Bonjour à tous,
A chaque démarrage du PC, un message d'erreur s'affiche à l’écran :
Quelle est l'origine de cette erreur ?
Merci d'avance.
Bonjour à tous,
A chaque démarrage du PC, un message d'erreur s'affiche à l’écran :
Quelle est l'origine de cette erreur ?
Merci d'avance.
Bonjour
Tu as passé un coup d'antivirus ? MalwareByte AdwCleaner Ccleaner ?
Bonjour JML19,
Puisque c'est le PC de ma frangine, je ne sais pas si elle a fait cette manipulation ?
Bonsoir
Ce problème peut être du à un Virus.
Généralement des fichier à double extensions sont le fait d'une infection virale !
Of course it's a virus
Je vous invite a copier et coller ce code batch : Hackoo_Virus_Cleaner.bat
et de l'exécuter et choisir juste la 1ère option du menu pour nous envoyer un rapport de scan
Bonjour hackoofr,
Voici le rapport :
http://www.cjoint.com/c/FJurnH6a4nN
Est-ce-que quand vous redémarrer le PC le message réapparait une autre fois ???
car d'après le rapport il y a son résidu, il n'est pas totalement nettoyer ??
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 Caption=SystemSettings.exe Command=SystemSettings.exe.tmp Description=SystemSettings.exe Location=Startup Name=SystemSettings.exe SettingID= User=Fatima-PC\Fatima UserSID=S-1-5-21-3288125265-811740213-3551937419-1000
Bonsoir,
Même après avoir passé les outils de désinfection : CTR, AdwCleaner, JRT, MalwareBytes, le message apparaît toujours ...Est-ce-que quand vous redémarrer le PC le message réapparait une autre fois ???
Je continu avec le reste des outils, comme il m'a été proposé, et je te dirai, si ça passe encore !
Voilà j'ai terminé ce petit cleaner qui va déplacer le virus du dossier de démarrage startup vers le dossier Quarantaine qui va être crée sur votre bureau automatiquement.
Alors, si c'est le cas, essayer de zipper le dossier en Quarantaine.zip et de l'envoyer pour l'analyse
CleanSytemSettingsVirus.bat
EDIT :
Code BAT : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78 @echo off Title Cleaning tool for "SystemSettings.exe Virus" by Hackoo 2016 Mode con cols=70 lines=5 cls & color 0A & echo. ::::::::::::::::::::::::::::::::::::::::: :: Automatically check & get admin rights ::::::::::::::::::::::::::::::::::::::::: Set "TmpLogFile=%Tmp%\TmpLog.txt" set "TmpCleanFile=%Tmp%\TmpCleanLog.txt" Set "LogFile=%UserProfile%\Desktop\Virus_Clean_%UserName%_Log.txt" If Exist %TmpLogFile% Del %TmpLogFile% If Exist %LogFile% Del %LogFile% REM --> Check for permissions Reg query "HKU\S-1-5-19\Environment" >%TmpLogFile% 2>&1 REM --> If error flag set, we do not have admin. if '%errorlevel%' NEQ '0' ( Echo. ECHO ************************************** ECHO Running Admin shell... Please wait... ECHO ************************************** goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" set params = %*:"="" echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params%", "", "runas", 1 >> "%temp%\getadmin.vbs" "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" exit /B :gotAdmin :::::::::::::::::::::::::::: :: START :: :::::::::::::::::::::::::::: set "Quarantaine=%userprofile%\Desktop\Quarantaine" If Not exist "%Quarantaine%" MD "%Quarantaine%" set "StartupFolder=%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" cd "%StartupFolder%" set "virus=SystemSettings.exe" Call :KillMyProcess "%virus%" If exist "%virus%" move "%virus%" "%Quarantaine%" Cmd /u /c Type "%TmpCleanFile%" > "%LogFile%" Start "" "%LogFile%" Call :Explorer "%Quarantaine%" exit ::**************************************************************************** :Explorer <file> explorer.exe /e,/select,"%~1" Goto :EOF ::**************************************************************************** :KillMyProcess cls Taskkill /IM "%~1" /F >"%TmpCleanFile%" 2>&1 echo( echo( echo ********************************************** echo Try Killing "%~1" echo ********************************************** Timeout /T 1 /Nobreak>nul Call :PS_Sub 'Warning' 1 '"Killing "%~1""' "'Try Killing "%~1"'" 'Warning' 2 Exit /b ::************************************************************************** :PS_Sub $notifyicon $time $title $text $icon $Timeout PowerShell ^ [reflection.assembly]::loadwithpartialname('System.Windows.Forms') ^| Out-Null; ^ [reflection.assembly]::loadwithpartialname('System.Drawing') ^| Out-Null; ^ $notify = new-object system.windows.forms.notifyicon; ^ $notify.icon = [System.Drawing.SystemIcons]::%1; ^ $notify.visible = $true; ^ $notify.showballoontip(%2,%3,%4,%5); ^ Start-Sleep -s %6; ^ $notify.Dispose() %End PowerShell% exit /B ::*************************************************************************
NB : Il est préférable de zipper le dossier Quarantaine.zip avec le mot de passe : INFECTED en majuscule et de l'uploader dans ce site : http://www.cjoint.com/
Bonjour hackoofr,
Voila le résultat du CleanSytemSettingsVirus.batErreur*: le processus "SystemSettings.exe" est introuvable.
