Suppression System RestoreRésolu/Fermé

Question

Bonjour,   

Ayant subit une infection par le virus System Restore, j'ai suivi la procédure indiquée ici: https://forums.commentcamarche.net/forum/affich-23490452-supprimer-system-restore  
   
J'ai déposé le fichier texte issu du scan sous le lien suivant:   
http://www.cijoint.fr/cjlink.php?file=cj201111/cijo2iGGOI.txt   

Que dois-je faire après cela?   

Pour info, le PC infecté tourne sous Win XP service pack et je n'ai pas de droits d'administrateur.   

Merci d'avance pour votre aide.   

mario63 (adresse email supprimé par la modération)  

Configuration: Windows XP / Internet Explorer 6.0

moment de grace · Answer

hello

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/ 

Clique sur "Parcourir "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

mario63 · Answer

Salut et merci pour ta réponse très rapide. 

J'ai suivi tes instructions et ai déposé le rapport ZHPDiag sous le lien suivant: 
https://pjjoint.malekal.com/files.php?id=g9q8e7w15q6n12q5j12o8t5y8c10v5q14f10j15x15e13s14m9 

J'attends impatiemment la suite de tes précieux conseils qui me permettront sans doute de régler ce problème épineux survenu sur mon poste professionnel. 

Merci d'avance et A+ 

mario63

mario63 · Answer

Désolé, je me suis emmêlé les pinceaux! 

Voici le lien pour mon rapport: 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_v12k13e6y13c5j10n5l11c6x6m11k6k15k15y15x13b5x7v13o5 

A+ 

mario63 (merci de ne plus mettre l'adresse email à chaque message)

Lyonnais92 · Answer

Bonjour,

c'est toujours délicat ces interventions sur les ordis professionnels, et ce de plusieurs points de vue.

J'ignore quelle charte d'utilisation d'Internet existe dans l'entreprise (et donc si tu y as contrevenu).

J'ignore si tu as été infecté lors d'une utilisation professionnelle ou personnelle de l'ordi.

Je ne peux pas être certain que les IP mentionnées dans les O17 et dans le hosts sont malwares ou sont liées au mode de fonctionnement de l'entreprise (par contre le Domain est certainement légitime).

Si elles sont malwares, je ne sais pas quelle importance elles peuvent avoir pour l'entreprise (à quoi correspondent les domaines redirigés, ceux à droite des lignes du Hosts ?).

Tout ça pour dire que, à mon avis, le responsable informatique de l'entreprise devrait être informé.

A lui de vérifier que la sécurité du réseau n'est pas compromise et que d'autres postes ne sont pas infectés.

===

Il y a une 2ème raison de l'avertir, c'est l'obsolescence d'un certain nombre de composants vitaux (l'OS, le navigateur par défaut et la console java).

Leur état constitue autant de failles de sécurité capitales, y compris pour le surf le plus innocent.

Ce peut être simple négligence.

Ce peut être pour éviter le coût de remise à niveau de l'ensemble des postes (à mon avis ça peut être une économie couteuse).

Mais ça peut aussi être lié à des applications développées "maison" mais qui ne tourneraient plus dans un environnement à jour. La maintenance (voire la réecriture) peut, dans ce cas, représenter un investissement non négligeable.

Mais il vaudrait mieux que les responsables décident "en bonne connaissance de causes" : l'état de leur parc informatique est une faille de sécurité permanente pour toutes les infos que celui ci contient.

===

Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.

moment de grace · Answer

hello 

effectivement Lyonnais a raison et quelques explications sur le pc seraient bien venues

d'autant que sa sécurité semble pour le moins limitée (antivirus, mises à jour manquantes) 

Pour le reste, mdg va te faire réapparaître tes fichiers cachés par l'infection.  

euh, ils sont tous revenus a priori.... 

CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

mario63 · Answer

Hello,

Je te remercie pour ces remarques très pertinentes et tes conseils dont je vais tenir compte.

A+

mario63 · Answer

Hello,

En effet, un remplacement de l'antivirus a été programmé (par script) pour tous les postes il y a quelques semaines. Quelques uns, dont le mien, ont posé problème et doivent être configurés manuellement, alors que le précédent antivirus a été supprimé automatiquement. Cela explique probablement la faille et le manque de protection de ce poste.

Pour info, les seuls fichiers visibles sur mon poste sont: C:\Kill'em

En activant l'affichage des fichiers et dossiers cachés dans les options de dossiers, tout (ce qui semblait avoir disparu) à l'ai visible.

Y-a-t'il moyen de rétablir les propriétés par défaut des fichiers cachés du système?

Comment faire disparaitre l'icône "System Restore" qui se trouve sur la barre des tâches à droite du menu démarrer?

Et enfin, dernière question: à ce stade, mon système est-il propre ou me conseilles tu de faire un scan avec RogueKiller, ZHPfix ou autre?

Merci d'avance

mario63 · Answer

Re,

J'y pense maintenant... que faire du dossier C:\Kill'em ?

Dans C:\Kill'em\LNKS, je trouve pas mal de raccourcis qui ont disparus du menu démarrer, puis-je les remettre en place?

A+

moment de grace · Answer

fais ca déjà

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton HiddenFix situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport 
Redémarre le pc pour prendre en compte les modifications.

mario63 · Answer

Après plusieures tentatives, je constate que HiddenFix ne fonctionne pas, l'application reste figée! 
Sous WinXP, est-ce dû au fait que je n'ai pas de droits d'administration?

moment de grace · Answer

Télécharger sur le bureau RogueKiller 
https://www.luanagames.com/index.fr.html

*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur ) 

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. 


Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

mario63 · Answer

Finalement, avec un peu d'attente et de patience ZHPFix a fonctionné, voici le rapport:
https://pjjoint.malekal.com/files.php?id=m99p15f14g8r14n5l11q9f9g9k5x9o5z15s9s15x12t9e6

Mais impossible de télécharger RogueKiller sur ce lien: 
https://www.luanagames.com/index.fr.html 

J'ai essayé d'autres téléchargements sans succès ;(

mario63 · Answer

Désolé, j'avais interrompu le balayage de Pre_scan et le précédent rapport était de ce fait incomplet.

Voici le nouveau:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116

Que faire après ça? 
Dois-je supprimer le dossier: C:\Kill'em ?

Que deviens le dossier (et ses sous-dossiers):
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}

Merci d'avance

tant pis · Answer

ne supprime pas c:\kill'em , fais d'abord le script que je t'ai donné au dessus

kill'em appartient à pre_scan

mario63 · Answer

Je l'ai fais et apparemment tous ou la plupart des raccourcis ont été rétablis!

Reste-t-il autre chose à faire?

mario63 · Answer

Le dernier rapport est celui indiqué plus haut, sous ce lien:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116

tant pis · Answer

Pre_Script.txt dans tes icones sur ton bureau

mario63 · Answer

Désolé mais je ne comprends pas!

mario63 · Answer

Excuse moi, je viens de le posté ici:
https://pjjoint.malekal.com/files.php?id=d15i13n5f11z11k12j8e9i15x12m5t12v8s76q6d8u9h12w10

...mais il a été généré avant le rapport Pre_Scan suivant:
https://pjjoint.malekal.com/files.php?id=i15m15q9p11y119r7b11j15j8x7i12e5g6n10e10x5o14c116

moment de grace · Answer

as tu retrouvé tous tes fichiers ?

mario63 · Answer

Oui, c'est parfait!

Dois-je faire autre chose pour finaliser ?

Que faire des dossiers C:\Kill'em et C:\ZHP ?

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

mario63 · Answer

Merci, je vais essayer de faire ça dès que possible.

A+

mario63 · Answer

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7622

Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106

04.11.2011 12:04:02
mbam-log-2011-11-04 (12-04-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 201359
Temps écoulé: 3 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

ok

à ce stade, et comme disait , il serait bien que la personne en charge de cet ordi prenne la main pour les MAJ et antivirus à prévoir

mario63 · Answer

C'est Nikel.

Je vais communiquer ces infos à l'admin afin que ce pc soit mis à jour et protégé.

Merci infiniment pour toute votre aide et votre patience.

A+

Suppression System Restore

26 réponses

Discussions similaires

Newsletters