| 1 Grenouille, le 3 mai 2007 à 13:32:33Salut Nous deux
Je ne sais pas exactement quelles sont les manipulations qui t'on été demandées de faire, mais tu peux toujours essayer cette méthode manuelle de désinfection :
Déconnecte chaques PC du réseau afin que l'infection ne se trimballe pas de l'un à l'autre et ne les reconnectes pas avant d'avoir fais ce qui suit sur chacune des trois machines:
Ouvre le Gestionnaire des tâches:
CTRL+ALT+SUPPR
Dans la liste des processus, selectionne wscript.exe puis clic sur "Terminer le processus".
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
* Supprime C:\WINDOWS\MS32DLL.dll.vbs
* Supprime C:\MS32DLL.dll.vbs
* Supprime C:\autorun.inf
En cas de problèmes de suppression, vérifier que les fichiers ne soient pas en lecture seule:
Clic droit sur le fichier -> Propriétés et décocher la case "Lecture seule"
Et réessayer de supprimer le fichier.
Ensuite, connecte chaque périphériques externes susceptibles d'avoir été infectés puis ouvre le Poste de travail.
Fais un clic droit >> Explorer sur chaques icônes correspondant à :
Clé USB
Disque dur externe.
Partitions
Etc...
/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.
Puis supprime les fichiers autorun.inf and MS32DLL.dll.vbs s'ils sont présents.
Ensuite :
Menu Démarrer -> Exécuter, tape regedit
L'éditeur du registre va s'ouvrir, déploies la clé HKEY_LOCAL_MACHINE en cliquant sur le signe '+' à sa gauche comme ceci:
[-] HKEY_LOCAL_MACHINE
[-] Software
[-] Microsoft
[-] Windows
[-] Current Version
[X] Run
Clic sur Run pour le mettre le dossier en surbrillance et dans la partie droite de la fenêtre fais un clic droit sur la valeur MS32DLL (si elle existe) et clic sur Supprimer.
Referme l'éditeur du registre.
* Vide la corbeille.
* Recache les fichiers cachés et système.
* Redémarre le pc.
Après redemarrage du pc, vérifie que tu peux acceder normalement à ton disque en double cliquant sur son icône et dis moi si une alerte d'Avast se déclenche à ce moment-là, ou s'il t'alerte toujours sur la présence de MS32DLL.dll.vbs.
Bon courage.
a | 8 bouledeneige, le 3 mai 2007 à 22:12:14Slt grenouille.
merci bocoup pour le tuyau, moi ki ne sui pa fortich en informatique j'ai tou compri et grace à toi le virus est parti!
juste merci! |
| J ai fais tout ce que tu a dis je l ai supprimé le fichier,mais voila la fenetre demeure tjrs quand je clique sur disque C.
Merci a toi si tu peux m aider,bisous,j espere que ca devient pas du harcelement
bea | 28 Grenouille, le 4 mai 2007 à 20:17:48Salut béa
Lol, franchement je ne pensais qu'autant de monde était infecté par ce script !
Si tu as suivis la manip à la lettre et que tu as bien supprimé le fichier autorun.inf et MS32dll.dll.vbs, il te faut juste redemarrer le pc pour retrouver l'accès normal au disque dur.
Sinon, ca veut dire que le fichier autorun.inf est encore présent et qu'il te faut le supprimer.
a++ | SALUT GRENOUILLE JE SAIS PAS SI TU AS EU MON MESSAGE DE REMERCIEMENT?DONC JE TE RéECRIS UN GRAND MERCI?CAR TU AS REGLé MON PROBLEME. sais tu par contre comment je peux configurer mon avast pour qu il fasse au demarrage enfin quand j allume mon pc un scan??? merci a toi
bea |
| Merci grenouille t un amour oui on se melange les pinceaux,mdr c penible.bha ecoute je te garde sous le coude,je te le di moi.t as raté ta vocation.que fais tu dans la vie mdr,ne me dis pas que tu fais boucher ptdr.o faite comment fais ton pour faire apparaitre une photo qui est en caché,je la voit puisque j ai configuré voir dossier caché,mais si je ve l imprimé je pe pas.rien a voir avec avast .ptdr.merci pour tout ptite grenouille
bea | 55 Grenouille, le 6 mai 2007 à 13:27:12Coucou bea
Pour ta photo, tu fais un clic droit dessus et tu clic sur "Propriétés"
Tout en bas de la fenêtre, dans la partie Attributs tu décoches la case "Caché" et tu valides.