Le message réapparaît comme toujours !
Je continu avec les outils de désinfection ...
Rebooter le PC et surtout laisser la boîte de message d'erreur ouverte, ne la fermer pas,ensuite , exécuter ce vbscript pour nous donner es éléments à démarrage automatique; ainsi que, les processus en cours d’exécution avec leurs ligne de commande :
ListProcess.vbs
Code vb : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88 'Les éléments à démarrage automatique + ListProcessCmdLine.vbs © Hackoo © 2016 Set fso = CreateObject("Scripting.FileSystemObject") Set Ws = CreateObject("WScript.Shell") Set ProcessEnv = Ws.Environment("Process") NomMachine = ProcessEnv("COMPUTERNAME") NomUtilisateur = ProcessEnv("USERNAME") strYear = Year(Date) strMonth = Month(Date) : If Len(m)=1 Then m = "0" & m : End If strDay = Day(Date) : If Len(d)=1 Then d = "0" & d : End If strHour = Hour(Time) : If Len(h)=1 Then h = "0" & h : End If strMinute = Minute(Time) : If Len(n)=1 Then : n = "0" & n : End If strSecond = Second(Time) : If Len(s)=1 Then : s = "0" & s : End If strMyDate = strDay & "." & strMonth & "." & strYear strMytime = strHour & "." & strMinute & "." & strSecond NomFichierLog=NomMachine & "_" & NomUtilisateur & "_" & strMyDate & "-" & strMytime & ".txt" temp = Ws.ExpandEnvironmentStrings("%temp%") PathNomFichierLog = temp & "\" & NomFichierLog Set OutPut = fso.CreateTextFile(temp & "\" & NomFichierLog,2) strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\cimv2") Set colProcesses = objWMIService.ExecQuery ("Select * from Win32_Process") count=0 Dim StartTime : StartTime = Timer Call Infosys OutPut.WriteLine String(14,"*")& "Liste des Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & String(14,"*")& vbNewline & String(100,"*") For Each objProcess in colProcesses ProcessName = objProcess.Name ProcessID = objProcess.ProcessID CommandLine = objProcess.CommandLine count=count+1 Texte = "Numéro PID = "& objProcess.ProcessID & VbNewLine & "Nom du Processus = " & objProcess.Name & VbNewLine &"Ligne de Commande = "& objProcess.CommandLine &_ VbNewLine & String(100,"*") OutPut.WriteLine Texte Next OutPut.WriteLine "Il y a "& Count &" Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & vbNewline Call StartupCommand OutPut.WriteLine "Time elapsed : " & FormatNumber(Timer - StartTime, 0) & " seconds." Function StartupCommand() strComputer = "." resultat="" Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Set colStartupCommands = objWMIService.ExecQuery ("Select * from Win32_StartupCommand") For Each objStartupCommand in colStartupCommands resultat=resultat & "Nom: " & objStartupCommand.Name & vbNewline resultat=resultat & "Description: " & objStartupCommand.Description & vbNewline resultat=resultat & "Emplacement: " & objStartupCommand.Location & vbNewline resultat=resultat & "Commande: " & objStartupCommand.Command & vbNewline resultat=resultat & "Utilisateur: " & objStartupCommand.User & vbNewline resultat=resultat & String(100,"*") & vbNewline Next OutPut.WriteLine String(50,"*") &" Les éléments à démarrage automatique "& String(40,"*") OutPut.WriteLine resultat end Function Explorer(PathNomFichierLog) Function Explorer(File) Set ws=CreateObject("wscript.shell") ws.run "Notepad "& File,1,True end Function Function InfoSys strComputer = "." strMessage="" Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colSettings = objWMIService.ExecQuery ("Select * from Win32_ComputerSystem") Set colSettings2 = objWMIService.ExecQuery ("Select * from Win32_BIOS") Set colSettings3 = objWMIService.ExecQuery ("Select * from Win32_OperatingSystem") For Each objBIOS in colSettings2 strMessage=strMessage & "BIOS " & objBIOS.Version & vbNewline & vbNewline Next For Each objComputer in colSettings strMessage=strMessage & "Nom de l'ordinateur : " & objComputer.Name & vbNewline & "Fabriquant: " & objComputer.Manufacturer & vbNewline & "Modèle : " & objComputer.Model & vbNewline & vbNewline Next For Each objOperatingSystem in colSettings3 strMessage=strMessage & objOperatingSystem.Name & vbNewline strMessage=strMessage & "Version " & objOperatingSystem.Version & vbNewline strMessage=strMessage & "Service Pack " & objOperatingSystem.ServicePackMajorVersion & "." & objOperatingSystem.ServicePackMinorVersion &vbNewline strMessage=strMessage & "Dossier de Windows: " & objOperatingSystem.WindowsDirectory &vbNewline Next OutPut.WriteLine strMessage end Function
