Virus lance application dans bloc notes - virus bloc utilisation application

13fred · Février 16, 2006, 2:19

Bonjour,

j’ai besoin d’aide car j’ai un virus qui a du modifié ma base de registre, car je ne peux plus lancer aucune application ou tout autre anti-virus, aie aie aie…

lors du démarrage du Pc je me retrouve avec une dizaine de fenêtre Bloc-notes avec une suite de chiffres et lettres incompréhensibles… et puis je ne peux plus rien lancer… impossible d’executer regedit, ca ouvre le bloc note, impossible de lancer un cleaner, meme chose bonjour le bloc note…

la seule application qui fonctionne, dieu seul sait pourquoi, c’est internet explorer… ouffff

mais bon qq’un aurait-il une idée pour réparer cette cochonnerie ???

J’ai déjà essayé de réinitialiser les clés de registres en allant sur Symantec et téléchargant le .inf (UnHookExec.inf) mais rien n’y fait je suis coincé car impossible d’installer le .inf censé réinitialiser le bouzin, j’ai juste droit à une belle fenêtre bloc-notes avec sa suite de chiffres et de lettres…

Aidez moi à me sauver de virus chiffre et des lettres ambiance romechko consonnes voyelles…

HELP MEEEEEEEEEEEEEEEee

J’ai déjà essayer d

LeDOC666 · Février 16, 2006, 2:26

Deja télécharge le logiciel: hijackthis
et poste le log sur le forum pour qu’on l’analyse

13fred · Février 16, 2006, 2:29

Le souci c que je ne peux plus rien lancer de ma machine… elle autorise juste les scan on-line dès que je veux lancer une application paf le bloc notes et l’application ne se lance pas…

donc si je télécharge hijackthis… je ne pourrais pas le lancer, c comme pour les autres applications…

13fred · Février 16, 2006, 2:42

Je viens de tenter l’install de hijackthis, mais malheureusement comme je l’avais prévu… une fois installé, le lancement de l’application ouvre une fenêtre bloc-notes et rien ne se lance :(((((

HELP

LeDOC666 · Février 16, 2006, 4:18

Quant tu lance un programme, ca lance le bloc note ??
c marrant ca
essaye de voir avec le bouton droit de la sourie les options que t’a quant tu lance un executable (style hijackthis)
Ecrit nous les differentes options, et sinon essaye de l’executer en tant qu’administrateur.

Souralloy · Février 16, 2006, 4:23

Salut,

Chercher tous les fichiers notepad.exe dans le dossier système et ses sous-dossiers et les déplacer ailleurs. Quand Windows te dit qu’il manque un fichier système et demande si tu veux le restaurer, réponds non.
Ensuite, essaie de lancer HijackThis et dis ce que ça retourne. S’il te demande avec quel programme tu veux l’ouvrir, clique sur le bouton Parcourir et choisis lui-même.

On verra ensuite pour restaurer l’association des fichiers exécutables (exe et autres).

juju251 · Février 16, 2006, 8:53

T’es allé voir la?

http://www.clubic.com/forum/-topic-officie…pc-t323378.html

Section 4, procédure générique. :jap:

Souralloy · Février 16, 2006, 10:10

Juju : son problème actuel est de ne pouvoir lancer aucune appli à part Internet Explorer. Ton topic sera à consulter une fois l’association des fichiers exécutables sera rétablie :jap:

13fred · Février 16, 2006, 11:39

après avoir effectuer une recherche des fichiers notepad.exe, ils apparaissent dans les fichiers suivants:

windows\notepad.exe
windows\system32\notepad.exe
windows\prefetech\notepad.exe… pf

j’ai réussi à déplacer les fichiers le second et le troisieme fichier par contre le premier persiste malgré que je le déplace…

donc ujne fois déplacé, aucune fenêtre notepad s’ouvre lorsque je lance une application, comme par exemple Hijackthis, mais j’ai droit à une fenetre erreur de windows expliquant que windows ne trouve pas le chemin…

Poor lonesome cowboy

quelqu’un à une idée de génie

Souralloy · Février 16, 2006, 11:44

Ce n’est pas grave. Désactive la restauration système, il ne reviendra plus. De toute façon, cette désactivation est nécessaire vu que ton système est gravement contaminé.

