Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Pentacle 666 : virus trojan

Dernière réponse le 28 avr 2009 à 09:09:28 guest, le 15 mai 2008 à 18:03:14

Signaler ce message aux modérateurs

Bonjour,
mon pc a été infecté par un virus ou je sais pas si c'est un spyware, quand on démarre le pc un fichier bloc note est affiché à l'écran avec une prière version informatique. Au début il n'y a plus aucun raccourcis et élément au bureau; la signature du prière est pentacle 666.
En plus, je ne peux restaurer mon système ; exécuter regedit.exe et afficher le gestionnaire de tâches.Bon comment je vais supprimer cette espèce de bestiole, mrc d'avance pour les réponses

Meilleures réponses pour « pentacle 666 : virus trojan » dans :

Virus/ trojan msn messenger Voir

VIRUS TROJAN EMPECHANT L ACCES A INTERNET (Résolu) Voir

Supprimer le virus trojan dropper. Voir

Differences entre virus,trojan et vers Voir

Sos! inection par un virus(pentacle 666) Voir

Je suis infecté Trojan.Downloader.FakeAV.AH (Résolu) Voir

Posez votre question Répondre

Homerjaysimpson, le 15 mai 2008 à 18:04:27

Quel sont tes logiciels de sécurités?

Répondre à Homerjaysimpson

guest, le 15 mai 2008 à 18:18:20

Répondre à guest

guest, le 15 mai 2008 à 18:12:30

Kaspersky int. security 6, mais il ne trouve aucune menace, après analyse
J'ai ausi utilisé spybot, sans succès

Répondre à guest

Homerjaysimpson, le 15 mai 2008 à 18:13:23

Prend la 7.0 de kav

Répondre à Homerjaysimpson

guest, le 15 mai 2008 à 18:15:13

Ok je vais essayé avec kav7

Répondre à guest

Homerjaysimpson, le 15 mai 2008 à 18:16:17

Et fait un scan et poste le rapport

Répondre à Homerjaysimpson

ileiry, le 29 mai 2008 à 12:59:05

J'ai trouvé le virus en question, le fichier etait cradle of filth.vbe, apres decrytpion avec le srcdec18, voila une partie du code que je pense utile pour les qui veulent aider

Shells.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"

icone = Shells.RegRead ("HKCR\Directory\DefaultIcon\">
Shells.RegWrite "HKCR\VBEfile\DefaultIcon\",icone,"REG_EXPAND_SZ"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Command Processor\EnableExtensions",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton",1,"REG_DWORD"
Shells.RegWrite "HKLM\Software\Microsoft\Command Processor\AutoRun","exit","REG_SZ"

Shells.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR",1,"REG_DWORD"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"
Shells.RegWrite "HKCU\Control Panel\Mouse\DoubleClickSpeed",4000,"REG_SZ"
Shells.RegWrite "HKCU\Control Panel\Mouse\MouseSpeed",10,"REG_SZ"

Set f = Fso.CreateTextFile("C:\Windows\Desktop.ini", True)

f.WriteLine "[.ShellClassInfo]"

f.WriteLine "Clsid={645FF040-5081-101B-9F08-00AA002F954E}"

f.Close
Set f1 = Fso.GetFolder("C:\Windows")

f1.Attributes = 4

f1.Close

Répondre à ileiry

BandyGasy, le 4 jui 2008 à 09:30:32

Bonjour Lery an,
Voilà mon blem,
On a aussi attrapé le virus taibe pentacle et on aimerait avoir le code de cradle car dans ton post, nous ne comprenons pas certains variables que tu as mis pour que nous puissions créer un script pour le contrer.
Merci baina. Mets-le en txt pour que çà s'exécute pas sur ma pauvre machine.

Bandy Gasy

Répondre à BandyGasy

gtic007, le 29 jui 2008 à 18:20:59

Mi-télécharger-va notepad ++ lets dé ça marche ah!!! après tu change l'extension en vb.

Répondre à gtic007

Zaw-dyak, le 6 déc 2008 à 17:08:07

Kz e! efa vita anga le Pc toi? de aveo le virus mandefa message hoe : "rainay ze any andanitr (en français V?)". Mety ho za ny anti-dote (anti-virus)'nzany ra toa ka miantso ana ela@ 0330771416, 0341044167; TSY FORMATENA ny PC'toi . ------------------------------------------------------50.000fmg--------10.000ar-------------------------------- par PC fotsny.