J'ai fait une mise à jour pour le script batch pour tuer le processus Rundll32.exe
J'ai ajouté une fonction pour zipper automatiquement le dossier Quarantaine en Quarantaine.rar avec un mot de passe en ligne de commandeNuméro PID = 2236
Nom du Processus = rundll32.exe
Ligne de Commande = "C:\Windows\system32\rundll32.exe" C:\Windows\system32\shell32.dll,OpenAs_RunDLL C:\Users\Fatima\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemSettings.exe.tmp
Donc si l'opération réussisse, alors uploader le fichier zippé Quarantaine.rar vers ce site http://www.cjoint.com/
Clean_SystemSettings_Virus.bat
Code BAT : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88 @echo off Title Cleaning tool for "SystemSettings.exe.tmp Virus" by Hackoo 2016 Mode con cols=70 lines=5 cls & color 0A & echo. ::::::::::::::::::::::::::::::::::::::::: :: Automatically check & get admin rights ::::::::::::::::::::::::::::::::::::::::: Set "TmpLogFile=%Tmp%\TmpLog.txt" set "TmpCleanFile=%Tmp%\TmpCleanLog.txt" Set "LogFile=%UserProfile%\Desktop\Virus_Clean_%UserName%_Log.txt" If Exist %TmpLogFile% Del %TmpLogFile% If Exist %LogFile% Del %LogFile% REM --> Check for permissions Reg query "HKU\S-1-5-19\Environment" >%TmpLogFile% 2>&1 REM --> If error flag set, we do not have admin. if '%errorlevel%' NEQ '0' ( Echo. ECHO ************************************** ECHO Running Admin shell... Please wait... ECHO ************************************** goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" set params = %*:"="" echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params%", "", "runas", 1 >> "%temp%\getadmin.vbs" "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" exit /B :gotAdmin :::::::::::::::::::::::::::: :: START :: :::::::::::::::::::::::::::: set "Quarantaine=%userprofile%\Desktop\Quarantaine" If Not exist "%Quarantaine%" MD "%Quarantaine%" set "StartupFolder=%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" cd "%StartupFolder%" set "virus=SystemSettings*" set "RunDll=rundll32.exe" Call :KillMyProcess "%RunDll%" If exist "%virus%" move /y "%virus%" "%Quarantaine%" >>%TmpCleanFile% 2>&1 Cmd /u /c Type "%TmpCleanFile%" > "%LogFile%" Call:CreateProtectedArchive Start "" "%LogFile%" Call :Explorer "%userprofile%\Desktop\Quarantaine.rar" exit ::**************************************************************************** :Explorer <file> explorer.exe /e,/select,"%~1" Goto :EOF ::**************************************************************************** :KillMyProcess cls Taskkill /IM "%~1" /F >"%TmpCleanFile%" 2>&1 echo( echo( echo ********************************************** echo Try Killing "%~1" echo ********************************************** Timeout /T 1 /Nobreak>nul Call :PS_Sub 'Warning' 1 '"Killing "%~1""' "'Try Killing "%~1"'" 'Warning' 2 Exit /b ::************************************************************************** :PS_Sub $notifyicon $time $title $text $icon $Timeout PowerShell ^ [reflection.assembly]::loadwithpartialname('System.Windows.Forms') ^| Out-Null; ^ [reflection.assembly]::loadwithpartialname('System.Drawing') ^| Out-Null; ^ $notify = new-object system.windows.forms.notifyicon; ^ $notify.icon = [System.Drawing.SystemIcons]::%1; ^ $notify.visible = $true; ^ $notify.showballoontip(%2,%3,%4,%5); ^ Start-Sleep -s %6; ^ $notify.Dispose() %End PowerShell% exit /B ::************************************************************************* :CreateProtectedArchive Set "Source=%Quarantaine%" Set "Archive=%Quarantaine%" Set "TypeRAR=rar" set "password=INFECTED" start "" winrar a -r -af%TypeRAR% -ep1 -dh -ibck -hp%password% "%Archive%" "%Source%" goto :eof ::*************************************************************************
Bonjour,
Réponse :
Je crois que l'erreur a été virée par FRST !Erreur*: le processus "rundll32.exe" est introuvable.
Donc, si le problème est résolu, il faut penser a ce bouton et aussi au +1 aux contributeurs pour l'aide
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager