Infection windows restore

Fermé
onja3004 - 13 avril 2011 à 11:55
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 14 avril 2011 à 14:11
Bonjour,

Je suis également infecté par le logiciel malveillant windows restore. Par contre moi j'ai accès à internet mais ce sont les fichiers et programmes qui sont cachés et j'ai plein de message d'alerte qui s'affichent à l'écran. J'ai utilisé comme dans le post Pre Scan et je vous colle le rapport. J'ai vu également apparaitre sur mon bureau un icone Windows restore et quand j'ouvre l'emplacement du fichier pour supprimer le programme je ne trouve pas son nom. Merci de votre aide.


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.28 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 12/04/2011 | 23.00 par g3n-h@ckm@n
Utilisateur : User (Administrateurs)
Ordinateur : PC-DE-USER

Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Architecture OS : X86
Internet Explorer : 8.0.6001.19019
Mozilla Firefox : 3.6.16 (fr)

Scan : 11:37:29 | 13/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\userinit.exe, -> C:\Windows\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
[Chrome | Command] | @ -> Aucune modification : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"
[Safari | Command] | @ -> Aucune modification : "C:\Program Files\Safari\Safari.exe" -> "C:\Program Files\Safari\Safari.exe"

¤


¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
A voir également:

6 réponses

Utilisateur anonyme
13 avril 2011 à 12:18
hey tu vas en ouvrir combien des topics ?

combien de helpeurs tu as besoin pour toi seule ?

et la politesse ?

et le respect ?

impressionnant c'est la periode en ce moemnt !!

plus personne respecte personne et fait n'importe quoi sur ces topics !!!!

Merci pour la doublette tu es venue foutre le bordel sur plusieurs topics avec ton rapport incomplet , on te prend en charge et tu ne reponds meme pas pour ouvrir 50 topics heureusement que j'en ai supprimé
2
Je vous prie de m'excuser pour mon attitude. J'ai publié le rapport complet dans l'autre topic. Merci de votre aide.
0
Utilisateur anonyme
13 avril 2011 à 12:31
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 avril 2011 à 16:27
yep merci :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 avril 2011 à 11:56
Salut,

Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.

0
Bonjour,

J'ai fais comme vous avez dit et voici le rapport rogue killer :


RogueKiller V4.3.8 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Suppression -- Date : 13/04/2011 12:06:20

Processus malicieux: 2
[APPDATA/TEMP/DESKTOP] pCNlin.dll -- C:\Users\User\AppData\Local\pCNlin.dll -> KILLED
[APPDATA/TEMP/DESKTOP] rpchromebrowserrecordhelper.dll -- C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll -> KILLED

Entrees de registre: 1
[BLACKLIST DLL] HKCU\[...]\Run : Alirisigiha (rundll32.exe "C:\Users\User\AppData\Local\pCNlin.dll",Startup) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt


Merci de votre aide !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 avril 2011 à 16:27
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!

ensuite :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonjour,

Je vous remercie de votre aide. Le problème a été réglé. Je suis allé dans gestion de tache puis processus. Puis là j'ai juste arrêté le programme windows restore qui s'affichait avec une suite de chiffre. J'ai ensuite redémarré et je n'ai plus eu de messages d'alerte de Windows restore. Merci encore !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
14 avril 2011 à 14:07
c'toi qui vois.
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
Modifié par afideg le 14/04/2011 à 15:35
Effectivement, ça devient outrageant !
On les a lâchés des écoles avant les examens d'aptitude à poursuivre.
0