Sujet Précédent Sujet Suivant

Rogue Windows Recovery

Coco -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

J'ai récemment subi les méfaits de Windows Recovery sur mon autre ordi portable (Vista 32 bits) qui soit dit en passant avait déjà chopé Windows Alert Security (ou quelque chose comme ça).
J'ai donc lancé RogueKiller en mode 2 et 6 (plusieurs fois), a priori le rogue ne se lance plus, mais il apparaissait encore dans certains répértoires, j'ai donc supprimé les fichiers que j'ai reconnu comme lui étant associé par contre je ne sais pas si j'ai tout trouvé. Je ne pense pas puisque tous mes raccourcis bureau ne sont pas revenus, ainsi que ceux de la barre de lancement rapide.
De plus, je ne peux accéder a certains fichiers de mon ordi, il semblerait que je ne soit pas reconnu en tant qu'administrateur.

Quelqu'un aurrait il une solution s'il vous plait?

Merci d'avance
A voir également:

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ok, c'est bon.
pour avast c'est normal
0
Réponse 22 / 39
coco
 
t'es sûr ??? parce que je peux rien joindre quand j'envoie des mails
et ça se produit depuis que j'ai instllé ce nouveau avast qui dit ne pas protéger mes mails entrants ni sortants
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Bizarre.
Si tu désactive la protection, tu peux mettre des pièces jointes?
0
Réponse 23 / 39
coco
 
Bon alors déjà j'ai récupéré mes icônes mais elles sont vides, je n'ai aucun documents dedans ... et le mode caché est décoché donc je ne sais pas trop ce que je peux faire.
en ce qui concerne les pièces jointes je ne peux rien faire, je ne peux rien joindre et je ne peux pas désactiver mon anti virus qui apparait déjà comme inactif ...bien qu'il empêche certains logiciels de fonctionner ...
0
Réponse 24 / 39
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Refait un Combofix, tu as probablement restauré l'infection
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
coco
 
j'ai lancé roguekiller et anti malware les deux n'ont rien trouvé. Je vais faire un combofix quan même et on verra. Mais si le problème persiste je fais quoi ? Parce que je n'arrive pas à accéder à mes dossiers et c'est galère !
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu as activé l'affichage des dossiers cachés?
0
Réponse 26 / 39
coco
 
J'ai fait ça et rien de change. Tous mes dossiers ont été déplacés et certains sont vraiment vides. Pour d'autres, j'ai retrouvé certains trucs mais à des endroits complètements incongrus. Combofix n'a rien donné. J'ai relancé tous les scan possible et RIEN. Mais ne pas pouvoir joindre de pièces dans mes mails c'est TRES problématique et en ces temps de travail intensif, me dire que je suis sur cette galère depuis 1semaine ça me donne envie de meutre !!!!
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Si c'est vraiment vide, c'est que c'est le cas...
0
coco
 
Oui mais mon dique dur n'a pas gagné en capacité de stockage, en théorie je n'ai pas perdue de fichiers si l'espace occupé sur mon disque est toujours le meme...je ne comprends pas trop.
De plus quand j'ouvre "documents récents" par exemple, mon ordinateur me dit "le lecteur ou la connexion réseau désigné par le raccourci "article" n'est pas disponible, vérifier que le disque est correctement inséré ou que la ressource réseau est disponible"
Mon disque peut il avoir été endommagé?
0
Réponse 27 / 39
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Regarde cette vidéo : https://www.youtube.com/watch?v=HgUmztlOhZ8

Quels dossiers sont vides?

0
coco
 
Je vois pas trop ce que tu veux que je fasse avec cette vidéo car nous avons fait ensemble toutes les démarches déjà (anti malware etc).
Les dossiers qui sont vides sont mes dicuments de fac dans lesquels il n'y a plus rien et sinon les icônes de mon bureau telles que "mes documents" ou encore le raccourci musique dans "démarrer" tout est vides. Pour avoir ces deux derniers il faut que je fasse directement une recherche tellement le chemin pour les retrouver est compliqué et je ne sais pas comment les remettre à leur place initiale.
Comment être sûre que mon ordi n'est plus infecté ? Car j'ai relancé malware il n'y avait rien mais le scan avast a détecté un truc
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
La vidéo (surtout la fin) montre quels raccourcis sont supprimés.
Tu as affiché les dossiers cachés? Si oui, alors les dossiers sont vraiment vides.
Tu as fait le Combofix comme demandé? j'aurais voulu le rapport
0
coco
 
en fait ça me met que la version est périmée pour combofix c'est pour ça que je n'ai pas refait le truc.
Et j'ai fais afficher tous les dossiers cachés, appliquer à tout l'ordi etc mais rien. Et le reste est déplacé mais bon c'est pas très grave et je ne peux toujours pas joindre de pièces dans mes mails
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
il faut faire Combofix, avec une version récente.
Normalement il doit la télécharger tout seul
0
coco
 
et bien ce n'est pas le cas. Quand je lance combofix, ça me met juste que l'analyse sera partielle parce que la version est périmée. du coup même dans le rapport ça commence par "analyse partielle" et après y a tout le blabla avec 0 fichiers infectés, 0 cachés etc etc T'as pas un lien pour une version plus récente ? Et combofix c'est vraiment le seul truc valable en cas de virus ? parce que la dernière fois il a pas tout détecté.
0
Réponse 28 / 39
coco
 
ComboFix 11-05-11.03 - Cécilia 12/05/2011 16:05:16.5.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2038.1103 [GMT 2:00]
Lancé depuis: c:\users\Cécilia\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-12 au 2011-05-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-12 12:29 . 2011-05-12 12:39 286720 ------w- c:\windows\Setup1.exe
2011-05-12 12:29 . 2011-05-12 12:38 73216 ----a-w- c:\windows\ST6UNST.EXE
2011-05-11 21:28 . 2011-04-07 12:01 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-05-11 15:56 . 2011-04-11 07:04 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{613D7347-9DE3-445D-B3F3-500232C98EE8}\mpengine.dll
2011-05-05 19:18 . 2011-05-10 12:03 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-05 19:18 . 2011-05-10 12:10 40112 ----a-w- c:\windows\avastSS.scr
2011-05-02 19:31 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-02 19:31 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-02 19:25 . 2011-05-02 19:25 -------- d-----w- c:\windows\system32\RK_Quarantine
2011-05-02 09:57 . 2011-05-12 14:17 -------- d-----w- c:\users\Cécilia\AppData\Local\temp
2011-05-02 08:23 . 2011-04-18 17:25 199304 ----a-w- c:\windows\system32\asw2D85.tmp
2011-05-02 08:20 . 2011-03-03 14:56 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2011-05-02 08:20 . 2011-03-03 13:01 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
2011-05-01 11:23 . 2011-05-01 11:23 -------- d-----w- c:\program files\AVAST Software
2011-05-01 11:22 . 2011-05-05 19:17 -------- d-----w- c:\programdata\AVAST Software
2011-05-01 10:29 . 2011-05-01 11:20 -------- d-----w- c:\program files\GridinSoft Trojan Killer
2011-05-01 09:32 . 2011-05-01 09:32 -------- d-----w- c:\program files\Enigma Software Group
2011-05-01 08:58 . 2011-05-01 08:58 -------- d-----w- c:\program files\Ad-Remover
2011-05-01 08:42 . 2011-05-01 08:42 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-04-12 22:32 . 2011-03-10 16:12 1136640 ----a-w- c:\windows\system32\mfc42.dll
2011-04-12 22:32 . 2011-03-10 16:12 1161728 ----a-w- c:\windows\system32\mfc42u.dll
2011-04-12 22:32 . 2011-02-18 13:31 304640 ----a-w- c:\windows\system32\drivers\srv.sys
2011-04-12 22:32 . 2011-02-18 13:31 146432 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-04-12 22:32 . 2011-02-18 13:31 102400 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-04-12 22:32 . 2011-03-02 14:49 86528 ----a-w- c:\windows\system32\dnsrslvr.dll
2011-04-12 22:32 . 2009-05-04 10:11 25088 ----a-w- c:\windows\system32\dnscacheugc.exe
2011-04-12 22:32 . 2011-03-03 12:53 2040832 ----a-w- c:\windows\system32\win32k.sys
2011-04-12 22:32 . 2011-03-03 15:00 738816 ----a-w- c:\windows\system32\inetcomm.dll
0
Réponse 29 / 39
coco
 
((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2008-03-25 21:36 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2008-04-12 09:45 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2008-03-25 21:37 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-10 11:59 . 2008-03-25 21:37 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2008-03-25 21:36 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-05-10 11:59 . 2008-04-12 09:45 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
2011-05-01 23:22 . 2011-05-01 23:22 0 ---ha-w- c:\users\Cécilia\AppData\Local\BIT60C.tmp
2011-03-03 14:56 . 2011-05-02 08:20 173056 ----a-w- c:\windows\apppatch\AcXtrnal.dll
2011-03-03 14:56 . 2011-05-02 08:20 459776 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2011-03-03 14:56 . 2011-05-02 08:20 2153984 ----a-w- c:\windows\apppatch\AcGenral.dll
2011-03-03 14:56 . 2011-05-02 08:20 541696 ----a-w- c:\windows\apppatch\AcLayers.dll
2011-02-24 20:06 . 2011-02-24 20:06 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-08-20 09:03 . 2009-08-20 09:03 9817600 ----a-w- c:\program files\openofficeorg31.msi
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
.
0
Réponse 30 / 39
coco
 
(((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2006-11-13 413696]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-03 39408]
"Connexion SFR 9props.exe"="c:\program files\Neuf\Kit\9props.exe" [2009-10-15 959808]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HWSetup"="\HWSetup.exe hwSetUP" [X]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
"NDSTray.exe"="NDSTray.exe" [BU]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"Skytel"="Skytel.exe" [2007-08-03 1826816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-11 180224]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
.
0
Réponse 31 / 39
coco
 
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 135664]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 135664]
R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-05-10 53592]
S2 VodafoneConnectorService;Vodafone Connector Service;c:\program files\Vodafone\Via The Phone\VodafoneConnectorService.exe [2009-08-12 233472]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys [2009-06-19 12032]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys [2009-06-19 10496]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys [2009-06-19 12928]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 15:47]
.
2011-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 15:47]
.
0
Réponse 32 / 39
coco
 
Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Cécilia\AppData\Roaming\Mozilla\Firefox\Profiles\jpsd8tkd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
0
Réponse 33 / 39
coco
 
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programdata\Mozilla\Firefox Extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
0
Réponse 34 / 39
coco
 
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
0
Réponse 35 / 39
coco
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-12 16:17
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i?????p_8S?A??8???'????????????
.
Recherche de fichiers cachés ...
.
.
C:\## aswSnx private storage
.
Scan terminé avec succès
Fichiers cachés: 1
0
Réponse 36 / 39
coco
 
------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-05-12 16:28:32
ComboFix-quarantined-files.txt 2011-05-12 14:28
ComboFix2.txt 2011-05-09 10:11
ComboFix3.txt 2011-05-06 07:36
ComboFix4.txt 2011-05-02 09:56
ComboFix5.txt 2011-05-12 14:02
.
Avant-CF: 21 827 235 840 octets libres
Après-CF: 21 693 063 168 octets libres
.
- - End Of File - - 3B7445F089D77710A183CFB21158275B
0
Réponse 37 / 39
coco
 
un petit coup de roguekiller pour compléter le tout

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Cécilia [Droits d'admin]
Mode: Suppression -- Date : 12/05/2011 16:45:25

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Cécilia [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 12/05/2011 16:46:46

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 16 / Fail 0
Mes documents: Success 3 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 28 / Fail 2

Termine : << RKreport[9].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt
0
Réponse 38 / 39
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
* Télécharge ZHPDiag
Capture

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: http://pjjoint.malekal.com/ et colle le lien dans la réponse
0
Réponse 39 / 39
coco
 
http://pjjoint.malekal.com/files.php?id=p9q10c9r5l9r15j8z9e5
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Il manque environ 90% du rapport :)
0
coco
 
ah bizarre j'ai posté tout ce que j'avais
0
barnitor
 
hello,

je suis également victime de Windows Recovery
J'ai installé Rogue killer.

Voici le rapport, que dois-je faire avant de passer à l'étape 2 ?

D'avance merci beaucoup !!!

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 21/05/2011 16:45:01

Processus malicieux: 0

Entrees de registre: 17
[SUSP PATH] HKCU\[...]\Run : R8388QA8U8 (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Nkr.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : MEXFxpGUVShIHWB (C:\Documents and Settings\All Users\Application Data\MEXFxpGUVShIHWB.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1004336348-1645522239-839522115-500[...]\Run : R8388QA8U8 (C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Nkr.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1004336348-1645522239-839522115-500[...]\Run : MEXFxpGUVShIHWB (C:\Documents and Settings\All Users\Application Data\MEXFxpGUVShIHWB.exe) -> FOUND
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\docume~1\admini~1\locals~1\temp\nks.exe -> FOUND
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\nlizya.exe -> FOUND
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\docume~1\admini~1\locals~1\temp\nkr.exe -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Relance en mode 2 (Suppression) puis en mode 6 et colle les rapports dans un nouveau sujet
0