Windows 7 Restore

Fermé
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011 - 15 juin 2011 à 18:34
 Utilisateur anonyme - 6 juil. 2011 à 08:28
Bonjour,

J'ai attrapé ce virus ou malware (je ne sais pas exactement ce que c'est), nommé Windows 7 Restore.

Il m'a paralysé une grande partie du disque dur (fichiers introuvables). Impossible d'arrêter le processus via ctrl alt suppr.

J'ai donc lu sur un autre poste qu'il fallait utiliser RogueKiller pour arrêter le processus, mais j'avoue que je suis perdu ensuite (multitude de rapport).

Je sais que Xplode avait l'air de s'y connaître, donc je demande ton aide !

J'ai installé RogueKiller et exécuté le choix 6. Veux-tu que je poste un rapport ?

Merci d'avance,

Hakkov

A voir également:

50 réponses

Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 juin 2011 à 19:37
Bonsoir,

Peux-tu poster le rapport de RogueKiller ?
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
15 juin 2011 à 21:32
Bonsoir,

Voici le rapport de RogueKiller. Il est bien plus succinct que quand j'ai lancé RogueKiller pour la première fois (ce matin). Entre temps, j'ai lancé une analyse antivirus complète + une analyse Spybot.

Si ça ne te dérange pas, peux-tu me dire ce que tu regardes dans le rapport ?

Merci d'avance.

Cordialement,

Hakkov


RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/06/2011 21:31:33

Processus malicieux: 1
[SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 32 / Fail 1
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 1
Mes videos: Success 0 / Fail 0
Disques locaux: Success 6 / Fail 1
Sauvegarde: [FOUND] Success 0 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\CdRom1 -- 0x5 --> Skipped
[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[F:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[G:] \Device\CdRom2 -- 0x5 --> Skipped

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
16 juin 2011 à 16:12
Bonjour,

Pas grand chose de probant dans le rapport.. On va faire un diagnostic complet :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
16 juin 2011 à 16:48
Cher Xplode,

Encore merci de ton aide.

Voici le rapport :

https://www.cjoint.com/?AFqqVKqToYH

STP, si ça ne te dérange pas, dis-moi ce que tu regardes dans ce rapport.

Merci encore.

A bientôt,

Hakkov
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 14:25
Bonjour,

Sans réponse depuis quelques temps, je formate mon disque dur.

Merci

cordialement,

Hakkou
0
Utilisateur anonyme
2 juil. 2011 à 14:57
salut tu n'as pas posté le bon rapport de roguekiller ^^

c'est celui de l option 2 qu il fallait poster
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 15:03
Salut,

Voici le rapport option 2 :


RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 02/07/2011 15:02:06

Processus malicieux: 2
[SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED
[RESIDUE] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX

Fichier HOSTS:
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt


Mais j'aimerais faire un diagnostic complet également, car pas mal d'icones sont encore absentes, et mon menu démarrer est totalement changé.

Merci
0
Utilisateur anonyme
2 juil. 2011 à 16:10
ok fais l'option Proxy aussi avec roguekiller
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 16:11
voilà le rapport :

RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Proxy RAZ -- Date : 02/07/2011 16:10:26

Processus malicieux: 1
[SUSP PATH] googletalkplugin.exe -- c:\users\administrateur\appdata\local\google\google talk plugin\googletalkplugin.exe -> KILLED

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt



Qu'est-ce que je fais ensuite ?

Merci
0
Utilisateur anonyme
2 juil. 2011 à 16:12
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 16:28
J'ai lancé l'analyse, elle semble être terminée, mais mon bureau n'est pas réapparu. Seule une fenêtre de navigation "mes documents" s'est ouverte.

Est-ce normal ? Combien de temps prend le scan habituellement ?

Merci
0
Utilisateur anonyme
2 juil. 2011 à 16:31
ok donc tu fais ctrl+alt+supp

gestionaire des taches=> onglet fichier => nouvelle tache

puis tape

explorer
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 16:34
merci ça a marché.

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201107/cijCdh3mdV.txt

peux-tu me dire ce qu'à cherché ce programme, et ce que tu regardes dans le rapport ?

Merci
0
Utilisateur anonyme
2 juil. 2011 à 16:49
je regarde tout ce qui peut poser probleme à ton systeme pour fonctionner comme il le faut

les processus , fichiers , dossiers , clé de registre , etc

==============================

desinstalle spybot search and destroy il est pourri
desinstalle adobe reader 9


===============================

fais glisser n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

folder::
C:\ProgramData\.zreglib
C:\ProgramData\Spybot - Search & Destroy

Host::

attrib::

___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste le rapport qui s'ouvrira seul en fin de travail
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 17:05
les fenêtres noires s'ouvrent bien, mais après, je perds le bureau et rien ne se passe. J'ai donc exécuté explorer et renouvelé l'opération, mais là, j'ai un message d'erreur disant que prescript a cessé de fonctionner.

Et donc pas de rapport.

Que faire ?

Merci

PS : quand tu dis que spybot est "pourri", c'est qu'il était infecté ou que le logiciel en lui même est nul ?
0
Utilisateur anonyme
2 juil. 2011 à 17:43
le logiciel est nul tu n'aurais pas du recommencer tu aurais du me le dire avant

regarde si tu n'as pas pre_script.txt dans tes icones sur le bureau ou dans c:\
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 17:46
Ok, c'est noté.

Voici le rapport :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : VAIO2
Système d'exploitation : Windows 7 Professional (64 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 5.0 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 16:54:31

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

folder::
C:\ProgramData\.zreglib
C:\ProgramData\Spybot - Search & Destroy


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-


attrib::

Host::



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : VAIO2
Système d'exploitation : Windows 7 Professional (64 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 5.0 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 17:01:35

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

folder::
C:\ProgramData\.zreglib
C:\ProgramData\Spybot - Search & Destroy


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-


attrib::

Host::



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤


Peux-tu me dire quelle type d'infection tu as détecté jusqu'ici ?

Merci
0
Utilisateur anonyme
2 juil. 2011 à 18:10
tu n'as pas laissé travailler pre_script jusqu'au bout
0
hakkov Messages postés 28 Date d'inscription mardi 14 juin 2011 Statut Membre Dernière intervention 5 juillet 2011
2 juil. 2011 à 20:34
J'ai fait un nouvel essai, mais j'obtiens toujours le message d'erreur prescript a cessé de fonctionner.

Que faire ?

Merci d'avance
0
Utilisateur anonyme
3 juil. 2011 à 17:12
tu avais bien desinstallé spybot ?
0