Copie maintenant Hijackthis.exe dans le dossier
C:\Windows\system32
et renomme-le en notepad.exe. Ainsi quand tu essaies de lancer un programme, hijackthis va se lancer et tu vas pouvoir effectuer le nettoyage.

nick6666 · Février 16, 2006, 11:58

formatage assuré, si ta choper un virus sa doit etre un bo gros

Middle_Earth_King · Février 17, 2006, 12:09

tu as essayé de lancer les programmes en ligne de commande avec "executer" dans le menu démarrer?
Suffit de taper C : \ et après les chemins sont proposés, donc facile de trouver les executables.

Sinon +1 avec nglechau, le coup de renommer, ça marche toujours.
+1 aussi avec une mauvaise association des .exe

Ce qui me paraît bizarre, c’est que tu aies pu installer hijack, ce n’est pas un .exe d’installation?

juju251 · Février 17, 2006, 8:16

Si tu démarre Windows XP en mode sans échec, tu as le même problème :??:

Si ca fonctionne en mode sans echec faisun scan hijackthis pour voir, il serait bon de savoir quel virus as chopé ton pc. utre chose, utilises-tu un antivirus, si oui, lequel?

LeDOC666 · Février 17, 2006, 4:30

hijack this n’a pas besoin de s’installer
la priorité pour l’instant c de récuperer l’execution de ses programmes exe, apres tout ira tout seul
essaye la technique de juju aussi, de démarrer en mode ss echec pour voir si t’arrive a lancer tes programmes.

Souralloy · Février 17, 2006, 4:35

lol ne faut pas se leurrer. Quand tu perds l’association dans le registre, c’est valable aussi pour le mode sans échec hein ? Il n’y a pas une version de registre dédiée à chaque mode de démarrage.

LeDOC666 · Février 17, 2006, 4:51

me souvient plus si il l’enregistre dans LOCAL MACHINE, ou dans USER MACHINE

Souralloy · Février 17, 2006, 4:54

Il n’y pas USER MACHINE

Les associations sont dans HKEY_CLASSES_ROOT, soit la copie d’une branche de HKEY_LOCAL_MACHINE et non pas dans HKEY_CURRENT_USER qui est une copie d’une branche de HKEY_USERS.

C’est pourtant simple de vérifier

13fred · Février 18, 2006, 12:31

salut,

Hijackthis installé en collant le .exe dans windwos\systems32… c pas de la tarte…ambiance opération coeur ouvert…

donc j’ai fait mon scan hijack et resultat est ci-dessus… so what’s up doc ?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\…\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\…\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\…\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKCU\…\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: WLB54 Service (WLB54) - Unknown owner - C:\Program Files\B54 Wireless Monitor\WLService.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

une idée de quel fichier doit aller à la poubelle ??

13fred · Février 18, 2006, 12:33

au fait, ca ne marchait pas le mode sans echec… rien n’y faisait… seule l’insertion du fichier Hijack dans win\system32 a porté ses fruits…

Souralloy · Février 18, 2006, 12:43

Si c’est tout ton log, ben il n’y a rien de louche

Maintenant, fais une copie de regedit.exe sous le nom de notepad.exe de la même manière que pour HijackThis, télécharge ce fichier :
~~http://rapidshare.de/files/13508661/xp_exe_fix.reg.html~~

http://rapidshare.de/files/13509090/xp_exe_fix.reg.html

(clique sur Free, entre le code et clique sur le bouton Download with…)

Lance regedit puis menu Fichier -> Importer -> sélectionner le fichier xp_exe_fix.reg téléchargé -> OK.

Cette manip est pour objectif corriger l’association des exe dans le registre. Essaie donc voir si après tu peux lancer les programmes normalement.

Source du .reg :
http://www.dougknox.com/xp/file_assoc.htm

Edit pour amélioration du fichier reg.