon disk system m'a donné ceci :  

wow j'ai pu prendre une foto du virus et la passer du tel au pc :  

Y a trojan-gen qui bloque le gestionnaire de tâches, voire d'autres trucs.
 
Démarre en mode sans échec et installe un antivirus. Et tu scannes tranquillement pour tout nettoyer. Ensuite, tu redémarres normalement, tu laisses l'antivirus se mettre à jour sur le net, tu coupes ta connexion et tu relances un scan complet.

Merci de repondre.
 
En fait, j'ai un peu avancé depuis mon post et il m'a supprimé mes mp3, mes avi, mes mpeg, mes rar ... etc ... je ne peux exécuter que le poste de travail, ma connexion, et le navigateur (et en mode sans echec, le trojan est toujours là, et je ne peux tjs pas exécuter koike ce soit). Le gestionnaire des taches est desactivé, je ne pas pas accéder à regedit.
Hier, apres avoir vu que mes mp3 avait disparu, j'aV pu exécuter 2-3 trucs, mais aujourd'hui, c plus possible, il est revenu.
Donc installer un antivirus, je sais pas, il va pas vouloir lancer l'exécutable j'pense ... enfin si tu connais un bon antivirus qui fait ça.
 
apparement, ça serait ces virus :
http://securityresponse.symantec.com/avcen...32.nopir.a.html
http://securityresponse.symantec.com/avcen...32.nopir.c.html
mais j'suis pas sûr.
 
sinon, actuellement je fais un scan RAV en ligne, de tout mon pc
 
PS:  Si vous pouviez deplacer ce topic dans la rebrique virus, j'crois que ce serait mieux

Pour le faire régulièrement, je te conseille de récupérer avast. Tu démarres en Mode sans échec et tu installes l'antivirus en lui demandant de faire un scan au redémarrage.
Le mode sans échec est fait pour ce genre de cas - entre autres - et avast s'installe très bien dans ce mode (ce qui n'est pas le cas de tous les logiciels). Le virus ne devrait donc pas être activé pendant le processus, ce qui te permet de l'effacer.
Profites-en pour effacer les clés de registre de démarrage liés au virus. Et désactive la restauration du système.

ok, j'v dl avast et essayé de la lancer en mode sans echec !
 
vla le rav en attendant :  
 
Scan started at 21/06/2005 15:45:24
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
D:\Archives\p2p\PartageHub\Winrar 3.2 with patch.zip->Winrar 3.2 with patch/wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
D:\Archives\p2p\PartageHub\Winrar 3.2 with patch\wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
 
Scanned
============================
 Objects: 74496
 Directories: 5081
 Archives: 1457
 Size(Kb): -1432490
 Infected files: 0
 
Found
============================
 Viruses found: 0
 Suspicious files: 3
 Disinfected files: 0
 Mail files: 300
 

excuse moi, mais je prend lekel ?
http://telecharger.01net.com/reche [...] em=windows

j'ai pris le familiale ... mais je ne peux pas exécuter le setupfre.exe. Meme en mode sans echec, le virus est actif, puisque la fenetre du virus apparait

Bonjour,
 
Est-ce que tu peux encore lancer soir cmd.exe (je suppose que non) soit command.com (espérons !) par Démarrer -> Exécuter ?

non, les 2 ne marchent pas en mode normal ... je doute qu'en sans echec ça fonctionne, vu que pour l'instant, c pareil dans les 2 modes

Tu n'as qu'à essayer au lieu de douter

c fait, et je confirme ... ça ne lance que le virus lol

Tu ne peux pas brancher ton disque dur sur le PC depuis lequel tu postes ?

ah mais je suis sur le pc verrolé là (je n'ai qu'un pc)
je suis en mode normal vu qu'en sans echec, la connexion internet n'est pas dispo.
 
Et donc en mode normal seule la connexion internet, et le poste de travail fonctionne, apres dans le poste de travail, je tape une adresse web, et la fenetre se "transforme" en internet explorer ...  
et puis, qd je demarre en mode normal, j'ai 14 fenetres du virus qui s'ouvre, au bout d'un moment, ça veut dire que le virus bloque 14 applications au demarage...
 
Mais les 2 liens que j'ai mis plus haut correspondent pile au symptomes que j'ai, mais comment eradiquer ces vers ????!!!