Misy virus mtovy² @iny ko any fa "foza_orana.vbe" nenarany, ra misy tratra any d atsovy ah. OK!

ZAW-DYAK_Anti-virus

Répondre à Zaw-dyak

planet42, le 30 sep 2008 à 23:45:30

Bonjours ,j'ai reussit a remettre mes icone bureau et le bouton arreter l'ordi , par contre au demarrage du pc j'ai un message derreur : impossible d'ouvrir le script cradle of..... voila donc si vous pouvez m'aider merci

Répondre à planet42

Jays, le 13 jun 2008 à 17:17:05

Une proc pour « nettoyer » ce virus :

1) Insérer la clé USB « vérolée » (eh oui, vous ça se propage entre autres par les clés USB et périphériques du genre).
2) Faire CTRL+MAJ+ECHAP pour faire afficher le gestionnaire de tâches. Aller dans l’onglet « Processus » et tuer tous les processus s’appelant « WSCRIPT.EXE » (pour ça, trouver dans la colonne de gauche « WSCRIPT.EXE », faire un clic droit dessus et faire « Terminer le processus ».
3) Via l’Explorateur Windows (ou le Poste de Travail), aller dans la clé USB (E: par exemple), puis dans le menu « Outils », choisir « Options des dossiers », aller dans l’onglet « Affichage » et :
- Cocher « Afficher les fichiers et les dossiers cachés ».
- Décocher « Masquer les extensions des fichiers dont le type est connu ».
4) Deux fichiers sont apparus sur la clé USB : autorun.inf et cradle_of_filth.vbe. Supprimer ces deux fichiers.
5) Via l’explorateur, aller dans C:\WINDOWS\System32 (ou C:\WINNT\System32). Supprimer là aussi cradle_of_filth.vbe. S’il n’est pas là, vérifier, comme pour la clé USB que le fichier n’est pas caché ! (si nécessaire, refaire la manip « Outils », « Options des dossiers », …
6) Là ça se complique un peu… Dans le menu « Démarrer » de Windows, taper « regedit ». Dans la colonne de gauche de l’éditeur de base de registre, sélectionner « Poste de Travail », puis aller dans le menu « Edition » et choisir « Rechercher… ». Cocher « Clés », « Valeurs » et « Données » et rechercher le mot « cradle ».

Quand un résultat est trouvé :
- Soit la valeur trouvée s’appelle « (par défaut) » (dans la partie de droite). Dans ce cas, double-cliquer dessus et dans la petite fenêtre qui apparaît, supprimer tout le texte.
- Soit la valeur s’appelle « Userinit », et dans ce cas, supprimer uniquement la fin, c’est-à-dire :
« C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe ».
Il doit donc rester qqc comme :
« C:\Windows\system32\userinit.exe, » (la virgule à la fin est volontaire).
Ne surtout pas supprimer complètement les données, sous peine de ne plus pouvoir ouvrir de session !

7) Le virus est maintenant enlevé (attention, vous pouvez toujours être infecté à nouveau par exemple par une clé USB infectée !).
Il faut maintenant faire un copier-coller du script suivant dans un notepad :

Option Explicit
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun", 145, "REG_DWORD"
WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton"
WshShell.RegDelete "HKLM\Software\Microsoft\Command Processor\AutoRun"
WshShell.RegDelete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR"
On Error Goto 0

... Enregistrer ce fichier avec un nom comme "repare.vbs" (n'oubliez pas les guillemets dans notepad, sinon il vous rajoutera une extension .txt !!!), et le lancer en double-cliquant dessus.
Fermer la session et la rouvrir. Le bureau doit être revenu avec ses icônes et il doit être à nouveau possible d’éteindre l’ordinateur depuis le menu « Démarrer ».

PS : éventuellement, vider la poubelle au cas où les fichiers supprimés dans les étapes 4 et 5 y seraient encore !!! ;o)
PPS : merci ileiry : sans ton aide, j'aurais galéré encore plus pour trouver les modifs (eh oui, il a frappé chez moi :( ).

Répondre à Jays

radzo, le 4 jui 2008 à 10:05:39

Bonjour,

Je viens d'attraper ce foutu virus pentacle 666.
Merci pour tes instructions, seulement, quand j'exécutre le CTRL+MAJ+ECHAP : il me dit que je ne suis pas autorisé à éditer le gestionnaire de tâches car c'est bloqué par mon administrateur.
Comment faire pour cela?

Je veux te demander aussi : c'est quoi clé usb VEROLEE?

Merci

Répondre à radzo

Samy010976, le 4 jui 2008 à 10:19:41

Bonjour,
1- Une clé USB vérolée --> une clé USB ou un flash disk qui a été infecté par un virus
2- Pour solutionner ce supposé blocage par l'Administrateur, recherche sur google le logiciel registrar manager, te permettant d'accéder à ta base de registre car ce sont des valeurs là-bas qu'il faut modifier. De nombreux post y afférents sont aussi disponibles sur le net, à toi de piocher un peu.

Bonne continuation.

Répondre à Samy010976

radzo, le 10 jui 2008 à 16:35:42

Merci pour les conseils.
Ca y est, le satané virus est parti de mon PC, seulement, il a encore laissé qlq chose.
En fait, je n'arrive pas encore à utiliser l'invite de commandes, même si j'ai déjà modifié la valeur du clé correspondant dans le registre.
Ensuite, lorsque je démarre mon ordi, il y a un message qui dit que le système ne trouve pas le fichier cradle_of_filth.vbe dans C:\WinNT\system32.

Merci encore pour vos éventuelles réponses.

Répondre à radzo

Louna, le 24 sep 2008 à 17:23:49

J'ai utilisé zeb-restore et j'ai pû rétablir à peu près quelques des fonctionnalités de mon PC comme regedit, la commande dos et le bouton arreter donc j'ai pû arreter le processus. Mais le dossier windows est toujours introuvable alors le virus est encore dans l'ordi :( et il faut que je refasse la même manip à chaque démarrage, quelqu'un peut m'aider? svp!!!! Hody o! misy olona ve ato?

Répondre à Louna

myakama, le 12 déc 2008 à 12:21:10

Andefaso email perso aho @ myakama@gmail.com hanoroako ny solution eh!

Répondre à myakama

Zaw-dyak, le 19 jan 2009 à 09:50:48

Ok! atsovy fotsiny ah @le Foza de voavahy ny olana, 0330771416. ra to ka ao @le System32 le biby an, efa nisy manko ol taraiky t@virus mitovy @foza fa tsy foza le izy. Okay! just 50.000fmg/pc.

Répondre à Zaw-dyak

alnr02, le 28 avr 2009 à 09:09:28

Slt zavatra tsotra be ny manala virus zana na inona zany na inoan rehefa mahay miedité base de registre fotsiny ao mantsy ny virus no manao modification na tss anti virus aza de afaka foana iny

raha ohatra mila fanampipanazavana de manorata @mail alnr02@yahoo.fr na antsoy @ 0324106392
ok

Répondre à alnr02

Erbee, le 18 jui 2008 à 00:44:23

Merci Beaucoup

Répondre à Erbee

ffneuneu, le 2 aoû 2008 à 18:49:11

Salut, j'ai moi aussi ce virus, j'ai donc essayé d'appliquer ta solution mais pb aux étapes 3 et 5 : le fichier cradle.. n'apparait nul part même après avoir décoché les cases ds outils/options..
quand je fait rechercher, il ne trouve pas de cradle mais ds c: windows syst 32, ds Regedit je vois apparaître le cradle en question

qu'est ce que je peux faire help ???

merci

Répondre à ffneuneu

raphaël, le 5 aoû 2008 à 17:01:01

Salut
c'est un peu bête mais j'ai eu aussi ce satané virus de merde 666 et en voyant ta solution je suis un peu scotché car je ne suis pas un crack en info. tu n aurais pas juste un patch ou un petit programme parce que je ne comprends presque pas ce que tu as ecris comme solution je n ai que antivir personal edition classic comme protection sur un pc windows xp mais la tout est bloqué A L AIDE MON PAUVRE PC VA Y RESTER lol et je n ai que lui au monde
merci et a +. P.S. je n ai pas de connexion internet chez moi

Répondre à raphaël

ffneuneu, le 29 aoû 2008 à 16:45:29

Slt, j'ai moi aussi ce virus, j'ai donc essayé d'appliquer ta solution mais pb aux étapes 3 et 5 : le fichier cradle.. n'apparait nul part même après avoir décoché les cases ds outils/options..
quand je fait rechercher, il ne trouve pas de cradle mais ds c: windows syst 32, ds Regedit je vois apparaître le cradle en question

qu'est ce que je peux faire help ???

Répondre à ffneuneu

myakama, le 10 nov 2008 à 10:49:37

Milay eh!!
Merci an!

Mahay ny Gasy e!!!!!!!!!!!!!!!!!

Répondre à myakama

N71, le 26 nov 2008 à 13:06:46

Je n'arrive pas à ouvrir le gestionnaire de tâches par des tels moyens. Je suis encore à l'étape 2 et ça coince. Aide-moi svp! j'ai passé directement à la phase 3 "décocher --masquer les extensions...-- mais à chaque fois que je décoche et valide par oui, ça n'a pas changé. merci

Répondre à N71

Jays, le 13 jun 2008 à 17:20:31

PPPS :
Remplacez les
"
que vous trouverez dans mon script par des guillemets ( " ) : c'est le site qui a fait cette modif ! :(

Répondre à Jays

kofymlay, le 24 jun 2008 à 19:17:10

Salut
J'avais eu ce t virus et j'ai formaté mon PC et ça na rien donner.
Maintenant j'ai changé mon disque dure et 3 jour passé déjà j'ai pas encore eu de virus foutu "pentecle..." de diable sur mon nouveau dur.
Que la personne qui envoie ce 666 soit maudite.
Et s'il continu a envoyer ou a fabriqué ce genre de virus fatal,qu' il soit paralyser à vie. Amennnnnnnnnnn.

Répondre à kofymlay

amartchik, le 26 jun 2008 à 16:14:06

Et lorsque on va vers la panneau de config , que l'on n'a pas "options de dossiers" et simplement "synchroniser"
il existe un clé de registre a taper pour changer la config: pourrais tu me la donner stp? merci

Répondre à amartchik

amartchik, le 26 jun 2008 à 16:24:48

Jays : attention a la ligne 12 du script, il existe un -; qu'il faut eliminer pour que le programme fonctionne sinon il y a erreur de script: Me suis trompé?? salutations

Répondre à amartchik

Samy010976, le 4 jui 2008 à 09:55:30

Cette solution est encore partielle.
Si vous allez dans le dossier Windows, vous verrez que l'icône est devenu un icône de la Corbeille. De même, si vous supprimer un truc, çà ira tant dans le dossier de la Corbeille que dans Windows.
En fait, je ne suis pas encore sûr que ce soit pour tous les Windows, le mien est Windows XP (SP2).
Si quelqu'un pourrait m'envoyer ou mettre en ligne le script de ce put.... de virus, nous sommes (pas nous seulement, vous aussi) prêt à faire un petit logiciel pour le contrer à tout moment. On en a déjà fait pour les autres genres Raila Odinga ...

Merci à toutes les bonnes volontés pour éradiquer ce genre de truc.

PS : J'ai déjà demandé ce script à Ileiry mais sous le pseudo BandyGasy. Encore MERCI A TOUS

Répondre à Samy010976

Kaoruflo, le 5 jui 2008 à 02:00:14

Bonjour,
apparemment j'ai un problème similaire.
Le début de la solution de Jays a l'air très bien, simple, et bien expliqué. Mais je bloque à l'étape 6) regedit.

Voici ce qui m'est affiché quand je double click sur "(par défaut)"
[URL=http://img71.imageshack.us/my.php?image=cradlekr3.jpg][IMG]http://img71.imageshack.us/img71/8995/cradlekr3.th.jpg /IMG /URL

J'ai rien à supprimer...
De plus, je dois m'occuper des 000, 001 et 002 aussi? Comment (vu qu'ils ont en données du "cradle" ou du "esta")

Merci beaucoup pour le complément!

Répondre à Kaoruflo

nanata, le 5 jui 2008 à 17:24:32

Je cherche aussi la solution pour remettre mon dossiers windows en place. Le script marche tres bien mais il reste le windows devenu corbeille qui gène.

Répondre à nanata

Samy010976, le 10 jui 2008 à 17:13:48

Pour remettre en place windows :
- Tu lances ta commande msdos
- Tu te mets dans le répertoire windows\system32 (cd windows\system32
- Tu fais attrib -s c:\windows

Ton windows reviendra à toi.

Répondre à Samy010976

ileiry, le 7 jui 2008 à 08:22:01

Je pense qu'il fallait, pour vous qui ecrivent des script VB, renverser le code dans le virus qui dit :
.........
Set f1 = Fso.GetFolder("C:\Windows")
f1.Attributes = 4
f1.Close
.........

Répondre à ileiry

Samy010976, le 10 jui 2008 à 17:22:16

Est-ce que tu peux mettre le code complet de cradle ici ???
Merci de ton aide.

Répondre à Samy010976

malagasy, le 29 jui 2008 à 15:33:47

Je tiens à signaler que certains malagasy ne fabrique que mal:De mi-geste hoe mahay:inona no maha samy hafa azy @ mpanao ambalavelona sy mpamosavy????

Répondre à malagasy

Jhn, le 18 aoû 2008 à 11:11:13

Je ne savait pas que c malagasy ct virus 666, fa ahoana no ilazanareo an'izany, sao d mba manalabaraka antsika ary io ry namana piondana info isany...mahay ny gasy raha mahavita an'io ka!!! six

Répondre à Jhn

Nana, le 31 jui 2008 à 13:02:34

Bonjour ! Moi aussi j'ai eu ce virus !
Au début je ne savais pas définir ce que c'était et en faisant quelques recherches j'ai trouvé un programme sympa pour remettre les valeurs initiales qui ont été modifiés dans le regedit, à cause de ce virus qui les modifie. Voici le lien pour le télécharger Zeb Restore http://telechargement.zebulon.fr/zeb-restore.html

Après tout était ok j'avais de nouveau mon bureau, je pouvais faire une restauration du système et éteindre mon PC sans soucis mais j'avais ce message quand j'allumais mon PC comme quoi il ne trouvait pas le fichier cradle_of_filth.vbl donc j'ai encore cherché sur le net avec ce message et j'ai trouvé que c'était ce virus lque vous mentionnez et j'ai suivi le tuto ci dessus ! Maintenant plus de soucis !
Mais si vous avez des soucis comme moi dans vos fichiers éffacés qui ne vont pas dans votre corbeille, où pas de clique droit dans le menu démarrer je vous conseille d'utiliser Zeb Restore en complément !

J'espère avoir pû aider et merci pour les solutions proposées !

Répondre à Nana

raphaël, le 18 aoû 2008 à 14:49:40

Salut à tous , merci pour tous vos conseils j'ai reussi à virer le virus de mon PC grace a un patch que j'ai touvé sur net studio .org et même que j'ai eu d'autres virus mais ils sont tous partis ouffff, je me suis aussi procuré une longue license pour antivir premium jusqu a 2012 mais mon dernier souci est qu il y a un virus ou je ne sais pas quoi qui est toujours là mais que je n'arrive pas à eradiquer même après formatage ça s appelle "flashguard.exe" qui s execute automatiquement dès que je demarre et il me dit qu il n y a pas de disque dans le lecteur... harddrive..... quelque chose comme ça et aussi après le formatage il y a eu des dossiers que je n arrive plus à ouvrir dans D:\ il me dit que le disque est protegé ou que l accès est juste refusé. venez moi en aide vonjeo zala fa ny kandrako manontolo no taraiky ao merci d'avance

Répondre à raphaël

Samy010976, le 29 aoû 2008 à 10:23:49

Bonjour,

Raphael, si tu trouves des solutions sur flashguard.exe, tu m'écris car j'ai le même problème que toi avec 2 flash disk mais le mien est DriveGuard.exe. Impossible de copier mes fichiers des clés ni de formater les flashs, d'ailleurs l'une de ces flash est devenue un système de fichier RAW (au lieu de FAT ou NTFS).

Aza adino ny bandy baina a.

Merci à vous tous.

Répondre à Samy010976

raphael, le 29 aoû 2008 à 14:40:42

Salut à tous le virus j'ai encore le virus flashguard.exe mais il s appelle aussi driveguard.exe c la même chose il y a des solutions sur le net mais je ne suis pas un crack en info alors je ne comprends pas très bien ce qu il faut faire. S il existe un patch dites le moi et sinon donnez moi aussi une solution plus evidente.
Taibe ry zalah fa tena tsy koboko koa nefa ra matôs mbola tsy misy azy fa misy avg mis à jour ohatra de hitany le izy sady ataony simba mitsy. masoso..... maninona ary ra tsy mamorona zavatra tsy manjary ohatr'ireny.tsss...le

Répondre à raphael

Samy010976, le 1 sep 2008 à 07:47:10

Salut,
Comme je l'ai dit, ce sont mes flash disk qui sont infectés par DriveGuard.exe.
Après avoir cherché sur le net, j'ai lu un truc qui consistait à récupérer un disque dur à l'aide d'un outil présent dans Partition Magic (PTEDIT32.EXE).
Voici ce que j'ai fait, je le répète, CE SONT DES FLASHS DISKS QUI SONT INFECTES POUR MOI (le système de fichier est devenu RAW, impossible de faire des copies, impossible d'ouvrir les fichiers):
1- J'ai connecté un flash disk SAIN de même taille que celui qui est infecté. Il faut au préalable supprimer tout ce qu'il contient pour qu'il soit VIERGE.
2- Je lance PTEDIT32.EXE qui se trouve dans le répertoire de Partition Magic
3- Je sélectionne LE FLASH DISK dans la zone Hard Disk
4- Je fais un ImprEcran (Imprime Ecran) du tableau qui s'affiche
5- Je sauve cet image sur le Bureau pour que je puisse y accéder rapidement
6- Je clique maintenant sur Boot Record (un bouton en bas de la fenêtre de PTEDIT32)
7- Je fais aussi un ImprEcran de la fenêtre qui s'affiche, je sauve aussi sur mon Bureau
8- Je DECONNECTE LE FLASH SAIN
9- Je CONNECTE LE FLASH DETRUIT
10- J'ouvre les images enregistrés sur mon bureau.
11- J'applique les valeurs se trouvant sur ces images pour mon flash détruit.
12- Le flash redevient normal MAIS IL NE FAUT SURTOUT PAS KLE FORMATER. CONTENTEZ VOUS DE SUPPRIMER SEULEMENT LES FICHIERS QU'IL CONTIENT MAIS PAS DE FORMATAGE SINON LE SYSTEME DE FICHIER REDEVIENDRA RAW

BON COURAGE A TOUS

Io Raphael raha mety @ an'i toi a, enga anie.

Répondre à Samy010976

kakashi_sensei, le 16 nov 2008 à 07:41:36

Salut!
pour ton problème concernant système de fichier qui est devenu raw voici la solution :
Il sera judicieux dans un premier temps de vérifier quel est le système de fichiers associé au disque dur en question.

1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Général", vérifier le système de fichiers.

Si celui-ci (FAT32 ou NTFS) est nommé RAW (en anglais RAW signifie "brut", "non dégrossi" ), alors la procédure suivante devrait permettre d'accéder de nouveau au disque et à ses données.

* Les préparatifs :

Nous aurons besoin d'accéder à l'onglet "Sécurité" des propriétés du disque dur. Cet onglet est désactivé dans Windows XP Professionnel, mais activable. Par contre, sous Windows XP Edition familiale, il faut ajouter cette fonction.

- Sous Windows XP Professionnel :

1. Ouvrir le "Poste de Travail",
2. Cliquer sur le menu "Outils", puis "Options des Dossiers...",
3. Aller dans l'onglet "Affichage", puis décocher l'option "Désactiver le partage de fichiers simple (recommandé)" (section "Paramètres avancés" ),
4. Valider les changements.

- Sous Windows XP Edition familiale :

Comme indiqué plus haut, cette fonction n'est pas implémentée.

On téléchargera l'utilitaire suivant pour l'installer :

http://www.faqxp.com/f/i/ntfs.exe

1. Décompresser l'utilitaire,
2. Dans le répertoire de décompression, sélectionner le fichier Setup.INF,
3. Cliquer droit, et sélectionner "Installer" dans le menu contextuel,
4. Une boîte de dialogue propose de remplacer le fichier Esent.DLL : Il faut refuser en cliquant sur <Non pour tous>.

Cliquer sur <Oui> peut rendre le système instable.

5. Redémarrer le PC.

* Où l'on passe aux choses sérieuses !

1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Sécurité", cliquer sur "Ajouter", puis "Avancé", et, enfin, sur "Rechercher",
4. Dans la liste qui s'affiche, cliquer sur le nom qui apparaît dans la colonne "Nom (RDN)",
5. Valider en cliquant deux fois sur <OK>.
6. Dans l'onglet "Sécurité", sélectionner le nom d'utilisateur, et cocher "Autoriser" (en face de "Contrôle total" ),
7. Cliquer sur le bouton "Paramètres avancés...", cocher la case "Remplacer les entrées d'autorisations de tous les objets entrants par les entrées affichées ici et qui s'appliquent aux objets entrants",
8. Valider en cliquant deux fois sur <OK>,
9. Redémarrer le PC.

Le disque devrait de nouveau apparaître avec un système de fichiers NTFS, et les données devraient être de nouveau accessibles.

Après redémarrage de ton ordi, tout devrait être en ordre.
Pour ton problème concernant driveguard.exe, il faut que tu arrête d'abord son processus dans le gestionnaire des tâches, il est préférable que tu utilises le gestionnaire de processus de tuneup utilities, il est mieux car tous les processus actifs sont détaillée. tu pourras facilement décelé le processus de driveguard.
lorsque tu l'ait arrêté, il faut que tu affiches tes fichiers cachés et supprime le dossier flashguard dans C:\Program Files.
J'espère que ça t'a aidé;

Répondre à kakashi_sensei

Jhn, le 2 sep 2008 à 11:55:43

K'aiz iz 'zany!
Pour les dossiers qui ne s'ouvrent pas sur ton lecteur D:
Pendant le demarrage de ton matos, appuyez sur F8 pour choisir après le mode sans echec
Midira @ administrateur avy eo
misy message restauration avy eo anontaniany, valio "oui" mba tsy hanaovany restauration
cliquer avec le bouton droite de la souris sur le dossier à ouvrir
midira ao @ propriete, securité, avancées, remplaceo avy eo ny propriétaire, misy choix maromaro ao, nom d'utilisateur zay miasa aminao no coché-o.
redemmarer normal avy eo, de ho hitanao, ny dossier-nao ry namana iasany.
six

Répondre à Jhn

raphael, le 3 sep 2008 à 13:56:26

K'aiza ry mr jhn, je vais essayer cette solution et je n'oublierais pas de vous tenir au courant si ça persiste. merci baina de okay

Répondre à raphael

rayoune, le 20 aoû 2008 à 08:33:18

Pourquoi ne pas l'arreter et le supprimer dans Program files
La vérité ne triomphe jamais, mais ses adversaires finissent par mourir

Répondre à rayoune

gasy-kely, le 1 sep 2008 à 09:19:02

Il y a quelqu'un ?

Répondre à gasy-kely

raphael, le 1 sep 2008 à 16:37:37

Salut gasy kely et à tous. oui il y a quelqu un et meme des tas de gens mais dis moi as tu aussi un souci avec ton pc? moi c'est a cause de ça que je me suis retrouvé là mais c'est cool car ici on s'entraide et sans rien demander en contrepartie alors merci à tous et essayer tjr de rester en contact. respect à tous les malagasy et que la force soit avec vous huhu et pour ceux qui crée ces virus que la rancune de tous ceux qui n ont pas les moyen de lutter contre soit sur et aussi le mauvais oeil on vous emmm.......

Répondre à raphael

gasy kely, le 24 fév 2009 à 18:51:58

FOZA ORANA.vbe ou les icônes de votre bureau disparaissent

I/ Comment supprimer le virus
===================
1- Installez Windows optimum
2- Lancez Windows optimum
3- Dans le menu "File" à gauche, allez dans "Disque Local(C:ouD:ou lettre maj)\WINDOWS\system32, puis chercher le fichier appelé "foza_orana.vbe" en faisant apparaître la liste à gauche de la fenêtre. Une fois le fichier trouvé, sélectionnez-le puis cliquez sur "add "
4- Dans "Process" cocher la case qui correspond à "wscript.exe", puis cliquez sur "add" comme précédemment
5- Enfin, dans "Exécution", cliquez sur "Do list" en bas à droite de la fenêtre de Windows optimum et fermez tout.

La petite bestiole est finalement supprimée, mais votre bureau ne s'affiche pas encore correctement, Restaurez le système.

II/ Comment restaurer le système
====================
1- Téléchargez "Zeb-Restore",
2- Cochez toutes les cases, une fois ceci terminé, cliquez sur "Restaurer";
3- Attendez quelques secondes. Une fenêtre de confirmation apparaît : "Les éléments sélectionnés ont été bien restaurés", Cliquez sur OK.

Rebootez votre PC....Surprise! Les icônes de votre bureau réapparaissent. Mission accomplie lol

III/ Mesures préventives
==============
Ce type de virus se propage à travers les clés USB. Pour diminuer les risques d'infection, installez le logiciel USB.Disk.Security.

Répondre à gasy kely

amd, le 9 avr 2009 à 14:37:54

Eske ce Zeb-restore marche sur Vista?

Répondre à amd

68 réponses 12 Suivant

Posez votre question Répondre