Suppression System Restore
Résolu/Fermé
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
-
Modifié par irongege le 3/11/2011 à 08:32
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 4 nov. 2011 à 20:23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 4 nov. 2011 à 20:23
A voir également:
- Suppression System Restore
- Forcer suppression fichier - Guide
- Reboot system now - Guide
- Patriot memory restore - Télécharger - Récupération de données
- Restore photo io - Télécharger - Retouche d'image
- Suppression page word - Guide
26 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
3 nov. 2011 à 12:24
3 nov. 2011 à 12:24
Télécharger sur le bureau RogueKiller
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
2 nov. 2011 à 17:13
2 nov. 2011 à 17:13
hello
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
Modifié par irongege le 3/11/2011 à 08:32
Modifié par irongege le 3/11/2011 à 08:32
Salut et merci pour ta réponse très rapide.
J'ai suivi tes instructions et ai déposé le rapport ZHPDiag sous le lien suivant:
https://pjjoint.malekal.com/files.php?id=g9q8e7w15q6n12q5j12o8t5y8c10v5q14f10j15x15e13s14m9
J'attends impatiemment la suite de tes précieux conseils qui me permettront sans doute de régler ce problème épineux survenu sur mon poste professionnel.
Merci d'avance et A+
mario63
J'ai suivi tes instructions et ai déposé le rapport ZHPDiag sous le lien suivant:
https://pjjoint.malekal.com/files.php?id=g9q8e7w15q6n12q5j12o8t5y8c10v5q14f10j15x15e13s14m9
J'attends impatiemment la suite de tes précieux conseils qui me permettront sans doute de régler ce problème épineux survenu sur mon poste professionnel.
Merci d'avance et A+
mario63
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
Modifié par irongege le 3/11/2011 à 08:35
Modifié par irongege le 3/11/2011 à 08:35
Désolé, je me suis emmêlé les pinceaux!
Voici le lien pour mon rapport:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_v12k13e6y13c5j10n5l11c6x6m11k6k15k15y15x13b5x7v13o5
A+
mario63
Voici le lien pour mon rapport:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_v12k13e6y13c5j10n5l11c6x6m11k6k15k15y15x13b5x7v13o5
A+
mario63
(merci de ne plus mettre l'adresse email à chaque message)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
3 nov. 2011 à 09:33
3 nov. 2011 à 09:33
Bonjour,
c'est toujours délicat ces interventions sur les ordis professionnels, et ce de plusieurs points de vue.
J'ignore quelle charte d'utilisation d'Internet existe dans l'entreprise (et donc si tu y as contrevenu).
J'ignore si tu as été infecté lors d'une utilisation professionnelle ou personnelle de l'ordi.
Je ne peux pas être certain que les IP mentionnées dans les O17 et dans le hosts sont malwares ou sont liées au mode de fonctionnement de l'entreprise (par contre le Domain est certainement légitime).
Si elles sont malwares, je ne sais pas quelle importance elles peuvent avoir pour l'entreprise (à quoi correspondent les domaines redirigés, ceux à droite des lignes du Hosts ?).
Tout ça pour dire que, à mon avis, le responsable informatique de l'entreprise devrait être informé.
A lui de vérifier que la sécurité du réseau n'est pas compromise et que d'autres postes ne sont pas infectés.
===
Il y a une 2ème raison de l'avertir, c'est l'obsolescence d'un certain nombre de composants vitaux (l'OS, le navigateur par défaut et la console java).
Leur état constitue autant de failles de sécurité capitales, y compris pour le surf le plus innocent.
Ce peut être simple négligence.
Ce peut être pour éviter le coût de remise à niveau de l'ensemble des postes (à mon avis ça peut être une économie couteuse).
Mais ça peut aussi être lié à des applications développées "maison" mais qui ne tourneraient plus dans un environnement à jour. La maintenance (voire la réecriture) peut, dans ce cas, représenter un investissement non négligeable.
Mais il vaudrait mieux que les responsables décident "en bonne connaissance de causes" : l'état de leur parc informatique est une faille de sécurité permanente pour toutes les infos que celui ci contient.
===
Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.
c'est toujours délicat ces interventions sur les ordis professionnels, et ce de plusieurs points de vue.
J'ignore quelle charte d'utilisation d'Internet existe dans l'entreprise (et donc si tu y as contrevenu).
J'ignore si tu as été infecté lors d'une utilisation professionnelle ou personnelle de l'ordi.
Je ne peux pas être certain que les IP mentionnées dans les O17 et dans le hosts sont malwares ou sont liées au mode de fonctionnement de l'entreprise (par contre le Domain est certainement légitime).
Si elles sont malwares, je ne sais pas quelle importance elles peuvent avoir pour l'entreprise (à quoi correspondent les domaines redirigés, ceux à droite des lignes du Hosts ?).
Tout ça pour dire que, à mon avis, le responsable informatique de l'entreprise devrait être informé.
A lui de vérifier que la sécurité du réseau n'est pas compromise et que d'autres postes ne sont pas infectés.
===
Il y a une 2ème raison de l'avertir, c'est l'obsolescence d'un certain nombre de composants vitaux (l'OS, le navigateur par défaut et la console java).
Leur état constitue autant de failles de sécurité capitales, y compris pour le surf le plus innocent.
Ce peut être simple négligence.
Ce peut être pour éviter le coût de remise à niveau de l'ensemble des postes (à mon avis ça peut être une économie couteuse).
Mais ça peut aussi être lié à des applications développées "maison" mais qui ne tourneraient plus dans un environnement à jour. La maintenance (voire la réecriture) peut, dans ce cas, représenter un investissement non négligeable.
Mais il vaudrait mieux que les responsables décident "en bonne connaissance de causes" : l'état de leur parc informatique est une faille de sécurité permanente pour toutes les infos que celui ci contient.
===
Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
Modifié par moment de grace le 3/11/2011 à 10:36
Modifié par moment de grace le 3/11/2011 à 10:36
hello
effectivement Lyonnais a raison et quelques explications sur le pc seraient bien venues
d'autant que sa sécurité semble pour le moins limitée (antivirus, mises à jour manquantes)
Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.
euh, ils sont tous revenus a priori....
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
effectivement Lyonnais a raison et quelques explications sur le pc seraient bien venues
d'autant que sa sécurité semble pour le moins limitée (antivirus, mises à jour manquantes)
Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.
euh, ils sont tous revenus a priori....
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
3 nov. 2011 à 10:46
3 nov. 2011 à 10:46
Re,
pour les fichiers cachés, il me semble que le rapport ZHPDiag dit le contraire.
Mais quelque chose a pu m'échapper.
@+
pour les fichiers cachés, il me semble que le rapport ZHPDiag dit le contraire.
Mais quelque chose a pu m'échapper.
@+
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 10:37
3 nov. 2011 à 10:37
Hello,
Je te remercie pour ces remarques très pertinentes et tes conseils dont je vais tenir compte.
A+
Je te remercie pour ces remarques très pertinentes et tes conseils dont je vais tenir compte.
A+
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 11:01
3 nov. 2011 à 11:01
Hello,
En effet, un remplacement de l'antivirus a été programmé (par script) pour tous les postes il y a quelques semaines. Quelques uns, dont le mien, ont posé problème et doivent être configurés manuellement, alors que le précédent antivirus a été supprimé automatiquement. Cela explique probablement la faille et le manque de protection de ce poste.
Pour info, les seuls fichiers visibles sur mon poste sont: C:\Kill'em
En activant l'affichage des fichiers et dossiers cachés dans les options de dossiers, tout (ce qui semblait avoir disparu) à l'ai visible.
Y-a-t'il moyen de rétablir les propriétés par défaut des fichiers cachés du système?
Comment faire disparaitre l'icône "System Restore" qui se trouve sur la barre des tâches à droite du menu démarrer?
Et enfin, dernière question: à ce stade, mon système est-il propre ou me conseilles tu de faire un scan avec RogueKiller, ZHPfix ou autre?
Merci d'avance
En effet, un remplacement de l'antivirus a été programmé (par script) pour tous les postes il y a quelques semaines. Quelques uns, dont le mien, ont posé problème et doivent être configurés manuellement, alors que le précédent antivirus a été supprimé automatiquement. Cela explique probablement la faille et le manque de protection de ce poste.
Pour info, les seuls fichiers visibles sur mon poste sont: C:\Kill'em
En activant l'affichage des fichiers et dossiers cachés dans les options de dossiers, tout (ce qui semblait avoir disparu) à l'ai visible.
Y-a-t'il moyen de rétablir les propriétés par défaut des fichiers cachés du système?
Comment faire disparaitre l'icône "System Restore" qui se trouve sur la barre des tâches à droite du menu démarrer?
Et enfin, dernière question: à ce stade, mon système est-il propre ou me conseilles tu de faire un scan avec RogueKiller, ZHPfix ou autre?
