Votre question

Disparition points de restauration

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Janvier 2010 18:57:45

Bonjour,

Voila, j'ai recu un virus hier je crois bien. Mon dosser "Mes documents" et tout son contenu (20Go) à été supprimé.

Vu que j'avais activer la restauration, je décide d'aller restaurer, sauf que la je vois que tout mes points ont disparus ! et que dans les paramètres de la restauration du système, je vois que le virus m' a cocher le bouton "Desactiver la restauration du systeme" J'ai alors ré-activer, mais les points antérieure n'apparaissent pas !!! La restauration est elle stockée sous forme de fichier ?

SVP, <gras><souligne>Est-il possible et dans ce cas comment retrouver mes points de restaurations ?</souligne></gras>


Merci... c'est important.

Autres pages sur : disparition points restauration

13 Janvier 2010 20:56:32

Bonsoir
avant de faire quoi que ce soit comme manip, j'aimerais que tu essaies de récupérer tes données avec un CD Live, voici un tuto:
http://www.malekal.com/RecuperationDonnees.php

puis:

1

Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    2

  • Télécharge Catchme ([#ff0000]Gmer[/#f]) sur ton Bureau.
  • Double clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton bureau.)

    13 Janvier 2010 21:08:11

    Bonjour Sham_rock,

    Merci tout d'abord de t'intéresser à mon problème !

    Comme demandé, voici les resultats de la 1ere étape avec DDS :

    DDS (Ver_09-12-01.01) - NTFSx86
    Run by Marco at 21:03:23,92 on 13/01/2010
    Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_16
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.234 [GMT 1:00]

    AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Documents and Settings\All Users\Application Data\SysApp\SysDir.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\svchost.exe -k HPZ12
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\System32\svchost.exe -k HPZ12
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\Program Files\iPod\bin\iPodService.exe
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k HTTPFilter
    C:\Program Files\Java\jre6\bin\jucheck.exe
    C:\Program Files\Warcraft III\HP View Helper.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Marco\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://www.google.fr/
    uSearch Page = hxxp://www.google.fr
    uSearch Bar = hxxp://www.google.fr/ie
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    mSearchAssistant = hxxp://www.google.fr/ie
    mWinlogon: SFCDisable=4 (0x4)
    BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    uRun: [PPLive] "c:\program files\pplive\PPLive.exe" /LoadModule ppvod.dll
    uRun: [PPAP] c:\documents and settings\all users\application data\ppliveva\application\PPAP.exe
    mRun: [SkyTel] SkyTel.EXE
    mRun: [RTHDCPL] RTHDCPL.EXE
    mRun: [Alcmtr] ALCMTR.EXE
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    mRun: [Adobe ARM] "c:\program files\fichiers communs\adobe\arm\1.0\AdobeARM.exe"
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
    mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
    mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
    mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
    mRun: [SysDir] "c:\documents and settings\all users\application data\sysapp\SysDir.exe" /Hide
    mRun: [c:\program files\dfjdkjfdkjfldjf\winlogin.exe] "c:\program files\dfjdkjfdkjfldjf\criticalproc.exe" /R
    dRunOnce: [Config] %systemroot%\system32\run.cmd
    dRunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
    dRunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
    StartupFolder: c:\docume~1\alluse~1\menudm~1\progra~1\dmarra~1\micros~1.lnk - c:\program files\microsoft office\office10\OSA.EXE
    uPolicies-explorer: MemCheckBoxInRunDlg = 1 (0x1)
    uPolicies-explorer: NoSMBalloonTip = 1 (0x1)
    uPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
    uPolicies-explorer: NoWelcomeScreen = 1 (0x1)
    uPolicies-explorer: NoStrCmpLogical = 0 (0x0)
    uPolicies-explorer: NoInstrumentation = 0 (0x0)
    dPolicies-explorer: MemCheckBoxInRunDlg = 1 (0x1)
    dPolicies-explorer: NoSMBalloonTip = 1 (0x1)
    dPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
    dPolicies-explorer: NoWelcomeScreen = 1 (0x1)
    IE: E&xporter vers Microsoft Excel - c:\progra~1\micros~3\office10\EXCEL.EXE/3000
    DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} - hxxp://dl.pplive.com/PluginSetup.cab
    Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\fichiers communs\microsoft shared\web folders\PKMCDO.DLL