Par contre pour les problèmes d'impression, je ne pourrais pas te renseigner, c'est pas trop mon truc...
Heu.. raté ma vocation de Boucher ?!... Pfff... Bah pouquoi pas vendeur de cuisses de grenouilles lol.. Nan... je plaisante ! :-p
Mon métier n'a absolument rien à voir avec l'info, c'est juste une passion.
Bonne journée à toi, Béa.
a+ | Ho ma grenouille fautes,t as fais une fautes j ai fais propriété,mais le fichier est deja coché en fichier cahé,et je ne pe cliquer desus. au faite di moi c normal qu a chaque demarrage de mon pc l ecran deviens noir,et je vois le systeme xp??? avant ca le faisait pas .merci a toi bisous
ps je prefere que tu sois passionné plus que serial killer en boucheries ptdrrrrrrr
bea | 58 Grenouille, le 6 mai 2007 à 18:21:24Bah justement il faut décocher la case pour que le fichier soit visible.
Tu as essayé ?
Ca doit donner ça:
http://cjoint.com/?fgsmnVdwCn
Qu'est-ce que tu veux dire par: "je vois le système xp" ?
Si c'est de l'écran sur fond noir avec écrit "Microsoft Windows XP" et une barre de chargement en dessous dont tu parles, c'est normal oui.
a+ |
|
|
|
| Un ami a attrappé VBS SOLOW ,j'ai voulu suivre tes conseils mais je n'ai pas trouver wscript.exe dans le gestionaire des taches |
|
|
| 67 reno, le 21 mai 2007 à 20:25:33Bonjour Grenouille.
J'ai le virus Solow. et en voulant effectuer ta solution pour le dévéroler
Je suis bloquer a la toute premiere etape
ctrl + alt +del ne fonctionne pas
Il me dit que le gestionnaire est desactiver par l'administrateur
En essayant par le menu demarrer en executant Regedit
je tombe sur 1bloc notes mais rien ne s'ouvre.
Peux tu m'aider car la plus rien ne fonctionne.
rhino | 68 Grenouille, le 21 mai 2007 à 21:16:24Salut reno
Crée ton propre message pour qu'on puisse s'y retrouver.
Télécharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Decompresses-le (clic droit >> Extraire tout) dans un dossier que tu auras crée pour l'occasion.
Par exemple C:\hijackthis
Lance-le puis:
Clic sur "Do a system scan and save logfile"
Le bloc-notes va s'ouvrir, fais un copier coller de son contenu sur le forum, dans ton propre message.
Est-ce que tu peux vérifier deux trois petites chose ?
Est-ce que la barre de titre d'internet explorer à changé et contient:
"Hacked by quelquechose" ou "Hacked by Zay"
Dis moi si en faisant:
démarrer > executer et en tapant: msconfig
le bloc notes s'ouvre à la place de l'utilitaire de configuration systeme
et si en faisant :
démarrer > executer et en tapant: cmd
le bloc notes s'ouvre à la place de l'invite de commande.
merci
a+ | 112 Syd, le 20 oct 2008 à 17:24:15Salut, j'ai le même genre de souci avec un fichier dénommé 1.vbs Avast le détecte mais ne peut pas le supprimer. de l'aide, s'il vous plait !!!!! |
|
|
| 83 titeuf, le 15 aoû 2007 à 03:42:11C:\autorun.inf Présent
C:\MS32DLL.dll.vbs Non trouvé
G:\autorun.inf Présent
G:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SkyTel REG_SZ SkyTel.EXE
RTHDCPL REG_SZ RTHDCPL.EXE
Alcmtr REG_SZ ALCMTR.EXE
igfxtray REG_SZ C:\WINDOWS\system32\igfxtray.exe
igfxhkcmd REG_SZ C:\WINDOWS\system32\hkcmd.exe
igfxpers REG_SZ C:\WINDOWS\system32\igfxpers.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
BigDog305 REG_SZ C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera V
HPDJ Taskbar Utility REG_SZ C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
HP Component Manager REG_SZ "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
HP Software Update REG_SZ "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
BluetoothAuthenticationAgent REG_SZ rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
PCSuiteTrayApplication REG_SZ C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
Moniteur OfficeScanNT REG_SZ "C:\OfficeScan NT\pccntmon.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MsnMsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe
p.s g bien supprimé les fichier MS32DLL.dll. mais g arrive pas a trouve autorun.inf sur mes disques externe et interne pour les supprimés merci par avance |
| 88 mablete, le 4 déc 2007 à 15:29:01Bonjour,
j'ai le virus ms32DLL.dll.vbs, je suis tes instruction pour le supprimer mais je n'ai pas wscript.exe dans gestionnaire des taches, et une foi les fichiers cachés rendus visible je ne trouve pas les 3 suppressions de programme qu'il faut faire.
Merci pour ton aide. |
| 93 zitoune, le 11 jan 2008 à 16:58:54Bonjour grenouille et bonne année d'abord!
J'ai moi aussi le virus .vbs, j'ai suivie le début des instructions mais je ne comprend pas a partir de
* Supprime C:\WINDOWS\MS32DLL.dll.vbs
* Supprime C:\MS32DLL.dll.vbs
* Supprime C:\autorun.inf
que dois je faire?
Merci et désolé d'être si mauvais en informatique...je vais y travailler
Et je sais pas is c'est le même virus mais j'ai aussi un fichier sous le nom de:www.MacDonald.com-index.htm qui se met partout aussi dans mes dossiers, et lorsque j'ouvre internet j'arrive sur cette page.il reviens tout le temps.
Voila, merci par avance
Zitoune |
| 111 ayour001_3, le 24 jun 2008 à 21:29:36Voila j 1 probléme acose dun viruse aplé solow é sa m donne la mm chose bon lordi se blog é setein otomatiqumen j essayé ton truck m sur gestion de tache j trouvve pa le script j tous essayé é j trouve tjr pa d solution svp donné moi 1 coup d main carr j vrémen besoin de cette ordi |
| 113 rico, le 13 déc 2008 à 07:07:53Salut, j'avais un type d'infection un peu similaire et j'ai fait ces manips, mais depuis mon systeme est planté. A chaque fois que je demarre l'ordi, il boot au bout de 10 secondes et redemarre, et ainsi de suite. En mode F8 c'est la meme chose, impossible de redemarrer normalement xp. Du coup je n'ai plus acces a mes disques durs et à mes données. Je suis completement coincé. Peux tu m'aider ?
Merci | 114 nico877, le 13 déc 2008 à 10:49:37Salut,
A tu une clé usb de co sur ton pc si oui enleve la sinon faut que tu resore en mode sans echec et verifie ton antivirus.
Moi le pbs venais de la clé qui contenais le fichier lier avec un logiciel en ghost.
@+ |
|
| 115 Claire, le 26 déc 2008 à 19:12:29Un grand Merci à Grenouille !! Et une bonne année 2009 !
De tres bonnes explications , et qui servent encore aujourd'hui !!
Merci encore ! |
| 116 jockey27, le 9 mar 2009 à 10:16:16Bravo Quenouille Je suis chirurgien retraité et j'ai retroiuvé dans tadescription de la methode une précision digne d'un ouvrage de technique chirurgicale. Merci J'ai éliminé ms32ddll.dll de ma machine et des périphériques mais ce virus a désactivé Bitdefender et il persiste sur la barre de titre de mon navigateur la mention :hacked by gotzilla Peux tu me dire comment réactver l'anti virus et supprimer cette mention qui est bien sûr dans le script Merci | Salut Jockey,
- Je te ferais remarquer que " Queunouille " aura peut-etre du mal a te repondre, étant donné que cette conversation est vieille de 2 ans...
- Il serait preferable de creer ton propre message sur le forum afin que l'on puisse eventuellement t'aider.
. | 118 jockey27, le 22 mar 2009 à 17:32:13Merci tout de même à Quenouille et à toi J'ai pu réactiver Birdefender en le désistallant puis en le téléchargeant sans problème car j'avais conservé la clé. Par contre j'ai encore la mention haked by gotzilla sans que ms32dll.dll.vbs soit réactivé et le lien conseillé pour télécharger hitjackThis ne fonctionne pas quelle autre façon de télécharger ce mogiciel comprimé en ZIP ? Merci |
|
|
|
Bagle virus
