Help : Eradiquer Virus "Windows XP Restore" Résolu

Question

Bonjour, 

J'ai été infecté par ce virus sur desktop, et n'ai pas tenté de cliquer sur leur bouton "Fix".
Probleme apparant :
- bureau sans icone avec croix rouge-blanc en bas à droite
- fenetre "Windows XP Restore" avec fausses alertes et incitation à cliquer
- acces au gestionnaire de taches impossible = désactivé
- je poste ce message depuis mon portable pro
- j'ai préparé une clé usb pour transferer les fichiers tests, mais je crains l'infection du portable par la clé
- config XP, DD 200GO avec 5 partitions
Merci d'avance pour votre aide

Configuration: Windows XP / Internet Explorer 7.0

benurrr · Answer

salut

télécharge

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer

athos69 · Answer

merci Benurrr,

je dois faire un break pour voir mon père malade, je serai de retour un peu tard ce soir pour faire les manips,
@+

athos69 · Answer

Bonjour Benurrr,

Tout d'abord merci beaucoup pour ton aide , il y a un progres mais ce n'est pas terminé, le PC parait désinfecté, mais seulement 3 icones sur le bureau et aucun programme dans le menu Demarrer.

me re-voici avec le résultat du scan mbam, ( je te remercie de m'expliquer si je m'y prends mal pour communiquersur ce forum, pas l'habitude...) :

Le scan mbam a d'abord été interrompu par une détection suivie d'un scan de Antivir, qui a généré le premier "rapport" 1/ ci dessous, celui de mbam 2/ suit plus bas :

1/Détections par Antivir

16/06/2011;19:38:14
Le fichier 'F:\System Volume Information\_restore{584BEEAD-D263-42B8-BFE3-700D692D6E44}\RP3198\A0036407.EXE'
 contenait un virus ou un programme indésirable 'SPR/HideWindows.I' [riskware].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d859b39.qua' !

16/06/2011;02:15:12
Le fichier 'F:\Softs 2011\Nouveau dossier\$OEM$\CMDOW.EXE'
 contenait un virus ou un programme indésirable 'SPR/HideWindows.I' [riskware].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5505d8e5.qua' !

20/06/2011;00:03:30
Dans le fichier 'C:\Documents and Settings\All Users\Application Data\ayLqFlcYVBLPHi.exe'
un virus ou un programme indésirable 'TR/FakeSysdef.A.1849' [trojan] a été détecté.
Action exécutée : Refuser l'accès

20/06/2011;00:18:33
Le fichier 'C:\Documents and Settings\All Users\Application Data\ayLqFlcYVBLPHi.exe'
 contenait un virus ou un programme indésirable 'TR/FakeSysdef.A.1849' [trojan].
Action(s) exécutée(s) :
L'entrée de registre <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ayLqFlcYVBLPHi> a été supprimée.
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cebd2bd.qua' !

20/06/2011;01:20:48
Le fichier 'C:\Documents and Settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\12\1187ad0c-2cc12a65'
 contenait un virus ou un programme indésirable 'JAVA/Dldr.Tharra.B' [virus].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '551f0fa9.qua' !

2/Détections par Malwarebytes :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6897

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

20/06/2011 02:42:18
mbam-log-2011-06-20 (02-42-18).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 275670
Temps écoulé: 1 heure(s), 1 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrateur\local settings\Temp\jar_cache7024881858970107949.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
d:\program files\smart projects\isobuster\ORI\keygen isobuster pro 2.x.x.x.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\softs 2009\removewga_removewga_1.2_anglais_21437.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
f:\softs 2011\removewga.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
f:\svd kingston\20090320 softs\20090411 softs\keygen isobuster pro 2.x.x.x.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\svd-200-sata\Charley\kkrieger.zl9 (Malware.Packer) -> Quarantined and deleted successfully.
f:\svd-200-sata\Charley\Droles\kkrieger.zl9 (Malware.Packer) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\42065700.exe (Trojan.Agent) -> Quarantined and deleted successfully.

benurrr · Answer

bonjour

? Télécharge ici : USBFIX sur ton bureau

http://www.teamxscript.org/usbfixTelechargement.html

branche tous tes périphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

? choisi l option Suppression

? UsbFix scannera ton pc , laisse travailler l outil.

? Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

? Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

athos69 · Answer

bonsoir,
je n'ai pas réussi à poster ma réponse ce matin avant d'aller bosser, le message d'erreur était "Titre du message non renseigné" ????
Nouvelle tentative ce soir :

voici le résultat du scan "usbfix" :

############################## | UsbFix 7.048 | [Suppression]

Utilisateur: Administrateur (Administrateur) # JRM [ ]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 08:52:20 | 21/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: "Titre du message non renseigné, erreur causée par adresse mail ???"