    ================= FIREFOX ===================

    FF - ProfilePath - c:\docume~1\marco\applic~1\mozilla\firefox\profiles\nesu9yxh.default\
    FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

    ---- FIREFOX POLICIES ----
    c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

    ============= SERVICES / DRIVERS ===============

    R1 avgio;avgio;c:\program files\avira\antivir desktop\avgio.sys [2010-1-13 11608]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\avira\antivir desktop\sched.exe [2010-1-13 108289]
    R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-1-13 185089]
    R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-1-13 55640]

    =============== Created Last 30 ================

    2010-01-13 18:32:43 0 d-----w- c:\documents and settings\marco\Tracing
    2010-01-13 15:59:45 0 d-----r- c:\documents and settings\marco\Mes documents
    2010-01-13 15:57:56 0 d-----w- c:\documents and settings\marco\Menu Démarrer
    2010-01-13 15:57:56 0 d-----r- c:\documents and settings\marco\Favoris
    2010-01-13 15:57:12 184 --sh--w- c:\documents and settings\marco\ntuser.ini
    2010-01-13 15:40:48 0 d-----w- c:\program files\Downloaded Installations
    2010-01-13 15:25:31 0 d-----w- c:\docume~1\alluse~1\applic~1\SysDll
    2010-01-13 15:25:29 0 d-----w- c:\docume~1\alluse~1\applic~1\SysDir
    2010-01-13 15:25:11 0 d--h--w- c:\docume~1\alluse~1\applic~1\SysApp
    2010-01-13 15:18:26 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-01-13 15:18:24 0 d-----w- c:\program files\Avira
    2010-01-13 15:18:24 0 d-----w- c:\docume~1\alluse~1\applic~1\Avira
    2010-01-06 12:31:22 0 d-----w- C:\Jeux
    2010-01-04 20:07:48 0 d-----w- c:\program files\Soulseek
    2009-12-16 12:36:49 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
    2009-12-16 12:36:49 8704 ----a-w- c:\windows\system32\kbdjpn.dll
    2009-12-16 12:36:49 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
    2009-12-16 12:36:49 8192 ----a-w- c:\windows\system32\kbdkor.dll
    2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
    2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
    2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
    2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd106.dll
    2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd101c.dll
    2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd101b.dll
    2009-12-16 12:36:49 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
    2009-12-16 12:36:49 5632 ----a-w- c:\windows\system32\kbd103.dll

    ==================== Find3M ====================

    2009-12-02 12:46:41 107679 ----a-w- c:\windows\War3Unin.dat
    2009-11-25 18:17:29 80508 ----a-w- c:\windows\system32\perfc00C.dat
    2009-11-25 18:17:29 500454 ----a-w- c:\windows\system32\perfh00C.dat
    2009-11-16 21:32:36 158823 ----a-w- c:\windows\hpoins15.dat
    2009-11-09 19:11:04 2829 ----a-w- c:\windows\War3Unin.pif
    2009-11-09 19:11:04 139264 ----a-w- c:\windows\War3Unin.exe
    2009-11-09 18:15:37 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-11-09 17:03:27 21892 ----a-w- c:\windows\system32\emptyregdb.dat

    ============= FINISH: 21:03:31,31 ===============
    Contenus similaires
    13 Janvier 2010 21:16:49

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-13 21:11:51
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0
    13 Janvier 2010 21:24:05

    J'a lu la technique avec Linux, j'en avais déjà entendu parler.
    Mais la, mon pc démarre bien et je peux acceder a windows normalement.

    Si je recupere mes données du HD avec linux je vais recuperer mes données avec celles qui sont aujourd'hui ?

