Discussion :

[rpatruno]

Bonjour

J'ai les problèmes suivant
1. mon bureau est vide (toutes les icones ont disparu), et je ne peux pas faire de click droit dessus
2. démarrer => eteindre a disparu
3. je ne peux rien rajouter sur le bureau
4. mes documents récents a disparu
5. je ne peux pas faire de click droit sur les éléments de démarrer - programmes

je ne peux pas faire de récupération de mon registre (même en mode sans échec et administrateur, me dit "la politique d'administration ne permet pas...")

J'ai installé Kaspersky, rien trouvé ; Avast non plus. je pense avoir attrapé cela par une clef USB.

Avez vous des idées ? problème déjà rencontré ?

J'ai bien lu quelque chose qui ressemble au dessu (avec "remplacement d'explorer.exe") mais je n'ai pas réussi à reproduire la correction

Bien cordialement

Rosanna

[Senji]

Salut,

Télécharge SmitFraudFix et lances le en mode sans echec.
au passage, as tu bien configuré kasper avec toutes les options de recherches?

bye

[rpatruno]

Bonjour Senji

Merci pour ta réponse. J'ai cependant un petit soucis : parmis les soucis que j'ai, il y en a 1 que j'ai oublié : lorsque je tape cmd dans executer, il m'ouvre puis ferme la fenêtre de commande. Je viens d'essayer ton antivirus, et ça me donne la même chose, même en mode sans échec.

J'ai fait une passe avec Kaspersky, puis désinstallé, et Avast : rien trouvé. Je pense que le virus était dans une clef USB, qu'il a changé divers choses dans ma base des registre, et c'est "tout". qu'il n'est pas forcément sur ma machine, mais qu'il a changé pas mal de chose qui m'enquiquinent...

Parmis les points supplémentaires donc (même en mode sans echec, et admin):
1. je ne peux pas cliquer droit sur le bureau, et donc ne peux pas changer la configuration de mon écran (changer de résolution)
2. je ne peux pas ajouter quoi que ce soit sur mon bureau
3. je ne peux pas lancer les lignes de commandes, et donc passer en mode dos
4. dans mes divers programmes, je ne trouve plus "ouvrir les documents récents"
5. sur internet, il m'a enlevé le menu "fichier"

Bref, a pain in the neck pour ne pas dire plus...

Existe-t'il un moyen de revenir à une configuration de registre originale basique ?

Merci d'avance pour votre aide à tous...

Cordialement

Rosanna

[rpatruno]

Je viens d'avoir un élément de réponse :
Le virus a effectué 2 opérations. j'ai identifié la 1ère, je ne suis pas certain de comment résoudre la 2ème

1ère opération du virus : il m'a rajouté dans :
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer divers paramètres :
NoChangeStartMenu
NoClose
NoShellSearchButton

et j'en passe

Il me suffirait donc de les supprimer ou de mettre la valeur à 0 pour régler mon problème

Mais là, j'ai l'impression que le virus a effectué une 2ème opération :
restriction des droits de l'utilisateur, même en mode admin...
et donc, je me retrouve à ne pas pouvoir changer mes registres avec regedit...

Question : comment je peux changer ces droits ? où sont-ils définis ? cela me fait penser que lorsque j'avais essayé de lancer un "restore", il m'avais mis "la politique de sécurité vous interdit..." ou un truc dans ce genre.

Est-ce que vous auriez des idées ? Merci d'avance pour votre aide

Bien cordialement

Rosanna

[rpatruno]

addendum : HiJackThis me montre un état normal, i.e. pas d'activité virus détectée

[Senji]

Salut,

t'as bien lancé la nettoyage avec smitfraudFix en mode sans echec?
et si aucun antivirus ne le trouve, ce qui ne m'étonne pas, on va utiliser la méthode collective. si t'as internet lance http://www.pandasecurity.com/infected_or_not/fr/soho/ "analyser votre pc" la base est plus à jour !!!!!

tiens nous au courant
bye

[rpatruno]

Bonjour,

J'ai finalement réussi à retrouver le virus !!!
Nom de code : cradle_of_filth.vbe

Ce qu'il fait : ce que j'ai décrit
Comment s'en débarasser :
1. arrêter le wscript.exe dans Gestionnaire des taches, processus
2. ouvrir avec un programme autre qu'explorer (j'ai fait cela avec... SmartFTP) le dossier C:\\Windows\System32\ et rechercher cradle_of_filth.vbe : ce fichier est en effet invisible lorsque vous le recherchez par le biais d'explorer, même si vous avez choisi "faire apparaître les fichiers et dossiers invisibles"
3. supprimez le (impossible de le lire pour voir le code, comme c'est un VBE... = un VBS crypté)
4. ensuite, 2 solutions :
A. vous utilisez cradle_of_filth_fix.exe (qui ne fonctionne pas directement : i.e. il ne fait pas les étapes 1 à 3) ; pas certain que ce programme soit virus free (je crois qu'il essaie de remplacer votre page d'accueil internet)
B. vous allez dans regedit, et recherchez toutes les occurences cradle (allez à la racine - Poste de Travail - puis Edition / Recherchez ; "cradle" ; vous aurez pas mal d'occurences à supprimer, sauf celles qui possèdent d'autres données (e.g. userini : contient le login, et ensuite après la virgule un truc du genre wscript.exe cradle_of_.... c'est cette dernière partie qu'il faut retirer, pas la première, sinon, vous ne pouvez plus vous logger...). Ensuite, vous allez dans HKCU/Soft/Micro/Window/CurrentVersion/Policies/Explorer, et vous retirer les divers NoFileMenu etc qu'ajoute ce virus.

Cheers

Rosanna