Windows 7 Restore

hakkov Messages postés 30 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

J'ai attrapé ce virus ou malware (je ne sais pas exactement ce que c'est), nommé Windows 7 Restore.

Il m'a paralysé une grande partie du disque dur (fichiers introuvables). Impossible d'arrêter le processus via ctrl alt suppr.

J'ai donc lu sur un autre poste qu'il fallait utiliser RogueKiller pour arrêter le processus, mais j'avoue que je suis perdu ensuite (multitude de rapport).

Je sais que Xplode avait l'air de s'y connaître, donc je demande ton aide !

J'ai installé RogueKiller et exécuté le choix 6. Veux-tu que je poste un rapport ?

Merci d'avance,

Hakkov

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

L'infection Windows 7 Restore bloque une partie du disque et rend les fichiers introuvables, et empêche l'arrêt du processus via Ctrl+Alt+Suppr, compliquant l'accès et la récupération.
Des recommandations préconisent un diagnostic approfondi à l'aide de ZHPDiag (Nicolas Coolman), en installant l'outil, lançant le diagnostic, puis sauvegardant le rapport et partageant le lien.
La procédure passe ensuite par l'examen des éléments et leur nettoyage éventuel avec les rapports fournis, afin de vérifier les éléments suspects et rétablir un fonctionnement sain.
En cas de détection de composants lourds, il peut être nécessaire d'ouvrir en mode sans échec et de réaliser des nettoyages supplémentaires ou des restaurations système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonsoir,

    Peux-tu poster le rapport de RogueKiller ?
    0
  2. hakkov Messages postés 30 Statut Membre
     
    Bonsoir,

    Voici le rapport de RogueKiller. Il est bien plus succinct que quand j'ai lancé RogueKiller pour la première fois (ce matin). Entre temps, j'ai lancé une analyse antivirus complète + une analyse Spybot.

    Si ça ne te dérange pas, peux-tu me dire ce que tu regardes dans le rapport ?

    Merci d'avance.

    Cordialement,

    Hakkov

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 15/06/2011 21:31:33

    Processus malicieux: 1
    [SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 32 / Fail 1
    Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 1
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 6 / Fail 1
    Sauvegarde: [FOUND] Success 0 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [D:] \Device\CdRom1 -- 0x5 --> Skipped
    [E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
    [F:] \Device\HarddiskVolume5 -- 0x2 --> Restored
    [G:] \Device\CdRom2 -- 0x5 --> Skipped

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    Pas grand chose de probant dans le rapport.. On va faire un diagnostic complet :

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    0
  4. hakkov Messages postés 30 Statut Membre
     
    Cher Xplode,

    Encore merci de ton aide.

    Voici le rapport :

    https://www.cjoint.com/?AFqqVKqToYH

    STP, si ça ne te dérange pas, dis-moi ce que tu regardes dans ce rapport.

    Merci encore.

    A bientôt,

    Hakkov
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. hakkov Messages postés 30 Statut Membre
     
    Bonjour,

    Sans réponse depuis quelques temps, je formate mon disque dur.

    Merci

    cordialement,

    Hakkou
    0
  7. g3n-h@ckm@n
     
    salut tu n'as pas posté le bon rapport de roguekiller ^^

    c'est celui de l option 2 qu il fallait poster
    0
  8. hakkov Messages postés 30 Statut Membre
     
    Salut,

    Voici le rapport option 2 :

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 02/07/2011 15:02:06

    Processus malicieux: 2
    [SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED
    [RESIDUE] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

    Entrees de registre: 1
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX

    Fichier HOSTS:
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

    Mais j'aimerais faire un diagnostic complet également, car pas mal d'icones sont encore absentes, et mon menu démarrer est totalement changé.

    Merci
    0
  9. g3n-h@ckm@n
     
    ok fais l'option Proxy aussi avec roguekiller
    0
  10. hakkov Messages postés 30 Statut Membre
     
    voilà le rapport :

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Proxy RAZ -- Date : 02/07/2011 16:10:26

    Processus malicieux: 1
    [SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

    Entrees de registre: 1
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

    Termine : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

    Qu'est-ce que je fais ensuite ?

    Merci
    0
  11. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  12. hakkov Messages postés 30 Statut Membre
     
    J'ai lancé l'analyse, elle semble être terminée, mais mon bureau n'est pas réapparu. Seule une fenêtre de navigation "mes documents" s'est ouverte.

    Est-ce normal ? Combien de temps prend le scan habituellement ?

    Merci
    0
  13. g3n-h@ckm@n
     
    ok donc tu fais ctrl+alt+supp

    gestionaire des taches=> onglet fichier => nouvelle tache

    puis tape

    explorer
    0
  14. hakkov Messages postés 30 Statut Membre
     
    merci ça a marché.

    Voici le lien :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijCdh3mdV.txt

    peux-tu me dire ce qu'à cherché ce programme, et ce que tu regardes dans le rapport ?

    Merci
    0
  15. g3n-h@ckm@n
     
    je regarde tout ce qui peut poser probleme à ton systeme pour fonctionner comme il le faut

    les processus , fichiers , dossiers , clé de registre , etc

    ==============================

    desinstalle spybot search and destroy il est pourri
    desinstalle adobe reader 9

    ===============================

    fais glisser n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"=-

    folder::
    C:\ProgramData\.zreglib
    C:\ProgramData\Spybot - Search & Destroy

    Host::

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste le rapport qui s'ouvrira seul en fin de travail
    0
  16. hakkov Messages postés 30 Statut Membre
     
    les fenêtres noires s'ouvrent bien, mais après, je perds le bureau et rien ne se passe. J'ai donc exécuté explorer et renouvelé l'opération, mais là, j'ai un message d'erreur disant que prescript a cessé de fonctionner.

    Et donc pas de rapport.

    Que faire ?

    Merci

    PS : quand tu dis que spybot est "pourri", c'est qu'il était infecté ou que le logiciel en lui même est nul ?
    0
  17. g3n-h@ckm@n
     
    le logiciel est nul tu n'aurais pas du recommencer tu aurais du me le dire avant

    regarde si tu n'as pas pre_script.txt dans tes icones sur le bureau ou dans c:\
    0
  18. hakkov Messages postés 30 Statut Membre
     
    Ok, c'est noté.

    Voici le rapport :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : Administrateur (Administrateurs)
    Ordinateur : VAIO2
    Système d'exploitation : Windows 7 Professional (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 5.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 16:54:31

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    folder::
    C:\ProgramData\.zreglib
    C:\ProgramData\Spybot - Search & Destroy

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"=-

    attrib::

    Host::

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuéé

    ¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : Administrateur (Administrateurs)
    Ordinateur : VAIO2
    Système d'exploitation : Windows 7 Professional (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 5.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 17:01:35

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    folder::
    C:\ProgramData\.zreglib
    C:\ProgramData\Spybot - Search & Destroy

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"=-

    attrib::

    Host::

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuéé

    ¤

    Peux-tu me dire quelle type d'infection tu as détecté jusqu'ici ?

    Merci
    0
  19. g3n-h@ckm@n
     
    tu n'as pas laissé travailler pre_script jusqu'au bout
    0
  20. hakkov Messages postés 30 Statut Membre
     
    J'ai fait un nouvel essai, mais j'obtiens toujours le message d'erreur prescript a cessé de fonctionner.

    Que faire ?

    Merci d'avance
    0
  • 1
  • 2
  • 3