VIRUS MSN Win32.Restarter.F (win32.Agent.ere)

[Malekal_morte]

Voir là pour récupérer tes documents : https://www.malekal.com/RecuperationDonnees.php
et ensuite formater.

Sinon faire une réparation depuis le CD Windows : https://www.malekal.com/reparer_Windows.php

[altinformatique]

gregnalex peux tu me dire ce que tu veux améliorer dans le tuto ? je ne suis pas contre mais il faut nous dire quoi.
On a fait au plus vite pour informer un max de gens car vu tous nos clients infectés, ça doit toucher pas mal de monde !
On a pas eu le temps de faire les capture mais je pense que ça va venir.
Redis nous et on fera le maximum. Merci

[altinformatique]

j ai fait la manip avec ubcd4win mais ca marche toujours pas //

As tu réussi la méthode de Malekal (qui est LA méthode à faire, nous on prend Ubuntu mais c'est pareil) ?
Sinon dis nous exactement ce que tu n'as pas réussi à faire.

[nekron]

moi j'adore la méthode de chargement de la ruche dans regedit
(ça faisait un moment que je cherchais à faire ça)

par contre il faudrait modifier la 2ème méthode (montage du DD sur PC sain) et indiquer que le chemin d'accès à la ruche n'est plus C: mais la lettre que windows a affecté au disque dur !

en tout cas je ne vois pas mieux pour récupérer l'accès à la session windows
d'ailleurs il y avait spybot sur la machine que je viens de réparer ...

[azad]

re,
beh en fait j'ai démarré avec ubcd, je suis allé dans la base de registre, et j'ai fait la manip. Mais le problème, c'est que le fait de décharger la ruche ne change pas du tout la valeur de la clé userinit (dans hklm\LeNom\software\etc...) !
J'ai pourtant mis la virgule ....


Donc, je vais essayer de faire avec la console de recuperation, et en faisant une réparation, j'ai pas tester, on va vor :p
Mais en fait, je ne voudrai pas formater, (même si je sauvegarde mes docs^), c'est vrai, c'est chi.... de formater loool
Nan, mais sérieusement, en plus, j'arrive pas à graver mes docs, que ce soit sur ubuntu ou ubcd.....

[altinformatique]

Merci nekron pour la remarque, j'ai édité mon post pour apporter cette précision sur les chemins d'accès.

[altinformatique]

azad, il est très important d'enregistrer les modifs quand tu décharge la ruche, l'as tu fait ? il doit y avoir un endroit ou ça ne colle pas car pour l'instant c"est 100% de réussite pour les pc de nos clients
sinon le mieux avec Ubuntu est de copier tes docs sur clé ou disque dur externe.

[Invité]

azad, il est très important d'enregistrer les modifs quand tu décharge la ruche, l'as tu fait ? il doit y avoir un endroit ou ça ne colle pas car pour l'instant c"est 100% de réussite pour les pc de nos clients
sinon le mieux avec Ubuntu est de copier tes docs sur clé ou disque dur externe.

Beh en fait, quand je décharge la ruche, j'ai l'impression que ça ne change rien...
hklm\software\etc....userinit porte toujours la même valeur....

Mais sinon, y-a-t-il un bouton "sauvegarder" ?
Car moi, je décharge la ruche et je quitte directement la base de registre

[altinformatique]

alors normalement tu ne devrais pas être dans la branche HKLM\software\etc mais dans celle que tu viens de donner un nom arbitraire si tu as bien charger le fichier Software, se mettre dans HKLM\"nouveau nom"\etc ... car sinon pour la base de registre tu ne changes rien.
Ensuite quand tu décharges il détecte une modif dans la ruche chargée et ainsi te proposes d'enregistrer ; si c'est pas le cas, tu n'es pas dans la bonne branche.

[azad]

ha ok, moi y me demande pas si je veux enregistrer !
C'est bizarre, pourtant je suis dans la bonne branche....

Pour la branche HKLM\software\etc c'etait pour vérifier que ça avait bien copié, car je pensais que ça copiait ici (c'est pas le cas ?).

Mais je vais le refaire, car c'est quand même bizarre que j'ai pas eu de message me demander d'enregistrer o_0

[nekron]

moi je l'ai déchargée, je n'ai pas eu de demande de sauvegarde, mais la date de modification du fichier attestait de la modif
et le reboot le démontrait, mystère de l'informatique ...

[altinformatique]

alors je vais essayer de faire simple pour aider à comprendre :
la clé HKLM\Software va être modifiée en fonction du PC ou de la virtualisation à partir de laquelle on démarre, donc on a beau la modifier, ce n'est pas la clé réelle de la base du disque dur infecté.
Le fait de charger la ruche Software du disque infecté ca nous afficher réellement ce qui se charge sur le Pc infecté, mais il faut lui donner un autre nom que Software. On fait la modif et ainsi quand on décharge, il demande si on sauvegarde ou non cette ruche modifiée qui ne modifie en rien la branche HKLM\Software\etc ... (en gros on utilise une base de registre pour en ouvrir une autre ...)

Voilà très important de suivre, ça doit fonctionner.
(Bonne nuit)

[azad]

Bon, si j'ai bien compris, "software" indique ce que charge reelement le pc.
Moi, lorsque je le charge, il y a DEJA la bonne valeur... cela veut-il dire que la modification a bien eut lieu ?
Si c'est le cas, c'est à n'y rien comprendre car je n'arrive toujours pas à accéder à windows....


Franchement, là, j'y comprends plus rien LOL y a rien qui marche, ni la reparation via le cd win, ni la manip sur la base de registre (que ce soit via la console de recuperation ou ubdcd !)....
De plus, j'ai pas de disque dur externe ni de clé d'assez grande capacité pour mes documents.....
Suis un peu désespéré de retrouver mes documents, HELP !

[altinformatique]

Peux tu me dire si tu as bien le même symptôme pour être sûr que le problème soit le même :
Le PC démarre correctement et te marque l'écran bienvenue puis vient le choix des sessions, tu clic sur ta session et ça te marque "Chargement des paramètres". Puis au bout de quelques secondes ça te marque "Déconnexion" puis "enregistrement de vos paramètres". Quelquefois on voit le bureau 2 secondes environ et ça revient sur le choix des sessions en notant la déconnexion immédiate. C'est bien ça ?

Si oui, quand tu charges la ruche SOFTWARE , quel est le nom que tu lui donnes ? une fois que tu donnes un nom, tu ne t'occupes plus de HKLM\Software mais tu ouvres la branche HKLM\ton nom\etc ...

Si la valeur est bien la bonne et que ton PC ne redémarre pas sur ta session, que la réparation de Windows ne fonctionne pas (tu n'y a pas du tout accès à la réparation ou elle se fait mais au redémarrage ça de marche pas ?) alors là je crois ue tu dois vite aller emprunter un disque à un pote (ou chez ton informaticien), pas besoin qu'il soit externe, tu peux le brancher en second dans ton PC et ainsi faire facilement le transfert de tes données (pense à tes favoris, mails, contacts, etc ...).

Je pense que si ça ne fonctionne pas c'est que ton problème n'est pas tout à fait le même...

[azad]

Bon, j'ai branché un disque dur j'ai mis mes docs via ubcd, et j'ai formaté

Merci en tout cas, grâce à vous j'ai connu ubcd4win, c'est un très bon log :-D :p