System restore et autres

lilou09200 -  
 g3n-h@ckm@n -
Bonjour,

Je suis sûrement dans le même cas de figure que le post précédent.
J'ai eu tout d'un coup plein d'icône qui sont apparus et j'ai une icône "System restore"
Par ailleurs mon antivirus Avira m'a détecté:

TR/FakeSysdef.A.1301
TR/FakeSysdef.A.1278
TR/Downloader.GEn

Je n'ai plus d'icône et plus Outlook.
Quand je vais dans démarrer il met que c'est vide.
Je pense que c'est cahé plutôt.

A titre d'info je suis sur Windows XP

Merci de votre aide.

96 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une infection présumée sur Windows XP est signalée : apparition soudaine d’icônes, icône System Restore, disparition d’Outlook et démarrage vide.
L’antivirus Avira détecte TR/FakeSysdef.A.1301, TR/FakeSysdef.A.1278 et TR/Downloader.GEn.
Les propositions de réponse privilégient des outils de nettoyage externes, notamment RogueKiller avec génération d’un rapport RKreport.txt et, si nécessaire, le renommage de l’exécutable.
Certaines interventions évoquent l’exécution d’un programme directement via Internet plutôt que téléchargé puis enregistré, des questions sur la lisibilité des rapports et des réflexions sur l’environnement Windows.
Enfin, des messages mentionnent des téléchargements potentiellement risqués (desk.exe via Dropbox) et la possibilité de désactiver l’antivirus.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharger sur le bureau RogueKiller
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide puis fais l'otion 6* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    1
  2. lilou09200
     
    RogueKiller V6.1.6 [01/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: FT [Droits d'admin]
    Mode: Suppression -- Date : 04/11/2011 09:34:35

    Processus malicieux: 0

    Entrees de registre: 0

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
    1. lilou09200
       
      J'ai lancé l'option 6 qui est en cours.
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ok

      faire ensuite pre scan comme indiqué en dessous
      0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    Copie ce lien dans ta réponse.
    0
  4. lilou09200
     
    Voici le second rapport:

    RogueKiller V6.1.6 [01/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: FT [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 04/11/2011 09:39:31

    Processus malicieux: 0

    Driver: [LOADED]

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 19 / Fail 0
    Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 10415 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [A:] \Device\Floppy0 -- 0x2 --> Skipped
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [G:] \Device\CdRom0 -- 0x5 --> Skipped
    [M:] \Device\LanmanRedirector\;M:000000000000efce\srvlp\taxpro -- 0x4 --> Skipped

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilou09200
     
    Je ne trouve pas parcourir sur www.cijoint.fr
    A quel endroit se trouve-t-il svp ?
    Puis-je réactiver mon antivirus ?
    Merci.
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport
    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    ............

    oui pour l'antivirus
    0
  8. lilou09200
     
    Voici le lien.

    http://pjjoint.malekal.com/files.php?id=e13s7b5w10t11y11v6o5x15b10o10x12l8y13u5h10c6r10x6e12
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Lance MalwareByte's Anti-Malware que tu possèdes déjà

    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
  10. lilou09200
     
    C'est vraiment une occupation à plein temps que vous avez.
    Bcp d'internautes seraient perdus sans votre aide.

    Voici le rapport:

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8081

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    04/11/2011 10:19:26
    mbam-log-2011-11-04 (10-19-26).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 255604
    Temps écoulé: 6 minute(s), 4 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    (sourire)

    encore des soucis ?
    0
  12. lilou09200
     
    Quand je vais dans Démarrer/Tous les programmes et que je choisis n'importe quel programme il me met (vide)...

    De plus je n'arrive pas à récupérer Outlook non plus.

    J'ai toujours cette foutue icône System Restore qui s'est mise en bas à droite de Démarrer dans la zone bleue.

    Merci.
    0
    1. lilou09200
       
      Même le fichier Outils Microsoft Office indique (vide) !!!
      0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________

    attrib::
    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    ........................

    2)

    Télécharge OTL de OLDTimer

    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    enregistre le sur ton Bureau.

    Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant tous les utilisateurs

    règle age du fichier sur "60 jours"

    dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"

    Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau ou C:\_OTL\Moved Files\la_date_et_l'heure.txt t

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      oublie ci joint et passe par http://pjjoint.malekal.com/
      0
    2. lilou09200
       
      Qu'entends-tu par icône ?
      Merci.
      0
    3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      sur ton bureau tu as des raccourcis sous forme d'icone (image miniature), prends celui que tu veux pour la manip
      0
  14. lilou09200
     
    Fichier Pre_Script.txt

    http://pjjoint.malekal.com/files.php?id=n7w9b5k96k7n15s15k65n14v11e15b15y6o13o9e9v11r12
    0
  15. lilou09200
     
    Fichier Extra.txt

    http://pjjoint.malekal.com/files.php?id=w7m14e8w6k12b13e13q14n14t10j9n11u65u14v14g11i7w6e12

    Fichier OLT.txt
    http://pjjoint.malekal.com/files.php?id=n7n11l10q7y8o1511o155y10g5x11l6w9m5n5l11d6z15g7
    0
  16. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
     
    Avez-vous bien eu les fichiers ?
    Cdlt.
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    oui oui je relisais...et je vois pas vraiment

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. lilou09200
       
      Comment me déconnecter de Malware ?
      Merci.
      0
    2. tant pis
       
      hello il est possible que ccleaner ait été passé au prealable ou un nettoyeur de fichiers temporaires autre , si c est le cas , c'est mort pour les raccourcis
      0
    3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      non attends

      ne fais pas combofix

      mais

      Lance RogueKiller en mode 7 (il n'apparait pas, c'est normal)
      * Lorsque l'index est demandé, tape ces nombres et valide à chaque nombre
      [241, 177, 160, 119, 73, 71, 45]
      * tape "quit" pour sortir une fois terminé
      * colle le rapport généré
      0
  18. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
     
    Je ne sais pas à quoi correspond "il est possible que ccleaner ait été passé au préalable" mais ce la me fait penser que j'avais le logiciel Ccleaner d'installé avec l'icône sur mon bureau et qu'elle a disparu...
    Cela veut-il dire quelque chose ?
    Merci.
    0
  19. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
     
    Il semble que j'ai un soucis.

    Je tape 241 et valide
    j'ai un bloc note que je ferme par la croix rouge en haut à droite
    j'ai un second bloc note que je ferme pareil
    j'ai un troisième bloc note que je ferme pareil
    Là je tape 177 puis valide
    Nouveau bloc note et je ferme pareil

    Puis message suivant dans le fond bleu:
    "SSDT Hooks
    Index a restaurer <ou "quit">
    Not a valid index
    Index a restaurer <ou"quit>

    Je ne sais opas si cela vous dit quelque chose ?
    0
    1. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
       
      Par ailleurs je remarque que j'ai sur le bureau une icône de la même couleur que celle de System Restore avec le nom "MBRCheck".
      Je ne l'avais pas avant tout cela.
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      Il n'y a aucun Hook SSDT, pas la peine de les fixer!

      EDIT: Le bug des bloc notes qui s'affchent à la suite sera corrigé.
      0
    3. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
       
      Je ne comprends pas très bien.
      Que voulez-vous dire par EDIT: Le bug des blocs notes qui s'affichent à la suite sera corrigé ?
      Merci.
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Cela veut dire que c'est un bug, et que ce sera corrigé dans la prochaine version :)
      Je laisse moment de grace reprendre avec toi
      0
    5. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
       
      C'est ce que j'avais compris mais je voulais une confirmation.
      Merci.
      0
  20. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    dernière chance sans trop de conviction

    fais donc combofix comme expliqué ici https://forums.commentcamarche.net/forum/affich-23565565-system-restore-et-autres#22

    pas besoin de déconnecter MBAM
    0
    1. lilou09200 Messages postés 220 Date d'inscription   Statut Membre Dernière intervention   1
       
      J'ai lancé combofix et vous tiens au courant.
      0
  21. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bof

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  • 1
  • 2
  • 3
  • 4
  • 5