    Linux va me permettre de retrouver mes anciens points de sauvegarde et de retrouver mes données du 11 janvier ?
    14 Janvier 2010 18:19:56

    Bonsoir
    le but de la manœuvre est de voir si tu vois le dossier mes documents avec le cd live, comme ça tu fais une sauvegarde et après on attaque l'infection...
    Je préfère être prudent, vu que la restauration en a un coup... :D 
    14 Janvier 2010 20:19:39

    D'accord je vais essayer ca alors, mais le fait que l'espace sur mon disque dur utilisé ne soit plus que 3Go, ceci montre bien que mes documents ont été supprimé du disque dur, tu penses que c'est possible via Linux ?

    Je vais essayer alors !
    14 Janvier 2010 22:43:18

    Voila j'ai démarrer sous Linux mais bon... je vois pas ce que ca a changer il n'y à pas mes fichiers vu qu'ils ont été supprimé du disque.

    Peut-être quelque chose que je n'ai pas saisi?
    15 Janvier 2010 18:16:55

    bonsoir
    je voulais vérifier que le contenu "mes documents" avait bien disparu car c'est la première fois que j'entends une chose pareille...

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    15 Janvier 2010 20:07:22

    Voici :

    ComboFix 10-01-15.01 - Marco 15/01/2010 19:59:54.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.239 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Marco\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\SysApp
    c:\documents and settings\All Users\Application Data\SysApp\Interop.MSNMessenger.dll
    c:\documents and settings\All Users\Application Data\SysApp\Ionic.Zip.Reduced.dll
    c:\documents and settings\All Users\Application Data\SysApp\keyboard_key.ico
    c:\documents and settings\All Users\Application Data\SysApp\MSNMessengerAPI.tlb
    c:\documents and settings\All Users\Application Data\SysApp\SysAppInstaller.exe
    c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe
    c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe.config
    c:\documents and settings\All Users\Application Data\SysApp\SysDir.InstallState
    c:\documents and settings\All Users\Application Data\SysApp\TheBestLicence.rtf
    c:\windows\Downloaded Program Files\Install.inf
    c:\windows\system32\AutoRun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-15 au 2010-01-15 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\documents and settings\Marco\Application Data\Canneverbe_Limited
    2010-01-14 17:55 . 2010-01-14 17:55 -------- d-----w- c:\documents and settings\Marco\Application Data\vlc
    2010-01-13 22:00 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Apple
    2010-01-13 21:59 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Application Data\Apple Computer
    2010-01-13 18:36 . 2010-01-13 18:37 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Adobe
    2010-01-13 18:32 . 2010-01-15 18:42 -------- d-----w- c:\documents and settings\Marco\Tracing
    2010-01-13 17:37 . 2010-01-13 17:37 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
    2010-01-13 15:59 . 2010-01-13 21:59 -------- d-----r- c:\documents and settings\Marco\Mes documents
    2010-01-13 15:58 . 2010-01-13 15:58 16952 ----a-w- c:\documents and settings\Marco\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-01-13 15:57 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Apple Computer
    2010-01-13 15:57 . 2010-01-13 15:57 -------- d-----w- c:\documents and settings\Marco\Menu Démarrer
    2010-01-13 15:57 . 2010-01-13 15:57 -------- d-----r- c:\documents and settings\Marco\Favoris
    2010-01-13 15:40 . 2010-01-13 15:40 -------- d-----w- c:\program files\Downloaded Installations
    2010-01-13 15:25 . 2010-01-13 15:25 24 ----a-w- c:\documents and settings\All Users\Application Data\SysDll\Sys.dll
    2010-01-13 15:25 . 2010-01-13 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SysDll
    2010-01-13 15:25 . 2010-01-13 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SysDir
    2010-01-13 15:18 . 2010-01-14 16:26 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-01-06 12:31 . 2010-01-06 12:31 -------- d-----w- C:\Jeux
    2010-01-04 20:07 . 2010-01-04 20:14 -------- d-----w- c:\program files\Soulseek

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-15 18:37 . 2009-11-09 19:03 -------- d-----w- c:\program files\Warcraft III
    2010-01-15 16:15 . 2009-11-20 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\PPLive
    2010-01-15 08:05 . 2009-01-29 08:04 -------- d-----w- c:\program files\Teogdbdkeuyrz
    2010-01-15 08:05 . 2009-11-29 11:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2010-01-14 21:00 . 2009-11-25 18:20 -------- d-----w- c:\program files\CDBurnerXP
    2009-12-09 20:20 . 2009-12-09 20:20 -------- d-----w- c:\program files\SopCast
    2009-12-06 18:07 . 2009-11-16 21:02 -------- d-----w- c:\program files\Google
    2009-12-06 17:08 . 2009-11-09 17:39 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-12-02 12:46 . 2009-11-09 19:06 107679 ----a-w- c:\windows\War3Unin.dat
    2009-11-30 07:42 . 2009-11-20 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\PPLiveVA
    2009-11-25 18:21 . 2009-11-25 18:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
    2009-11-25 18:17 . 2001-08-24 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
    2009-11-25 18:17 . 2001-08-24 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
    2009-11-25 18:17 . 2009-11-25 18:17 74712 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2009-11-25 18:16 . 2009-11-25 18:16 -------- d-----w- c:\program files\MSBuild
    2009-11-25 18:16 . 2009-11-25 18:16 -------- d-----w- c:\program files\Reference Assemblies
    2009-11-25 18:14 . 2009-11-25 18:14 -------- d-----w- c:\program files\MSXML 6.0
    2009-11-22 21:57 . 2009-11-22 21:56 -------- d-----w- c:\program files\PDFCreator
    2009-11-20 12:57 . 2009-11-20 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Jlcm
    2009-11-20 11:53 . 2009-11-20 11:53 -------- d-----w- c:\program files\PPLive
    2009-11-20 11:53 . 2009-11-20 11:53 5016912 ----a-w- c:\documents and settings\All Users\Application Data\PPLive\update\PPLiveLiteSetup2.exe
    2009-11-16 21:32 . 2009-11-16 21:26 158823 ----a-w- c:\windows\hpoins15.dat
    2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Fichiers communs\HP
    2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Hewlett-Packard
    2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
    2009-11-16 21:29 . 2009-11-16 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
    2009-11-16 21:27 . 2009-11-16 21:27 -------- d-----w- c:\program files\HP
    2009-11-12 12:48 . 2009-11-25 18:20 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys
    2009-11-09 19:11 . 2009-11-09 19:06 2829 ----a-w- c:\windows\War3Unin.pif
    2009-11-09 19:11 . 2009-11-09 19:06 139264 ----a-w- c:\windows\War3Unin.exe
    2009-11-09 18:15 . 2009-11-09 18:15 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-11-09 17:49 . 2009-11-09 17:49 0 ----a-w- c:\windows\nsreg.dat
    2009-11-09 17:06 . 2009-11-09 17:05 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2009-11-09 17:03 . 2009-11-09 17:03 21892 ----a-w- c:\windows\system32\emptyregdb.dat
    .

    ------- Sigcheck -------

    [-] 2006-02-14 . 667192A11DB19F36624119C0DD4DE4F2 . 359808 . . [5.1.2600.2827] . . c:\windows\system32\drivers\tcpip.sys

    [-] 2006-03-09 . 0D55724D88488BBFC53BC2EA219240F3 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

    [-] 2006-03-09 . CB7D37602638369A516757E994CBB31D . 397824 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll

    [-] 2006-03-09 . DA81EC57ACD4CDC3D4C51CF3D409AF9F . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

    [-] 2006-03-09 08:24 . D9CDB9380E0EFC9E97CC589B5F484B94 . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll

    [-] 2006-03-09 . 8D9A075C065DFE1228688D10155D6624 . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll

    [-] 2006-04-21 . 6DF21BA445B9491943853290B0AAC74F . 3077120 . . [6.00.2900.2883] . . c:\windows\system32\mshtml.dll

    [-] 2006-03-09 . E75F7AA5A33479F29C636FD0890F5762 . 2137600 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe

    [-] 2006-03-09 . 720DA0C9DB8996AD9B7F5164B2242DAA . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

    [-] 2006-03-09 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

    [-] 2006-04-12 . 241DBC4C2714B2F39AFDED49459ED420 . 667648 . . [6.00.2900.2861] . . c:\windows\system32\wininet.dll

    [-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

    [-] 2005-05-27 20:14 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

    [-] 2006-05-09 . 50B3A210B6FA8D3089A36A32E7D8B21F . 2017280 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PPLive"="c:\program files\PPLive\PPLive.exe" [2009-08-12 165224]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
    "RTHDCPL"="RTHDCPL.EXE" [2007-02-26 16125440]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-09 149280]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="move" [X]
    "Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoStrCmpLogical"= 0 (0x0)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "DisablePagingExecutive"=dword:00000001
    "SecondLevelDataCache"=dword:00000200

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
    DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} - hxxp://dl.pplive.com/PluginSetup.cab
    FF - ProfilePath - c:\documents and settings\Marco\Application Data\Mozilla\Firefox\Profiles\nesu9yxh.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-PPAP - c:\documents and settings\All Users\Application Data\PPLiveVA\Application\PPAP.exe
    HKLM-Run-SysDir - c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe
    HKLM-Run-c:\program files\dfjdkjfdkjfldjf\winlogin.exe - c:\program files\dfjdkjfdkjfldjf\criticalproc.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-15 20:02
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-01-15 20:03:00
    ComboFix-quarantined-files.txt 2010-01-15 19:02

    Avant-CF: 148 718 493 696 octets libres
    Après-CF: 148 694 581 248 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - CC763AA3094E9A615A0CE43F278F0405
    15 Janvier 2010 20:55:34

    re

    1

    Télécharge DirLook (de jpshortstuff)

  • Double-clique sur DirLook.exe pour le lancer.
  • Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
  • Copie le contenu de la boîte ci-dessous dans le champ texte principal :

    c:\program files\Teogdbdkeuyrz


  • Clique sur le bouton DirLook pour lancer l'examen.
  • Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse. (Note : Le rapport peut aussi être trouvé dans C:\dl_log.txt)

    Note : Il se peut que l'examen prenne plus de temps pour les gros répertoires.

    2

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.


    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.

    +++
    16 Janvier 2010 11:45:16

    Pour le premier logiciel "DirLook.exe", quand je le lance, il m'ouvre une fenetre ms dos et me dit "appuyer sur une touche pour continuer" j'appuie la fenetre se ferme et il se passe plus rien...


    PS : Pour info "Teogdbdkeuyrz" est le dossier d'un ancien keylogger que javai installer sur mon ordinateur.



    Avec MBAM, voici le rapport :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3510
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    16/01/2010 11:41:32
    mbam-log-2010-01-16 (11-41-28).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 142841
    Temps écoulé: 10 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{5482C3A7-B02D-4C45-8B83-1DD78912870C}\RP2\A0001753.sys (Malware.Trace) -> No action taken.



    PS : De toute facon je reformaterai apres avoir essayer de recuperer "mes documents"


    17 Janvier 2010 14:08:05

    "La procédure que nous allons évoquer maintenant va certainement réparer la fonction de restauration du système mais en revanche tous les points de restauration vont disparaître. En conséquence de quoi n'appliquez pas cette manipulation si vous souhaitez restaurer votre PC à une date antérieur."


    Il faut donc pas que je le fasse, de toute facon je l'ai la restauration moi, ce sont mes points antérieurs qui ont été supprimés.


    Au final je crois qu'il n'y a plus de solution pour récupérer mes points de restauration...
    17 Janvier 2010 20:46:22

    bonsoir
    si c'était mon pc, je tenterai une réparation de windows, pour voir...
    18 Janvier 2010 00:11:42

    Tu veux dire réinstaller windows par dessus ? pour voir si le dossier "mes documents" avec son contenu réapparaitrai?
    20 Janvier 2010 22:26:42

    Merci Sham_rock, j'avais réussi à récupérer mes musiques avec restoration.exe, mais les photos ne marchaient pas.

    Avec Photorec, c'est passé.

    Du coup je vais formater proprement.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS