[LOGICIEL] [RESOLU]Infection Trojan WinReg sous XPHome SP2

[kool56]

Bonsoir,

ClamWin a détecté ceci:

C:/Documents and Settings/All Users/Application Data/Spybot - Search & Destroy/Backups/regLocal.reg: Trojan.WinREG.StartPage-6 FOUND

Comment s'en débarrasser?

Merci à vous

RESOLUTION

1) Lancer Windows en mode sans échec,

2) Retrouver le fichier infecté dans l'arborescence de C:/

3) L'éliminer

4) Lancer Ad Aware, a², Easy Cleaner (fichiers inutiles - ne pas toucher à la fonction "éliminer les doublons" )et/ou

CCleaner.

5) Redémarrer en mode normal

6) Faire un scan en ligne via http://fr.trendmicro-europe.com/consumer/h...call_launch.php

7) Faire un nouveau scan via ClamWin (vérifier la configuration:ClamWin>>Tools>>Preferences>>Infected Files , cocher le bouton " Move to Quarantine Folder" )

Au quel cas où, suite à cette infection, l'ouverture de session a été modifiée et qu'une ouverture automatique est souhaitée, appliquer ceci .

Voilà, c'est terminé!

[noisette]

Salut Cool

comment ça :"comment s'en débarasser?"

il ne veut pas partir ?

Sinon, ne te gêne pas pour l'effacer.

[FaTaL1Ty]

Salut Cool

comment ça :"comment s'en débarasser?"

il ne veut pas partir ?

Sinon, ne te gêne pas pour l'effacer.

------------

tu vas dans :open clamwin/tools/preferences et dans infected files tu met move to quarantine,avec comme destination ton bureau.

ensuite tu auras ton virus en vue,tu peus donc le supprimé et le décortiquer

[noisette]

Salut Cool

comment ça :"comment s'en débarasser?"

il ne veut pas partir ?

Sinon, ne te gêne pas pour l'effacer.

Faut pas tout prendre au pied de la lettre

, et tu sous-estimes cool (en tout cas en français).

------------

tu vas dans :open clamwin/tools/preferences et dans infected files tu met move to quarantine,avec comme destination ton bureau.

ensuite tu auras ton virus en vue,tu peus donc le supprimé et le décortiquer

désactiver la restauration système et scanner en mode sans échec pour vérification.

Passe voir Snooky, si il lui reste du temps.

[FaTaL1Ty]

ne t'inquiete pas j'avais compris

passe a² il est très bien,et suppriem tous les fichiers malwares que tu trouvera

en plsu j'ai eu le meme problème que toi aujourd'hui

[kool56]

Bonsoir à vous,

Négatif. Ce machin colle et ne veut pas se retirer.

J'ai déjà essayé:

AboutBuster,

CleanUp40

CoolWebShredder,

Stinger,

XCleaner Free,

a²,

Rien de rien...

Easy Cleaner, quant à lui, il bloque lors de la demande d'effacement des fichiers inutiles.

Une idée??A vot'bon coeur!

[FaTaL1Ty]

et ma méthode???

pour moi ca a marché

[kool56]

Par contre, je vais essayer en mode sans échec ( je n'y avais pas pensé )

Merci du rappel.

[noisette]

Tu as bien désactivé la restauration système ?

alors, scan en ligne (F8 avec prise en charge réseau):

http://fr.trendmicro-europe.com/consumer/h...call_launch.php

c'est peut-être également le moment de tester la version d'éval de Kaspersky.

tiens au courant.

[FaTaL1Ty]

Ma solution était plus simple

mais bon

[noisette]

Ma solution était plus simple

mais bon

je pense qu'il l'a tenté ,

hein cool, que tu l'as tenté ?

et pis, les solutions simples, c'est pas ce qu'il lui faut à cool.

[kool56]

Oui, j'ai déjà tenté ClamWin>>Tools>>Preferences: négatif!

Le plus fort de tout, c'est qu'il ne veut même pas démarrer en mode sans échec. Ca ne sent pas bon du tout cela!

je refais un essai en mode sans échec.

[FaTaL1Ty]

Ne t'inquiete c'est dans spybot donc tout vas bien

fais une recherche et supprime le

[kool56]

Le mode sans échec a, enfin, pû être lancé. Le fichier infecté a été trouvé et éliminé via "Files Destructor" .

Un nouveau scan de Clamwin sera effectué afin de savoir si ce trojan est encore présent ou non.

Je vous tiendrai informé.

Merci à vous et à+.

PS: Seul souci restant: Depuis cette infection, à chaque démarrage, il y a une ouverture de session avec mon nom d'utilisateur (administrateur) et je dois cliqué sur "OK". Auparavant, j'allumais l'ordinateur et tout se lançait sans cette manipulation fastidieuse. J'ai été dans "Comptes d'Utilisateurs" et impossible à modifier... Je sais qu'il existe un moyen pour éliminer cette ouverture de session; mais lequel?

Remarque complémentaire: Ce n'est pas cette fenêtre avec le nom de l'utilisateur et une image à côté du nom qui apparaît. C'est celle qui comporte un rectangle en son centre . Dans ce rectangle se trouvent sur la première ligne le nom d'utilisateur et sur la seconde, un éventuel mot de passe - pour autant qu'il ait été introduit préalablement.

Idem pour CTRL+Alt+Del: un rectangle apparaît et plusieurs choix sont possibles. Avant, il n'y avait pas ce rectangle!

[kool56]

Voilà, ce trojan a été éradiqué.

Comment?

Après avoir démarré en mode sans échec, il s'agit de retrouver le fichier dans l'arborescence de C:\ et de l'éliminer.

Le scan en ligne de Micro Trend a déclaré le PC propre tout comme un second scan via ClamWin.

Ne reste que le problème lié au compte d'utilisateur. Si vous pouviez me transmettre une solution àc e propos, cela m'aiderait et me permettrait tant de résoudre complètement que d'éditer en [RESOLU] ensuite.

[noisette]

salut cool,

ça remarche?

[kool56]

@noisette

Salut,

Non, cela ne fonctionne pas. Au démarrage apparaît cette fenêtre:

Avant l'infection, elle n'était pas présente.

Dans "Comptes d'utilisateurs", il y a effectivement le choix entre ces deux possibilités.

Lorsqu'il n'y a qu'un seul utilisateur-administrateur, il existe un moyen afin que l'ordinateur démarre immédiatement sans passer par l'une ou l'autre fenêtre de confirmation d'ouverture de session.

Je ne sais plus "como hacer"?

Une solution, une idée...

[kool56]

"Toute question comporte une part de réponse!"

Il suffisait de faire une petite recherche - ô Fatigue quand tu nous tiens - pour trouver ceci.

Après application, l'ouverture se fait automatiquement.

Donc ce problème et son suivant sont résolus.

Merci à noisette et à FaTaL 1Ty.

Bonne prise de notes pour les autres qui rencontreraient ce même type de problème.