D'accord.
 
C'est pas facile tu vois, vu que tu peux pas lancer un .exe ni un .com, ni le gestionnaire de tâches ni regedit.
 
On va essayer qqch. Pris sur ce forum même il me semble. La personne a réussi à lancer cmd.exe par le biais d'un fichier .bat.
 
Donc tu sauvegardes ce fichier et tu double cliques dessus :
http://rapidshare.de/files/2529832/cmd.bat.html
 
Aussi, si tu vas dans C:\Windows\system32 et tu copies cmd.exe en cmd.scr, puis double cliques sur cmd.scr, est-ce que tu peux lancer l'invite de commandes comme ça ?

Non, oublie mon dernier post. Tu ne vas pas pouvoir exécuter cmd.scr ni cmd.bat : ces types de fichier sont altérés aussi.
Démarre en sans échec, désactive la restauration système si c'est pas fait, puis regarde si ces dossiers/fichiers existent :
 
Remplace %ProgramFiles% par C:\Program Files.
 
%ProgramFiles%\Outlook Express.sav\outlookrem.exe
%ProgramFiles%\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe  
%ProgramFiles%\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
%ProgramFiles%\system prot\mmsete.exe
 
C:\Program Files\Projects Visual Studio.NET\Nctrup.exe
C:\Program Files\Restore\vxst.exe
 
Si tu les trouves, supprimes-les (dossiers et fichiers) sauf :
%ProgramFiles%\Outlook Express.sav\outlookrem.exe
et
C:\Program Files\Projects Visual Studio.NET\Nctrup.exe
 
tu supprimes uniquement les fichiers exécutables et non pas les dossiers.
 
Ensuite, tu copies regedit.exe dans ces dossiers sous le nom de outlookrem.exe ou Nctrup.exe selon le cas.
 
Essaie ensuite de lancer regedit en double cliquant sur la version copiée dans les dossiers dessus.
 

ok, alors comme ça, a vue, en mode normal, j'ai trouvé certain de ces fichiers, mais je ne peux pas desactiver la resturation systeme car je n'ai pas acces au propriétés systeme
 
 
mais ke ferai-je apres dans regedit ? je reactiverai le gestionnaire des taches ... mais le virus, il sera tjs là nan ?

Tu sauvegardes les deux fiches de Symantec sur l'ordi puis si tu arrives à lancer regedit, tu vas :
 
- supprimer les valeurs ajoutées par les virus à Run.
- supprimer les valeurs qui désactivent regedit et le gestionnaire de tâches.
- rectifier les valeurs de registre comme indiqué sur les deux pages.
 
Pour les deux derniers points, je t'ai fait un fichier .reg que tu pourras importer par le menu Fichier -> Importer de regedit.
http://rapidshare.de/files/2535030 [...] 7.reg.html
 
Ensuite, tu réessaies d'accéder aux propriétés système pour désactiver la resto système, repasse un scan avec les outils que tu as déjà puis rebooter et tenter un scan en ligne.

piuf ok
 
Heu, là, j'ai windows update qui me detecte 7 mises à jours critiques... J'les installe ou je fais ta manip d'abord ?

Je dirais corriger le registre d'abord, puis maj Windows avant le scan en lgine.

Par contre, parmi les maj, il y a le Remove malware là, essaie si tu peux le faire dès maintenant, ça ne peut pas faire de mal.

Ok chef, j'ai tout noté, ... demain grosse journée...
 
Et d'avance, Merci pour tout

 
@+

Si tu peux le récupérer, je peux aussi te conseiller Avast Bart cd. C'est un cd de boot, donc il ne lance pas windows et te permet de modifier le registre... Très pratique comme logiciel. Par contre, il faudrait une version récente pour être sûr qu'il détecte ton virus.

ah ok.
 
Heu sinon, probleme ... le remplacement de outlookrem.exe par regedit.exe puis renomage a pour effet simple de me dire que la modification du registre a été desactivée par votre administrateur qd je double clik dessus (j'ai redemarrer en sans echec, ça change rien) et qd je souhaite lancer les applications qui ne marchaient pas, au lieu d'avoir la fenetre du virus, j'ai la boite de dialogue : la modification du registre a été desactivée par votre administrateur.
 
Donc j'ai tjs pas acces au registre

Vu le temps que t'y passes, et le nombre de modifs effectuées par le virus dans ton système, je pense que le formatage serait une solution plus rapide. Si bien sûr tu n'as pas de données importantes sur c.

oui peut etre ... mais est-ce que le virus se trouve exclusivement sur c  parce que je l'ai chopé sur un fichier se trouvant sur un autre disk
 
(et pour les données, c'est pas l'espace qui me manque, ce con m'a tout supprimé ... les 2-3 restantes sur C: pourront facilement se deplacer sur les autres disk)

Il peut très bien être dans une autre partition, mais il ne s'installe et se lance qu'à partir de celle où se trouve windows. Si tu réinstalles, il te faudra juste ne pas accéder à la seconde partition tant que tu n'auras pas un antivirus à jour. Et là, tu devrais pouvoir scanner tranquillement.  
Sur ton pc, la difficulté vient du fait que windows a été corrompu par le virus.

nglechau ... ton aviiiiiiiiiiis (pas que sur ce dernier post)

 
Je ne suis pas abonnée HFR
 
Bon, je viens d'arriver.
 
Vu qu'il ne te reste pas grande chose importante, effectivement le formattage n'est pas une mauvaise idée
 
Sources a raison dans son dernier post.
 
Je te prépare un autre exe pour que tu fasses la même manip que pour regedit.exe (copier/renommer), mais comme il fait appel à reg.exe, je n'y crois pas trop)
 
En tout cas, il est là :
http://rapidshare.de/files/2546787 [...] 7.exe.html

ok, je redemarre en sans echec, et je le colle dans outlook express.sav

Exact, essaie pour voir.

XP me demande avec quoi je souhaite ouvrir ce programme ...
NB : L'icone n'est pas l'icone de regedit
 
En fait, ça me demande "Ouvrir avec" qd je clik sur tous les programmes bloqués, de la meme maniere qu'avant j'avais la fenetre du virus, puis : modification du registre a été desactivée par votre administrateur...

Ok, donc nous ne pouvons pas nous en sortir comme ça.
 
Non, ce n'est pas regedit.exe, c'est juste un batch compilé en exe, d'où l'icone différente.
 
Ben désolée, je n'ai pas d'autres idées pour l'instant, à part le formattage

Il existe aussi un éditeur de registre sous DOS, mais comme tu ne peux pas lancer les .bat, tu ne peux pas faire la disquette non plus.
 
Je pourrai éditer ton registre (en chargeant tes ruches dans ma base) si ça te tente de m'envoyer tes fichiers. Mais ils sont lourds (plusieurs Mo), donc pour l'upload, c'est pas très évident.

heu ouais je ne sais pas, par contre la fenetre "ouvrir avec" me permet de lancer mes appliacations en allant rechercher le .exe associé a l'application.
 
J'essaye de lancer norton, mais j'galere là, ya plein de .exe ... sinon j'pourrai installer avast peut etre
 

Une p'tite lueur d'espoir ?
 
Pour voir quel est le bon exe à lancer, tu peux faire clique droit sur le raccourci de Norton dans le menu Démarrer -> propriétés -> champ cible. Mais ça ne lance pas regedit (et au final, le msg d'erreur) ?

non ça ne lance pas regedit, mais pour norton, l'autoprotect se lancait au demarage et la cible est la suivante : "C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe" /dat:C:\Program Files\Norton AntiVirus\navui.nsi
 
bizarre, enfin j'arrive pas a le lancer
 
j'pense que je vais retesté en sans echec, et installer avast en sans echec aussi, pour tenter de le lancer ...
J'ai recupéré S-t-i-n-g-e-r.exe aussi, est il utile pour un scannage ?
 
PS : J'ai trouvé un txt sous la racine qui dit : THE PUNISHMENT OF {WIN 32 NOPIR} !!!.txt ==> THE ILLEGAL COPY IS AN ORGANIZED CRIME !!!
lol

parce que tu ne peux pas préciser le paramètre (/dat...)
 
ce que je te suggère, c'est de récupérer HijackThis ici (pas d'installation requise) et de faire un scan avec, ça peut aider à un ptit ménage :
 
http://rapidshare.de/files/1063159/HijackThis.exe.html