CPU: AMD Athlon(tm) 7750 Dual-Core Processor
CPU 2: AMD Athlon(tm) 7750 Dual-Core Processor
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | Updated]
RAM -> 3070 Mo 
C:\ (%systemdrive%) -> Disque fixe # 98 Go (79 Go libre(s) - 81%) [SYSTEM1] # NTFS
D:\ -> Disque fixe # 107 Go (107 Go libre(s) - 99%) [APPS] # NTFS
E:\ -> Disque fixe # 107 Go (75 Go libre(s) - 70%) [LOISIR] # NTFS
F:\ -> Disque fixe # 56 Go (19 Go libre(s) - 34%) [BUSINESS] # NTFS
G:\ -> Disque fixe # 98 Go (98 Go libre(s) - 100%) [SYSTEM2] # NTFS
H:\ -> CD-ROM
I:\ -> Disque fixe # 233 Go (135 Go libre(s) - 58%) [HD-PEU2] # FAT32
J:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-2025429265-1659004503-682003330-500
Supprimé! D:\Recycler\S-1-5-21-2025429265-1659004503-682003330-500
Supprimé! E:\Recycler\S-1-5-21-2025429265-1659004503-682003330-500
Supprimé! F:\Recycler\S-1-5-21-2025429265-1659004503-682003330-500
Supprimé! G:\Recycler\S-1-5-21-2025429265-1659004503-682003330-500
Supprimé! I:\Autorun.inf

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDesktop
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoSMHelp

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{02f53d3e-068c-11df-a48d-001fd09d53ba}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{172dc020-15d7-11df-a4a1-001fd09d53ba}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{35068a51-a627-11de-a3fc-001fd09d53ba}