Merci d'avance
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 11:07
3 nov. 2011 à 11:07
Re,
J'y pense maintenant... que faire du dossier C:\Kill'em ?
Dans C:\Kill'em\LNKS, je trouve pas mal de raccourcis qui ont disparus du menu démarrer, puis-je les remettre en place?
A+
J'y pense maintenant... que faire du dossier C:\Kill'em ?
Dans C:\Kill'em\LNKS, je trouve pas mal de raccourcis qui ont disparus du menu démarrer, puis-je les remettre en place?
A+
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
3 nov. 2011 à 11:10
3 nov. 2011 à 11:10
fais ca déjà
Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton HiddenFix situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport
Redémarre le pc pour prendre en compte les modifications.
Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton HiddenFix situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport
Redémarre le pc pour prendre en compte les modifications.
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 12:22
3 nov. 2011 à 12:22
Après plusieures tentatives, je constate que HiddenFix ne fonctionne pas, l'application reste figée!
Sous WinXP, est-ce dû au fait que je n'ai pas de droits d'administration?
Sous WinXP, est-ce dû au fait que je n'ai pas de droits d'administration?
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 13:02
3 nov. 2011 à 13:02
Finalement, avec un peu d'attente et de patience ZHPFix a fonctionné, voici le rapport:
https://pjjoint.malekal.com/files.php?id=m99p15f14g8r14n5l11q9f9g9k5x9o5z15s9s15x12t9e6
Mais impossible de télécharger RogueKiller sur ce lien:
https://www.luanagames.com/index.fr.html
J'ai essayé d'autres téléchargements sans succès ;(
https://pjjoint.malekal.com/files.php?id=m99p15f14g8r14n5l11q9f9g9k5x9o5z15s9s15x12t9e6
Mais impossible de télécharger RogueKiller sur ce lien:
https://www.luanagames.com/index.fr.html
J'ai essayé d'autres téléchargements sans succès ;(
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 15:09
3 nov. 2011 à 15:09
Désolé, j'avais interrompu le balayage de Pre_scan et le précédent rapport était de ce fait incomplet.
Voici le nouveau:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
Que faire après ça?
Dois-je supprimer le dossier: C:\Kill'em ?
Que deviens le dossier (et ses sous-dossiers):
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}
Merci d'avance
Voici le nouveau:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
Que faire après ça?
Dois-je supprimer le dossier: C:\Kill'em ?
Que deviens le dossier (et ses sous-dossiers):
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}
Merci d'avance
ne supprime pas c:\kill'em , fais d'abord le script que je t'ai donné au dessus
kill'em appartient à pre_scan
kill'em appartient à pre_scan
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 15:32
3 nov. 2011 à 15:32
Je l'ai fais et apparemment tous ou la plupart des raccourcis ont été rétablis!
Reste-t-il autre chose à faire?
Reste-t-il autre chose à faire?
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 15:37
3 nov. 2011 à 15:37
Le dernier rapport est celui indiqué plus haut, sous ce lien:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 15:47
3 nov. 2011 à 15:47
Désolé mais je ne comprends pas!
mario63
Messages postés
17
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
4 novembre 2011
3 nov. 2011 à 16:05
3 nov. 2011 à 16:05
Excuse moi, je viens de le posté ici:
https://pjjoint.malekal.com/files.php?id=d15i13n5f11z11k12j8e9i15x12m5t12v8s76q6d8u9h12w10
...mais il a été généré avant le rapport Pre_Scan suivant:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
https://pjjoint.malekal.com/files.php?id=d15i13n5f11z11k12j8e9i15x12m5t12v8s76q6d8u9h12w10
...mais il a été généré avant le rapport Pre_Scan suivant:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 272
4 nov. 2011 à 06:20
4 nov. 2011 à 06:20
as tu retrouvé tous tes fichiers ?
Modifié par tant pis le 3/11/2011 à 12:35
attrib:: en script fait tout reapparaitre , pre_scan a été passé , c'est inutile de faire downloader 50 tools qui font la meme chose Franck
d'ailleurs si le rapport pre_scan pouvait etre lu via cijoint.....
3 nov. 2011 à 12:36
3 nov. 2011 à 12:41
3 nov. 2011 à 12:51
Enregistré sous : loicm
toutes facons les frameworks ne sont pas à jour....en fait rien n'est à jour
=========================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KixtartLogon"=-
"QuickTime Task"=-
"Identifier"=
"Adobe Reader Speed Launcher"=-
Folder::
C:\WINDOWS\4DCA27399D164B55808CE72CD70A5BD3.TMP
attrib::
clean::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer