Virus qui ferme les fenetres type MsConfig
Fermé
kanagriculteur
Messages postés
1
Date d'inscription
vendredi 21 novembre 2003
Statut
Membre
Dernière intervention
21 novembre 2003
-
21 nov. 2003 à 13:07
ocb2b - 7 sept. 2007 à 13:45
ocb2b - 7 sept. 2007 à 13:45
A voir également:
- Virus qui ferme les fenetres type MsConfig
- Uptobox fermé - Guide
- Msconfig windows 11 - Guide
- Rouvrir onglet fermé - Guide
- Svchost.exe virus - Guide
- Utiliser pc portable fermé - Guide
35 réponses
bonjour j'ai exactement le meme probleme que vous et pour connaitre le nom il faut aller sur secuser.com et opter pour l'anti virus en ligne ensuite les chose se font toutes seules .. mais pour le moment je n'ai pas encore trouver le moyens de le virer de mon pc
BmV
Messages postés
90508
Date d'inscription
samedi 24 août 2002
Statut
Modérateur
Dernière intervention
23 avril 2024
4 687
21 nov. 2003 à 13:12
21 nov. 2003 à 13:12
Salut.
POur Blaster : http://www.commentcamarche.net/virus/lovsan-blaster.php3
Pour l'autre .... Mystère ....
T'as mis ton antivirus à jour ? Faudra le faire aussi, et dès que possible !
Bon courage.
A+
-=O(_BmV_)O=- L'amour comme épée,
|| || l'humour comme bouclier.
POur Blaster : http://www.commentcamarche.net/virus/lovsan-blaster.php3
Pour l'autre .... Mystère ....
T'as mis ton antivirus à jour ? Faudra le faire aussi, et dès que possible !
Bon courage.
A+
-=O(_BmV_)O=- L'amour comme épée,
|| || l'humour comme bouclier.
Ah ah ah... Si ça peut te rassurrer, tu n'es pas le seul à voir ce problème, je connais au moins une vingtaine de personnes qui semble avoir été contaminées par ce virus mystère. J'ai pu constater le problème sur XP et 2000 avec en plus des lenteurs ectrèmes du système.
J'ai cherché sur tout le net pour savoir de quoi il s'agissait mais je n'ai rien trouvé de concluant à part peut-être ceci:
1. Copie taskmgr .exe sur ton bureau et renomme le task.exe par exemple.
2. Tu lances ensuites le fichier créé (task.exe) cela devrait te permettre d'exeuter le Gestionnaire de tâches...
3. Observe bien tes processus actifs, il semble qu'un processus nommé msconfig35.exe ou msconfig45.exe soit actif. Il faut terminer ce processus.
4. Tu devrais pouvoir ensuite executer regedit.
5. Il faut supprimer toutes les clés MSCONFIG35 et MSCONFIG45 du registre.
6. Il faut ensuite supprimer MSCONFIG35.exe dans C:\Windows\system32\
7. Vérifier que dans C:\documents and settings\all users\Menu démarrer\programmes\démarrage\webdav.exe
Il faut le supprimer...
Maintenant je n'ai pas encore pu tester tout ça...
Je viens de trouver ceci sur un forum US mais je ne trouve rien sur les sites d'antivirus classiques... Ca me saoule d'ailleurs.
Si quelqu'un d'autre a eu affaire à ce problème et a une solution ou si cette petite procédure fonctionne, merci de rédiger un petit message...
Johny
J'ai cherché sur tout le net pour savoir de quoi il s'agissait mais je n'ai rien trouvé de concluant à part peut-être ceci:
1. Copie taskmgr .exe sur ton bureau et renomme le task.exe par exemple.
2. Tu lances ensuites le fichier créé (task.exe) cela devrait te permettre d'exeuter le Gestionnaire de tâches...
3. Observe bien tes processus actifs, il semble qu'un processus nommé msconfig35.exe ou msconfig45.exe soit actif. Il faut terminer ce processus.
4. Tu devrais pouvoir ensuite executer regedit.
5. Il faut supprimer toutes les clés MSCONFIG35 et MSCONFIG45 du registre.
6. Il faut ensuite supprimer MSCONFIG35.exe dans C:\Windows\system32\
7. Vérifier que dans C:\documents and settings\all users\Menu démarrer\programmes\démarrage\webdav.exe
Il faut le supprimer...
Maintenant je n'ai pas encore pu tester tout ça...
Je viens de trouver ceci sur un forum US mais je ne trouve rien sur les sites d'antivirus classiques... Ca me saoule d'ailleurs.
Si quelqu'un d'autre a eu affaire à ce problème et a une solution ou si cette petite procédure fonctionne, merci de rédiger un petit message...
Johny
BONJOUR
J'ai le même problème mais les fichiers sont WINIT32.EXE et WLOGF.EXE.
En utilisant la procédure de suppression que tu préconises ca baigne.
A noter que avant la suppression, il était impossible de lancer TASKMGR et REGEDIT.
Mais il m'est toujours impossible de lancer MSCONFIG, peut être que ce problème vient d'ailleurs.
MERCI
J'ai le même problème mais les fichiers sont WINIT32.EXE et WLOGF.EXE.
En utilisant la procédure de suppression que tu préconises ca baigne.
A noter que avant la suppression, il était impossible de lancer TASKMGR et REGEDIT.
Mais il m'est toujours impossible de lancer MSCONFIG, peut être que ce problème vient d'ailleurs.
MERCI
Derniére minute
Si on ne peut toujours pas accéder à MSCONFIG, il faut regarder la cle de registre
DisallowRun
Cette clé contient la liste des programmes qui ne peuvent pas être exécutés par l'utilisateur courrant.
Les valeurs contenues dans cette clé ont la forme suivante :
Numéro REG_SZ Nom du fichier exécutable
En virant la clé qui concerne MSCONFIG, on peut à nouveau y accéder.
Voir sur le site http://www.secretswindows.com/index.php
Il semblerait que des petits minables sur KAZAA aient volontairement détourné des cracks,
pour lancer des virus connus avec de nouveau noms et toucher la registry.
Si on ne peut toujours pas accéder à MSCONFIG, il faut regarder la cle de registre
DisallowRun
Cette clé contient la liste des programmes qui ne peuvent pas être exécutés par l'utilisateur courrant.
Les valeurs contenues dans cette clé ont la forme suivante :
Numéro REG_SZ Nom du fichier exécutable
En virant la clé qui concerne MSCONFIG, on peut à nouveau y accéder.
Voir sur le site http://www.secretswindows.com/index.php
Il semblerait que des petits minables sur KAZAA aient volontairement détourné des cracks,
pour lancer des virus connus avec de nouveau noms et toucher la registry.
Salut a tous,
j ai aussi le meme probleme, sauf kil semble que pour moi, le processus actif qui seme la m..... est "Lorena.exe" , apres l avoir supprimer (en copiant la technique de johnny, cad copier taskmgr sur le bureau et le renommer) j ai pu ouvrir regedit et supprimer les clefs "lorena" j espere que ca pourra aider kelkun, a suivre en tout cas....
frimeur_27
j ai aussi le meme probleme, sauf kil semble que pour moi, le processus actif qui seme la m..... est "Lorena.exe" , apres l avoir supprimer (en copiant la technique de johnny, cad copier taskmgr sur le bureau et le renommer) j ai pu ouvrir regedit et supprimer les clefs "lorena" j espere que ca pourra aider kelkun, a suivre en tout cas....
frimeur_27
J'ai en effet le même problème mais sauf que moi c'est windows 98. Comment faire pour ce débarasser de cette chose qui ferme toute les fenêtres à fond gris. Merci de me répondre.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Blaster n'existe pas sous Windows 98 alors de te prendre la tête avec le premier. Il n'attaque que les systèmes avec des noyaux NT c'est à dire Windows NT 4.0, 2000 et XP...
J'ai trouvé une bonne piste à ne pas négliger: le ver
GAOBOT (ou AGOBOT pour certains).
Il utilise la faille RPC pour 2000 et XP (tout comme BLASTER) et il semble que ce soit lui qui s'amuse sur nos postes.
Le pb est que la famille GAOBOT est impressionnante...
Voilà ce que j'ai pu trouver à ce sujet:
http://www.sophos.fr/virusinfo/analyses/w32agobotau.html
http://www.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ao.html
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3300
Démarche à suivre:
Observer les processus actifs sur le poste et arrêter les processus douteux (svdhost, cart322 ou encore csrrs...)
Faire ensuite une recherche du nom du processus dans la base de registre (REGEDIT) et cramer toute les clé qui y font référence.
Rechercher dans les fichiers systemes (en Général C:\WINDOWS\SYSTEM32) les fichiers .exe générant le processus et les supprimer.
Ne pas oublier de passer la MAJ Microsoft pour supprimer la faille RPC pour XP et 2000
Si vous avez d'autres pistes, n'hésitez pas!
Johny
GAOBOT (ou AGOBOT pour certains).
Il utilise la faille RPC pour 2000 et XP (tout comme BLASTER) et il semble que ce soit lui qui s'amuse sur nos postes.
Le pb est que la famille GAOBOT est impressionnante...
Voilà ce que j'ai pu trouver à ce sujet:
http://www.sophos.fr/virusinfo/analyses/w32agobotau.html
http://www.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ao.html
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3300
Démarche à suivre:
Observer les processus actifs sur le poste et arrêter les processus douteux (svdhost, cart322 ou encore csrrs...)
Faire ensuite une recherche du nom du processus dans la base de registre (REGEDIT) et cramer toute les clé qui y font référence.
Rechercher dans les fichiers systemes (en Général C:\WINDOWS\SYSTEM32) les fichiers .exe générant le processus et les supprimer.
Ne pas oublier de passer la MAJ Microsoft pour supprimer la faille RPC pour XP et 2000
Si vous avez d'autres pistes, n'hésitez pas!
Johny
ocb2b
Messages postés
14
Date d'inscription
vendredi 18 juillet 2003
Statut
Membre
Dernière intervention
23 juin 2004
4 déc. 2003 à 10:01
4 déc. 2003 à 10:01
Salut je suis actuellement en train de chercher comment eradiquer ce virus. Il semblerait que ce soit spybot.w32, si il existe un procecuss wuauq.exe c'est donc bien lui. Je ne suis parvenu pour le moment qu'a supprimer le procecuss et la cle dans la base de registre dans HKLM/software/microsoft/windows/run/winsock2. Mais le virus se reinstalle au redemarrage de la machine.
ocb2b
Messages postés
14
Date d'inscription
vendredi 18 juillet 2003
Statut
Membre
Dernière intervention
23 juin 2004
4 déc. 2003 à 11:03
4 déc. 2003 à 11:03
salut kanagriculteur :)
va voir mon post sur le forum virus tu y trouveras peut etre une solution.
(Du moins je l'espere pour toi :)
va voir mon post sur le forum virus tu y trouveras peut etre une solution.
(Du moins je l'espere pour toi :)
Terdef
Messages postés
985
Date d'inscription
mardi 20 mai 2003
Statut
Contributeur sécurité
Dernière intervention
5 août 2020
132
4 déc. 2003 à 12:28
4 déc. 2003 à 12:28
Bonjour,
Blocage de msconfig, regedit etc. ...
Cela provient d'un hijack
Solution : lit attentivement le point 3 de cette page
http://assiste.free.fr/p/internet_contre_mesures/anti_hijack.php
Terdef
http://assiste.com
Blocage de msconfig, regedit etc. ...
Cela provient d'un hijack
Solution : lit attentivement le point 3 de cette page
http://assiste.free.fr/p/internet_contre_mesures/anti_hijack.php
Terdef
http://assiste.com
En fait j'ai la meme chose en un peu plus méchant :
Mon ordinateur a un virus et je ne peux l'identifier, ni le supprimer. Mon antivirus ne le detecte pas bien qu'il se mette a jour regulierement.
Voici les symptomes apparents :
- Le gestionnaire de tâches ne s'ouvre pas. (Ctrl Alt Suppr ne fonctionne pas, sauf les quelques premieres secondes apres le demarrage de l'ordinateur, puis la fenetre se ferme)
- Idem pour regedit
- Mon navigateur internet se ferme des que je vais sur une page web en rapport des antivirus..... C'est toujours exactement au meme moment. J'utilise en ce moment un autre ordinateur que le mien
- Mon firewall zonealarm ne voulait plus s'ouvrir : "Cette opération a été annulée en raison de restrictions sur votre ordinateur. Contactez votre administrateur système"
- Idem pour la fenetre qui s'ouvre lorsqu'on tape "msconfig" dans "executer" du menu demarrer.
- Lorsque j'écris un message dans ma boite electronique (en l'occurence incredimail), au bout de 2/3 secondes, une fenetre s'ouvre me demandant si je veux enregistrer le message, cette fenetre se repete plusieurs dizaines de fois, le seul moyen de faire qqch est de cliquer sur ok, puis le message en cours se place dans les brouillons et la meme chose se repete si je le rouvre.
- Enfin j'ai telechargé l'antivirus kapersky sur un autre ordinateur puis j'ai transféré l'installeur sur mon ordinateur, mais l'installation ne veut pas commencer (quand je clique dessus, la fenetre se referme presque immediatement.
Si vous avez une solution à mon problème, merci de me la faire parvenir à cette adresse : nicolasommer@noos.fr ou/et à celle ci nicolasommer@yahoo.fr.
Merci !!!
Mon ordinateur a un virus et je ne peux l'identifier, ni le supprimer. Mon antivirus ne le detecte pas bien qu'il se mette a jour regulierement.
Voici les symptomes apparents :
- Le gestionnaire de tâches ne s'ouvre pas. (Ctrl Alt Suppr ne fonctionne pas, sauf les quelques premieres secondes apres le demarrage de l'ordinateur, puis la fenetre se ferme)
- Idem pour regedit
- Mon navigateur internet se ferme des que je vais sur une page web en rapport des antivirus..... C'est toujours exactement au meme moment. J'utilise en ce moment un autre ordinateur que le mien
- Mon firewall zonealarm ne voulait plus s'ouvrir : "Cette opération a été annulée en raison de restrictions sur votre ordinateur. Contactez votre administrateur système"
- Idem pour la fenetre qui s'ouvre lorsqu'on tape "msconfig" dans "executer" du menu demarrer.
- Lorsque j'écris un message dans ma boite electronique (en l'occurence incredimail), au bout de 2/3 secondes, une fenetre s'ouvre me demandant si je veux enregistrer le message, cette fenetre se repete plusieurs dizaines de fois, le seul moyen de faire qqch est de cliquer sur ok, puis le message en cours se place dans les brouillons et la meme chose se repete si je le rouvre.
- Enfin j'ai telechargé l'antivirus kapersky sur un autre ordinateur puis j'ai transféré l'installeur sur mon ordinateur, mais l'installation ne veut pas commencer (quand je clique dessus, la fenetre se referme presque immediatement.
Si vous avez une solution à mon problème, merci de me la faire parvenir à cette adresse : nicolasommer@noos.fr ou/et à celle ci nicolasommer@yahoo.fr.
Merci !!!
François1357
Messages postés
15
Date d'inscription
jeudi 4 décembre 2003
Statut
Membre
Dernière intervention
14 décembre 2003
5 déc. 2003 à 05:06
5 déc. 2003 à 05:06
Bonjour!
Peut être une amorce de réponse: c'est un des svchost qui bouffe le CPU, on le sait. La saloperie est sans doute là dedans. Parmi les services qui utilisent svchost, il doit y en avoir un qui n'a rien à y faire. J'ai de plus l'impression que le virus contamine doucement mais surement, du côté de wmplayer entre autre... Qu'en pensez vous ? Je continue à gratter... on se tient au courant ? Bises à tous
Peut être une amorce de réponse: c'est un des svchost qui bouffe le CPU, on le sait. La saloperie est sans doute là dedans. Parmi les services qui utilisent svchost, il doit y en avoir un qui n'a rien à y faire. J'ai de plus l'impression que le virus contamine doucement mais surement, du côté de wmplayer entre autre... Qu'en pensez vous ? Je continue à gratter... on se tient au courant ? Bises à tous
En fait dans les deux secondes apres le demmarage de mon ordi, je peux ouvrir le gestionnaire de tâches, et je vois qu'il y a 4 fois le proccessus svchost !
ocb2b
Messages postés
14
Date d'inscription
vendredi 18 juillet 2003
Statut
Membre
Dernière intervention
23 juin 2004
5 déc. 2003 à 12:33
5 déc. 2003 à 12:33
Moi aussi j ai 4 process svchost.
quelques explications: http://www.faqxp.com/f/33.asp
ton virus est certainement spybot.w32
il y a des infos sur www.assiste.com et il ya un post dans le forum nommé spybot.w32.
quelques explications: http://www.faqxp.com/f/33.asp
ton virus est certainement spybot.w32
il y a des infos sur www.assiste.com et il ya un post dans le forum nommé spybot.w32.
Sale virus!
Apres m'etre debarassé de WUAUQ.EXE (invite de commande, regedit), il est revenu en WUAUCLT.EXE (celui la est un trojan connu) et en a rajouté 2 autre svchos1.exe, filename.exe, que "secure.com" avez reconnu et detruit auparavant !
Il me semble qu'il se developpe uniquement quand on commence a y trifouiller sinon il bloque juste l'antivirus !
Quand on commence a toucher a regedit , msconfig.... il sape tout !
De nombreux processus ce cree (ex 3 "wmPlayer")
C incroyable... plus de connection ou alors juste 2 ou trois clic avant de voir une page de ZoneLab.com indiquant un probleme (biensur Zone alarme ne se lance plus)
AIE!
Apres m'etre debarassé de WUAUQ.EXE (invite de commande, regedit), il est revenu en WUAUCLT.EXE (celui la est un trojan connu) et en a rajouté 2 autre svchos1.exe, filename.exe, que "secure.com" avez reconnu et detruit auparavant !
Il me semble qu'il se developpe uniquement quand on commence a y trifouiller sinon il bloque juste l'antivirus !
Quand on commence a toucher a regedit , msconfig.... il sape tout !
De nombreux processus ce cree (ex 3 "wmPlayer")
C incroyable... plus de connection ou alors juste 2 ou trois clic avant de voir une page de ZoneLab.com indiquant un probleme (biensur Zone alarme ne se lance plus)
AIE!
François1357
Messages postés
15
Date d'inscription
jeudi 4 décembre 2003
Statut
Membre
Dernière intervention
14 décembre 2003
6 déc. 2003 à 03:51
6 déc. 2003 à 03:51
Salut les amis!
Un tuyau pour pouvoir bidouiller le registre sans que les fenêtres ferment: le petit logiciel"registrar lite".
Ensuite, après avoir viré un des svchost, j'ai récupéré l'efficacité du CPU, mais toujours pas de possibilité d'installer le patch microsoft, ni l'antivirus. D'accord avec Bruno, il vient tout un tas de m**** quand on tripote le registre et qu'on reboote. J'ai passé la nuit à examiner HK_local_machine en détail.. sans rien trouver de suspect.. damned! Il reste peut etre à attendre que secuser.com ou panda mettent cette saloperie dans leur liste... si ils le localisent... sinon, on est dans la panade !
Un tuyau pour pouvoir bidouiller le registre sans que les fenêtres ferment: le petit logiciel"registrar lite".
Ensuite, après avoir viré un des svchost, j'ai récupéré l'efficacité du CPU, mais toujours pas de possibilité d'installer le patch microsoft, ni l'antivirus. D'accord avec Bruno, il vient tout un tas de m**** quand on tripote le registre et qu'on reboote. J'ai passé la nuit à examiner HK_local_machine en détail.. sans rien trouver de suspect.. damned! Il reste peut etre à attendre que secuser.com ou panda mettent cette saloperie dans leur liste... si ils le localisent... sinon, on est dans la panade !
François1357
Messages postés
15
Date d'inscription
jeudi 4 décembre 2003
Statut
Membre
Dernière intervention
14 décembre 2003
6 déc. 2003 à 04:06
6 déc. 2003 à 04:06
Réponse à Jonhy:
Il me semble qu'il faut y aller mollo avec les suppressions!
D'autant que la saloperie se réinstalle au démarrage... et pas les clefs necessaires !!! Tu vois d'ici le chantier, pour récupérer une base de registre clean !!!
Tant que les grosses têtes n'auront pas pondu un patch d'éradication, je crois bien que nous autres, les bidouilleurs du dimanche, on sera dans la m**** !!!
Salut à toi, et aux autres !
Il me semble qu'il faut y aller mollo avec les suppressions!
D'autant que la saloperie se réinstalle au démarrage... et pas les clefs necessaires !!! Tu vois d'ici le chantier, pour récupérer une base de registre clean !!!
Tant que les grosses têtes n'auront pas pondu un patch d'éradication, je crois bien que nous autres, les bidouilleurs du dimanche, on sera dans la m**** !!!
Salut à toi, et aux autres !
En fait j'ai réussi a vaincre mon virus.
J'ai renommé msconfig en msconfig1 par exemple, et j'ai donc pu l'ouvrir. J'ai desactivé l'ouverture de tous les processus me parraisant suspects, et au redemmarrage, plus de trace de mon compagnon d'une semaine ! J'ai donc pu installer un antivirus plus performant qui m'a vire ce virus au doux nom de backdoor.bot.gen enfin un truc comme ca !
Voila !!
J'ai renommé msconfig en msconfig1 par exemple, et j'ai donc pu l'ouvrir. J'ai desactivé l'ouverture de tous les processus me parraisant suspects, et au redemmarrage, plus de trace de mon compagnon d'une semaine ! J'ai donc pu installer un antivirus plus performant qui m'a vire ce virus au doux nom de backdoor.bot.gen enfin un truc comme ca !
Voila !!
François1357
Messages postés
15
Date d'inscription
jeudi 4 décembre 2003
Statut
Membre
Dernière intervention
14 décembre 2003
7 déc. 2003 à 17:35
7 déc. 2003 à 17:35
Nicolas,
Il semble plus que normal d'avoir plusieurs svchost qui tournent...
Sur ce lien, j'ai trouvé comment configurer, et aussi la liste des services qui utilisent ces processus...
http://www.zebulon.fr/articles/services_2.php
A noter que j'ai gagné de la vitesse en fermeture en désactivant ce qui ne m'interesse pas.. Bon courage !
Salut à tous !!
Il semble plus que normal d'avoir plusieurs svchost qui tournent...
Sur ce lien, j'ai trouvé comment configurer, et aussi la liste des services qui utilisent ces processus...
http://www.zebulon.fr/articles/services_2.php
A noter que j'ai gagné de la vitesse en fermeture en désactivant ce qui ne m'interesse pas.. Bon courage !
Salut à tous !!
JojoLafleur
Messages postés
2
Date d'inscription
vendredi 5 décembre 2003
Statut
Membre
Dernière intervention
19 mai 2008
23 déc. 2003 à 18:56
23 déc. 2003 à 18:56
Bonjour,
C'est bien ça? je pense qu'il s'agit d'un crack de NFS
Amitiés
C'est bien ça? je pense qu'il s'agit d'un crack de NFS
Amitiés
Salut, idem que vous pour le probleme de regedit et taskmgr.
Donc comme dit plus haut. j'ai copier le fichier taskmgr sur le bureau, ensuite j'ai regarder les processus utiliser. Il y avait celui la. Wupdate.exe. Donc j'ai stopper ce processus.
Et tout est revenu comme avant.
Je ne sai pas si c un virus car il est pas detecer sur housecall. Mais j'ai bien ete infecter par spybot juste avant (que j'ai virer, enfin je crois)
++
Donc comme dit plus haut. j'ai copier le fichier taskmgr sur le bureau, ensuite j'ai regarder les processus utiliser. Il y avait celui la. Wupdate.exe. Donc j'ai stopper ce processus.
Et tout est revenu comme avant.
Je ne sai pas si c un virus car il est pas detecer sur housecall. Mais j'ai bien ete infecter par spybot juste avant (que j'ai virer, enfin je crois)
++