################## | Listing |

[24/02/2009 - 09:08:40 | N | 0] 	C:\AUTOEXEC.BAT
[24/02/2009 - 09:53:41 | N | 224] 	C:\boot.ini
[24/08/2008 - 01:53:00 | N | 4952] 	C:\Bootfont.bin
[24/02/2009 - 09:08:40 | N | 0] 	C:\CONFIG.SYS
[24/02/2009 - 10:02:19 | N | 86] 	C:\csb.log
[24/02/2009 - 09:20:26 | D ] 	C:\Documents and Settings
[24/02/2009 - 09:08:40 | N | 0] 	C:\IO.SYS
[24/02/2009 - 09:08:40 | N | 0] 	C:\MSDOS.SYS
[24/08/2008 - 01:53:00 | N | 47564] 	C:\NTDETECT.COM
[24/08/2008 - 01:53:00 | N | 252240] 	C:
tldr
[21/06/2011 - 08:46:36 | ASH | 2145386496] 	C:\pagefile.sys
[20/06/2011 - 00:00:55 | D ] 	C:\Program Files
[21/06/2011 - 09:00:01 | SHD ] 	C:\RECYCLER
[24/02/2009 - 10:00:16 | N | 947] 	C:\RHDSetup.log
[08/05/2009 - 14:06:20 | N | 232] 	C:\sqmdata00.sqm
[21/07/2009 - 20:32:40 | N | 232] 	C:\sqmdata01.sqm
[23/07/2009 - 18:16:41 | N | 232] 	C:\sqmdata02.sqm
[29/07/2009 - 18:58:40 | N | 232] 	C:\sqmdata03.sqm
[29/07/2009 - 20:23:34 | N | 232] 	C:\sqmdata04.sqm
[31/07/2009 - 21:50:01 | N | 232] 	C:\sqmdata05.sqm
[04/08/2009 - 11:27:49 | N | 232] 	C:\sqmdata06.sqm
[04/08/2009 - 11:34:28 | N | 232] 	C:\sqmdata07.sqm
[13/08/2009 - 14:55:43 | N | 232] 	C:\sqmdata08.sqm
[05/12/2009 - 21:56:08 | N | 232] 	C:\sqmdata09.sqm
[10/03/2010 - 11:39:32 | N | 232] 	C:\sqmdata10.sqm
[10/03/2010 - 11:40:29 | N | 232] 	C:\sqmdata11.sqm
[10/03/2010 - 11:46:38 | N | 232] 	C:\sqmdata12.sqm
[10/03/2010 - 12:45:51 | N | 232] 	C:\sqmdata13.sqm
[12/03/2010 - 11:20:14 | N | 232] 	C:\sqmdata14.sqm
[24/06/2010 - 13:38:47 | N | 232] 	C:\sqmdata15.sqm
[24/06/2010 - 13:42:35 | N | 232] 	C:\sqmdata16.sqm
[08/05/2009 - 14:06:20 | N | 244] 	C:\sqmnoopt00.sqm
[21/07/2009 - 20:32:40 | N | 244] 	C:\sqmnoopt01.sqm
[23/07/2009 - 18:16:41 | N | 244] 	C:\sqmnoopt02.sqm
[29/07/2009 - 18:58:40 | N | 244] 	C:\sqmnoopt03.sqm
[29/07/2009 - 20:23:34 | N | 244] 	C:\sqmnoopt04.sqm
[31/07/2009 - 21:50:01 | N | 244] 	C:\sqmnoopt05.sqm
[04/08/2009 - 11:27:49 | N | 244] 	C:\sqmnoopt06.sqm
[04/08/2009 - 11:34:28 | N | 244] 	C:\sqmnoopt07.sqm
[13/08/2009 - 14:55:43 | N | 244] 	C:\sqmnoopt08.sqm
[05/12/2009 - 21:56:08 | N | 244] 	C:\sqmnoopt09.sqm
[10/03/2010 - 11:39:32 | N | 244] 	C:\sqmnoopt10.sqm
[10/03/2010 - 11:40:29 | N | 244] 	C:\sqmnoopt11.sqm
[10/03/2010 - 11:46:38 | N | 244] 	C:\sqmnoopt12.sqm
[10/03/2010 - 12:45:51 | N | 244] 	C:\sqmnoopt13.sqm
[12/03/2010 - 11:20:14 | N | 244] 	C:\sqmnoopt14.sqm
[24/06/2010 - 13:38:47 | N | 244] 	C:\sqmnoopt15.sqm
[24/06/2010 - 13:42:35 | N | 244] 	C:\sqmnoopt16.sqm
[24/02/2009 - 09:20:24 | SHD ] 	C:\System Volume Information
[21/06/2011 - 09:00:01 | D ] 	C:\UsbFix
[21/06/2011 - 09:00:18 | A | 1813] 	C:\UsbFix.txt
[11/04/2011 - 22:22:07 | D ] 	C:\WINDOWS
[21/03/2009 - 12:36:42 | D ] 	D:\Microsoft Office
[15/01/2010 - 02:01:31 | D ] 	D:\Program Files
[21/06/2011 - 09:00:01 | SHD ] 	D:\RECYCLER
[24/02/2009 - 09:49:36 | SHD ] 	D:\System Volume Information
[22/08/2009 - 02:18:43 | D ] 	E:\GoldWave
[21/10/2009 - 22:18:05 | D ] 	E:\Guitar Pro 5
[21/03/2009 - 12:32:13 | RHD ] 	E:\MSOCache
[19/03/2011 - 18:31:02 | D ] 	E:\PHOTOS
[09/01/2011 - 01:08:25 | D ] 	E:\PhotoStuff04022006
[22/08/2009 - 01:59:49 | D ] 	E:\Quick Media Converter
[21/06/2011 - 09:00:01 | SHD ] 	E:\RECYCLER
[24/02/2009 - 09:49:36 | SHD ] 	E:\System Volume Information
[08/07/2010 - 01:11:37 | D ] 	E:\Vsk5Online_setup
[30/04/2011 - 19:25:13 | D ] 	E:\ZIK
[03/02/2010 - 02:42:39 | D ] 	F:\@PROG2008
[21/04/2009 - 23:00:55 | D ] 	F:\Amex
[07/09/2009 - 22:54:03 | D ] 	F:\Backup Profils Firefox
[02/01/2010 - 02:46:22 | D ] 	F:\BUSINESS
[09/04/2011 - 18:00:38 | D ] 	F:\CA
[20/05/2011 - 15:50:31 | D ] 	F:\CE
[19/01/2006 - 03:47:02 | N | 25088] 	F:\Descriptif succinct du connecteur CMS.doc
[08/01/2011 - 14:06:55 | D ] 	F:\English Slang
[14/04/2009 - 02:20:47 | D ] 	F:\Imprimante
[20/05/2011 - 16:10:30 | D ] 	F:\J-R
[20/06/2009 - 02:17:49 | D ] 	F:\Jobortunities
[21/06/2011 - 09:00:01 | SHD ] 	F:\RECYCLER
[04/04/2009 - 22:05:44 | N | 291337810] 	F:\SalaiseSurSanne.MOV
[20/03/2011 - 03:16:20 | D ] 	F:\SOFTS 2009
[09/01/2011 - 03:15:35 | D ] 	F:\Softs 2010
[02/05/2011 - 00:48:10 | D ] 	F:\Softs 2011
[20/08/2009 - 01:38:45 | D ] 	F:\SVD Kingston
[09/01/2011 - 02:10:48 | D ] 	F:\SVD-200-SATA
[24/02/2009 - 09:49:36 | SHD ] 	F:\System Volume Information
[18/10/2009 - 12:59:44 | N | 2176] 	F:\ZbThumbnail.info
[21/06/2011 - 09:00:01 | SHD ] 	G:\RECYCLER
[24/02/2009 - 09:49:36 | SHD ] 	G:\System Volume Information
[20/01/2009 - 00:08:02 | N | 6212] 	G:\wdfmgr1.txt
[01/06/2009 - 02:34:28 | D ] 	I:\SVD T43
[10/11/2008 - 18:58:48 | N | 218416] 	I:\MobileLaunch.exe
[30/10/2008 - 13:57:58 | N | 92] 	I:\MobileLaunch.ini
[23/03/2009 - 10:05:20 | D ] 	I:\APP
[23/03/2009 - 10:05:38 | D ] 	I:\BUFFALO Mobile Launcher
[23/03/2009 - 10:05:40 | D ] 	I:\DATA
[23/03/2009 - 10:05:40 | D ] 	I:\MAC
[31/05/2009 - 21:05:54 | SHD ] 	I:\System Volume Information
[31/05/2009 - 21:11:20 | SHD ] 	I:\Recycled
[19/06/2011 - 18:14:02 | D ] 	I:\20110618 HOME BACKUP

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
I:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

benurrr · Answer

désactive ton antivirus  
désactive Windows defender si présent  
désactive ton pare-feu  

Ferme toutes tes applications en cours  

télécharge et enregistre ceci sur ton bureau :  

Pre_Scan  

http://dl.dropbox.com/u/21363431/Pre_scan.exe  

mirroir :  

http://www.archive-host.com  

s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau  

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.  

une fois télécharge lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.  

si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"  

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr  

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler  

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan  

           NE LE POSTE PAS SUR LE FORUM (il est trop long)  

clique sur ce lien : http://www.cijoint.fr/  

 Clique sur Parcourir et cherche le fichier ci-dessus.  

 Clique sur Ouvrir.  

 Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt  

est ajouté dans la page.  

 Copie ce lien dans ta réponse.   

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,  
Mais C.. de penser que ­tu es libre...Merci a australe13

athos69 · Answer

Bonsoir,

voici le lien du fichier pre-scan.txt :

http://www.cijoint.fr/cjlink.php?file=cj201106/cij3qqQTnO.txt 

Petite remarque : je fais ces manips avec mon cable réseau débranché pour ne pas etre pollué, mais Pre-scan dit avoir téléchargé les fichiers absents qu'il a remplacés = ????

merci,

g3n-h@ckm@n · Answer

salut pour avancer :  

tu les as telechargé par le wifi les fichiers :D  

[wzcsvc] | Start : 2 : Actif  

====================================  

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre  

selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance  :  
___________________________________________________  
file::  
C:\Documents and Settings\All Users\Application Data\hpe12.dll        

Registry::  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"RTHDCPL"=-  
"Alcmtr"=-  
"GEST"=-  
"SSBkgdUpdate"=-  
"QuickTime Task"=-  
"SunJavaUpdateSched"=-  

Host::  

attrib::  
___________________________________________________  

copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau  

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte   

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail   
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

athos69 · Answer

Bonjour Gen,

et merci beaucoup à toi Benurrr pour ton aide -

- je télécharge effectivement par wifi depuis mon portable pro

- je n'ai pas compris la ligne ci dessous ni ce qu'il faut en faire, donc j'ai skippé: 
[wzcsvc] | Start : 2 : Actif 

- Pre-script.exe s'est lancé tout seul en enregistrant pre-scan.txt, ce qui fait que je n'ai pas eu le temps de désactiver Antivir !
      - Pre-script a tourné très longtemps en réallocation ce matin, je suis parti bosser en le laissant tourner, jusqu'à ce soir ou il tournait encore, en boucle je pense.
Je l'ai arreté proprement avec les commandes de son icone dans la barre des taches, il n'a donc pas généré de rapport !

- Il a régénéré les icones du bureau (toutes je pense) et les programmes du menu Démarrer (sous un nouveau sous-menu Programmes)

merci de ton conseil -

g3n-h@ckm@n · Answer

la ligne c'était justement pour te dire que c'est pas le wifi qu'a telechargé les fichiers pre_scan

Pre-script.exe s'est lancé tout seul en enregistrant pre-scan.txt, ce qui fait que je n'ai pas eu le temps de désactiver Antivir !

???????? pas compris

athos69 · Answer

pardon je me suis mal exprimé :

- j'ai lancé pré-script, puis copié le texte comme il faut sans les ligne, et enregistré, 
et à l'enregistrement le programme de réallocation s'est lancé.

J'aurais du désactiver Antivir avant, mais je ne sais pas s'il y a un lien avec le fait qu'il tournait en boucle

-la ligne c'était justement pour te dire que c'est pas le wifi qu'a telechargé les fichiers pre_scan
je ne suis pas sur de comprendre, dois-je me connecter avec un cable réseau ?

g3n-h@ckm@n · Answer

non j'ai mal écrit ^^

la ligne c'était justement pour te dire que c'est par le wifi que Pre_Scan telechargé les fichiers 

================================

tes documents sont-ils tous présentss ?

athos69 · Answer

oui, je n'ai pas détecté de manquants sur toutes les partitions

il me manque les raccourcis da la barre de lancement rapide

il y a une icone nommée "Windows XP Restore" sur le bureau, je n'y ai pas touché

g3n-h@ckm@n · Answer

donc la reattribution a été stoppée avanT....

regarde si tu as C:\Pre_script.txt

athos69 · Answer

oui la reattribution a été stoppée ce soir, je suis sûr à 95% qu'elle tournait en boucle, sans se terminer...

J'ai bien C:\Pre_script.txt, enregisté à 08:42 ce matin : contenu ci dessous :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : JRM
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 08:42:24

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

attrib::


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

supprime ce rapport et pre_script , puis prends celui-ci et refais la manip avec :

http://dl.dropbox.com/u/21363431/Pre_Script.exe

athos69 · Answer

je ne peux pas accéder à la page , peux tu confirmer le lien stp ?

g3n-h@ckm@n · Answer

oui chez moi il fonctione

athos69 · Answer

OK c'est parti, avec Antivir désactivé - ça risque d'être long...

(j'ai du ouvrir une nouvelle page I.E pour accéder au lien)

-autre remarque, j'ai eu un message d'erreur de corbeille endommagée en supprimant pré_script avec clic droit, mais pas avec touche DEL.
Pourtant, ma corbeille est vide d'apres l'explorer, je ne vois aucun fichier supprimé ????

g3n-h@ckm@n · Answer

ca arrive on la reparera ensuite

athos69 · Answer

OK

la réattribution semble avoir repris (je crois) à l'endroit où je l'ai arretée, = même partition\même gros répertoire plein de fichiers (partitions-tablatures de gratte), et elle avance plus lentement qu'au démarrage...

g3n-h@ckm@n · Answer

si y a beaucoup de fichier ca prends un moment oui mais ca prendra certainement pas des heures

athos69 · Answer

le clignotement de la barre de progression pre_script bat à la seconde (bcp moins vite qu'en début de scan)

le gestionnaire de taches me donne 50% d'utilisation de l'UC,
presque zéro du fichier d'échange
le DD ne travaille pas

ok, je vais attendre encore un peu avant d'aller dormir...

athos69 · Answer

Bonjour, et merci de ton aide très appréciable - 

voici le résultat de pre_script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : JRM
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 01:07:38

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

attrib::


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Disques externes : 75404 Objets réattribués
Disque Local : 5 Objets réattribués
Utilisateurs : 0 Objets réattribués
ProgramFiles : 16 Objets réattribués
Music : 0 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 0 Objets réattribués
Windows : 136 Objets réattribués
StartMenu : 0 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués

¤

Fin : 02:35:20

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

bon apparement tu as tout recupéré non ?

athos69 · Answer

Bonjour,

oui apparement ça a l'air bon, quelques points restent cependant à règler :

- manque icone/lien "bureau" dans la barre de lancement rapide, seul celui de MBAM est présent (les autres je peux les recréer facilement)

- puis-je effacer l'icone Windows XP Restore sur le bureau, il n'y a apparement plus l'executable ciblé par le lien = C:\documents and settings\all users\application data\42065700.exe

- la corbeille n'affiche plus son contenu, message comme quoi elle est endommagée, propriétés = lecture seule; caché

-quelle protection conseilles tu en parallele avec Antivir gratuit ? MBAM ?

g3n-h@ckm@n · Answer

hello on va y aller par étape : 

pour ton bureau dans la barre de lancement rapide : 

demarrer/executer , puis colle ca dedans : 

"%Appdata%\Microsoft\internet Explorer\Quick Launch" 

avec les guillemets....y'a-t-il un fichier bureau.scf dans le dossier qui s'ouvre apres avoir validé ?? 
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

athos69 · Answer

Non, la fenetre Quick Launch ne contient que le raccourci MBAM

Je suis désolé mais je dois aller bosser, OK ce soir ?

g3n-h@ckm@n · Answer

ok signale-toi je ferai passer un fichier comme je t'ai dit pour le faire reapparaitre dans ta barre des taches :)

athos69 · Answer

OK, merci bien et bonne journée -

athos69 · Answer

Hello gen, back from work !

OK pour toi ?

g3n-h@ckm@n · Answer

yes je demarre la VM sous XP et je t'envoie ca :)

athos69 · Answer

ok super, merci -

g3n-h@ckm@n · Answer

telecharge ca et mets-le sur ton bureau :

http://dl.dropbox.com/u/21363431/fichiers/Bureau.scf

ensuite :

demarrer/executer  , puis tape (guillemets compris) :

"%AppData%\Microsoft\Internet Explorer\Quick Launch"

puis valide

ensuite un dossier va s'ouvrir , tu y glisses le fichier que je t'ai fait mettre sur le bureau

puis tu fermes tout :)

athos69 · Answer

OK nickel pour ça -

g3n-h@ckm@n · Answer

le coup de la poubelle endommagée c'est toujours d'actualité ?

athos69 · Answer

oui, les propriétés paraissent OK,

je n'ai plus le message de corbeille endommagée, mais je ne retrouve plus ce qui est jeté,

 le dossier "corbeille" reste vide

les dossiers "recycler" de chaque partition contienent un dossier "S-1-5-21 etc..avec environ 35 chiffres

g3n-h@ckm@n · Answer

salut 

c'est normal ce sont les raccourcis corbeilles de peripheriques :)

athos69 · Answer

Salut g3n,

- La corbeille ne me laisse voir qu'un répertoire de photos (10 copies) que j'ai effacé,  mais aucun fichier effacé 

- à l'explorateur ou avec file manager Frigate, ce répertoire affiche 0 octect 

*l'option de suppression directe dans les propriétés Corbeille n'est pas activée

- j'ai donc essayé d'effacer à nouveau des copies de répertoires et fichiers, y compris en augmentant la capacité de la corbeille à 20% de l'espace disque :

* résultat = ni répertoire ni fichier effacés visibles, dont restaurables

merci bcp de m'aider à finir de résoudre ce pb, le reste va apparement bien

g3n-h@ckm@n · Answer

je ne comprends pas ce que tu cherches

athos69 · Answer

je veux réparer ma corbeille pour pouvoir restaurer un fichier effacé par erreur

g3n-h@ckm@n · Answer

ah tu ne pourras jamais comme ca il faut utiliser le logiciel Recuva 

par contre si c'est des keygens que tu veux recuperer là ce sera impossible

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

athos69 · Answer

non on ne s'est pas compris !!!

* ma corbeille ne marche plus, tout simplement, suite à l'attaque "windows XP restore"
qd tu mets un fichier dedans tu ne le vois pas, je veux donc la réparer

g3n-h@ckm@n · Answer

et si tu affiches les fichiers cachés meme chose ?

athos69 · Answer

oui c'est pareil, et je les affiche tjrs

g3n-h@ckm@n · Answer

essaie ca :

Clique sur Démarrer/Programmes/Accessoires puis clique droit sur Invite de commandes et choisis Exécuter en tant qu'administrateur.

    Dans la fenêtre noire copie-colle la commande suivante:

        rd /s /q C:\$Recycle.bin



    Cette commande va réinitialiser la corbeille de ta partition système C:.
    Si tu as d'autres partitions sur ton disque dur, tu dois réinitialiser la corbeille pour chacune de ses partitions.
    Par exemple si tu as une autre partition D: sur ton disque dur, tu dois lancer aussi la commande suivante:

        rd /s /q D:\$Recycle.bin

athos69 · Answer

le fichier spécifié est introuvable

g3n-h@ckm@n · Answer

tu fais bien clic droit "executer en tant qu'administrateur" ?

athos69 · Answer

il me jette en temps que administrateur, je ne peux le faire qu'en temps que "JRM\Administrateur", ma session actuelle.

message d'erreur: 

restriction de compte admin.., raison possible mot de passe vide ...

g3n-h@ckm@n · Answer

tu le vois ce dossier ?

C:\$Recycle.bin

athos69 · Answer

non, pas trace

g3n-h@ckm@n · Answer

tape ca dans la fenetre noire :

dir c:\>>%Userprofile%\Desktop\a.txt

ouvre a.txt qui sera sur ton bureau puis poste son contenu

athos69 · Answer

acces refusé

g3n-h@ckm@n · Answer

??? tu peux faire une capture d'écran de C:\ ?

athos69 · Answer

voici la capture d'ecran :

http://www.cijoint.fr/cjlink.php?file=cj201106/cij8DY9WB0.jpg

g3n-h@ckm@n · Answer

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
list::
C:\           
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

athos69 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : JRM
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 16:05:37

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

list::
C:\


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\AUTOEXEC.BAT
C:\Autorun.inf
C:\boot.ini
C:\Bootfont.bin
C:\CONFIG.SYS
C:\csb.log
C:\Documents
C:\Documents and Settings
C:\IO.SYS
C:\Kill'em
C:\MSDOS.SYS
C:\NTDETECT.COM
C:\ntldr
C:\pagefile.sys
C:\Pre_script.txt
C:\Program Files
C:\RECYCLER
C:\RHDSetup.log
C:\sqmdata00.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmdata03.sqm
C:\sqmdata04.sqm
C:\sqmdata05.sqm
C:\sqmdata06.sqm
C:\sqmdata07.sqm
C:\sqmdata08.sqm
C:\sqmdata09.sqm
C:\sqmdata10.sqm
C:\sqmdata11.sqm
C:\sqmdata12.sqm
C:\sqmdata13.sqm
C:\sqmdata14.sqm
C:\sqmdata15.sqm
C:\sqmdata16.sqm
C:\sqmnoopt00.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
C:\sqmnoopt03.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt05.sqm
C:\sqmnoopt06.sqm
C:\sqmnoopt07.sqm
C:\sqmnoopt08.sqm
C:\sqmnoopt09.sqm
C:\sqmnoopt10.sqm
C:\sqmnoopt11.sqm
C:\sqmnoopt12.sqm
C:\sqmnoopt13.sqm
C:\sqmnoopt14.sqm
C:\sqmnoopt15.sqm
C:\sqmnoopt16.sqm
C:\System Volume Information
C:\UsbFix
C:\UsbFix.txt
C:\WINDOWS

¤


explorer.exe -> Processus redémarré

Fin : 16:05:37

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

effectivement 

bon on va essayer de le recréer 

selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance  : 
___________________________________________________ 
Command:: 
md C:\$Recycle.bin 
attrib +HS C:\$Recycle.bin           
___________________________________________________ 

copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau 

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte   
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

athos69 · Answer

voici, je dois faire un break un moment, merci et à plus tard -

*le répertoire recycle.bin est céé -

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : JRM
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 16:51:52

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

Command::
md C:\$Recycle.bin
attrib +HS C:\$Recycle.bin 


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fichier Batch executé

¤


explorer.exe -> Processus redémarré

Fin : 16:51:52

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok tu essaieras ta corbeille :)

athos69 · Answer

Hello g3n,

* ma corbeille ne mache pas sur C:\, elle marche sur les autres partitions, voir capture d'écran , aucun fichier supprimésur c:\  n'apparait dans la corbeille :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijEdqC41j.jpg

g3n-h@ckm@n · Answer

redemarre le pc et fais un imprim écran de C:\

athos69 · Answer

Voici la copie d'écran :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijFyJ8olk.jpg

g3n-h@ckm@n · Answer

refais PRe_script avec ca dedans : 

___________________________________ 
Command:: 
attrib +H +S "C:\$Recycle.bin" 
____________________________________ 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

athos69 · Answer

voici le contenu de pre-script.txt :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Administrateur (Administrateurs)
Ordinateur : JRM
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 01:58:02

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

Command::
attrib +H +S "C:\$Recycle.bin" 


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fichier Batch executé

¤


explorer.exe -> Processus redémarré

Fin : 01:58:02

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

donc ta corbeille est en caché maintenant

athos69 · Answer

je ne vois pas les attributs dans les proprietes de la corbeille

je vois tjrs les fichiers supprimés des autres partitions, sauf c:\

que dois je faire now ?

athos69 · Answer

pardon je confirme, 

sur C: comme les autres lecteurs, le répertoire Recycler et le fichier S-1-5-21.... sont en caché-

mais corbeille c: tjrs vide

est ce que le fichier S-1-5-21... de c: pourrait etre corrompu ?

est-il remplaçable par celui d'une autre partition ?

g3n-h@ckm@n · Answer

non

athos69 · Answer

what next ?

g3n-h@ckm@n · Answer

et quand tu rentres dans la corbeille par l icone de ton bureau en double cliquant tu as quoi ?

athos69 · Answer

l'explorateur s'ouvre montrant les fichiers supprimé de chaqhue lecteur, sauf ceux de c: !

g3n-h@ckm@n · Answer

bizarre ca !!!!

faudrait supprimer toutes les corbeilles pour les reinitialiser alors comme dit sur le lien...

athos69 · Answer

je viens de percuter sur un point :

cet apresmidi Antivir guard a détecté un probleme sur Autorun.inf que je n'ai pas compris, et ce quel que soit le lecteur sur lequel je selectionne le répertoire Autorun.inf

de plus, ce répertoire sur chaque lecteur contient le meme fichier lpt1.usbfix, je trouve ça bizarre !

enfin, c'est ce lien qui m'a mis la puce à l'oreille, qu'en penses tu ?

http://www.techpavan.com/2009/01/10/recycler-autorun-virus-removal-instructions/

athos69 · Answer

j'ai oublié de t'envoyer une capture d'écran :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijAHTJqjB.jpg

mais on ne voit pas la fenetre de guard qui dit : Autorun bloqué

g3n-h@ckm@n · Answer

ce sont les vaccins posés par usbfix

athos69 · Answer

OK, je te propose un night break, mort je suis

g3n-h@ckm@n · Answer

nous reposer nous devons....demain meilleure la journée sera ^^

athos69 · Answer

Bonsoir g3n, j'espere meilleure journée tu as eu !

j'ai lancé un scan complet Antivir pendant la nuit, il m'a trouvé un cheval de troie : Tr/Trash.Gen qui trainait un peu partout.

voici un fichier récap avec 3 screenshots au bout du lien, qui représentent :

* les détections par antivir page 1
*le résumé antivir page 2
*et une menace de formattage disque page 3 lors d'un clic droit sur un lien d'un site de pieces détachées tondeuse !!!

je ne sais pas si c'est lié, voici le fichier :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijXcq3BYI.pdf

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

athos69 · Answer

j'utilise Antivir, pas AVG, faut -il désinstaller Antivir où le désactiver et l'empecher de démarrer automatiquement au reboot ? (je ne vois pas d'option de démarrage auto ou pas)

s'il faut le désinstaller, comment faire ?

merci

g3n-h@ckm@n · Answer

non desactive le guard juste

athos69 · Answer

scan bien passé, je ne peux pas poster le rapport de Combofix, (message de sujet non renseigné ), donc voici le lien -

http://www.cijoint.fr/cjlink.php?file=cj201106/cijvN1e4RN.txt

je pense que l'analyse peut etre un peu longue, je dois aller dormir pour bosser tôt, merci bien de ton aide et à bientot -

g3n-h@ckm@n · Answer

bon ce windows n'est pas légitime on arrivera à rien

athos69 · Answer

bonsoir g3n,

j'ai eu 2 jours absent en déplacement pro, 

* le passage de Combofix a été bénéfique, merci, j'ai retrouvé ma corbeille apres redémarrage

* que faut-il faire maintenant pour terminer ta réparation stp ?

g3n-h@ckm@n · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

athos69 · Answer

désolé, je ne trouve pas le rapport de Purera !

ni fichier ouvert automatiquement, ni dans C:, ???

NB : sous XP sans MDP, je ne peux pas le lancer en temps qu'admin

g3n-h@ckm@n · Answer

pas grave fais la suite :)

athos69 · Answer

voici le rapport Delfix :

# DelFix v8.1 - Rapport créé le 01/07/2011 à 02:05
# Mis à jour le 20/06/11 à 19h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - JRM (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\Qoobox
Supprimé : C:\USBFix

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Administrateur\Bureau\UsbFix.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1479 octets] ##########

g3n-h@ckm@n · Answer

ok :)

athos69 · Answer

Salut g3n,  

voila j'ai terminé le nettoyage et la sécurisation de mon PC selon tes conseils,  

je te remercie beaucoup pour ton aide très PRO et ta disponibilité, good job !  

** une simple derniere question sur ton conseil :[1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware]   

???? quel antispy conseilles tu avec Antivir + Online Armor STP ?  

je mets le topic en résolu maintenant, merci encore et à "pas trop" bientot !!! 

!!! je n'ai PAS LA MAIN pour mettre le topic en Résolu, peux tu le faire ???

g3n-h@ckm@n · Answer

je n'ai plus la main non plus car j'ai volontairement régréssé mon statut sur ce site      :)

faut cliquer sur signaler et tu expliques 

Mawlwarebytes est très bien Mise à jour + scan rapide tous les jours et tu es tranquille :)

benurrr · Answer

hello

bien jouer gen

c'est fait

athos69 · Answer

Hello Benurrr,

Merci beaucoup aussi pour ta prise en charge et ton aide au début, et pour le final !!!

A bientot, tres sympas les gars :)

Help : Eradiquer Virus "Windows XP Restore" - Page 3

Newsletters