[Réglé]probleme de restauration apres windows recovery • page 2

[Boupie]

merci pour la manip
j'ai commencé à retablir qq liens mais ca va prendre du temps

j'ai un fichier desktop.ini qui s'affiche à chaque demarrage avec ce soir ça:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

c'est quoi?

[bernard53]

merci pour la manip
j'ai commencé à retablir qq liens mais ca va prendre du temps

j'ai un fichier desktop.ini qui s'affiche à chaque demarrage avec ce soir ça:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

c'est quoi?

normalement tu ne devrais pas le voir.

tu as cela car les fichiers et dossiers cachées sont apparent.
fait ceci pour résoudre cela.


: Explorateur Windows>Onglet organiser>Options des dossiers et de recherche>Affichage>-
-décocher "afficher les dossiers et fichiers cachés",
- cocher "masquer les extensions des fichiers dont le type est connu".
- cocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

[Boupie]

c'est ce que j'ai fait mais au redemarrage il s'affiche encore
j'ai retrouvé egalement qq icones desktop.ini un peu partout au niveau des favoris, dans le menu demarrer programmes etc...

[bernard53]

tu peux supprimer ces " desktop.ini" puis si tout va bien tu videras le corbeille.

[Boupie]

bonjour Bernard 53
et bien j'ai enfin fini de restaurer mes raccourcis
concernant les fichiers desktop j'ai fait msconfig>demarrage et j'ai decoché la ligne desktop
depuis je n'ai plus le message au demarrage
j'ai repassé malwarebytes ce matin avec la nouvelle version et il m'a retrouvé encore une verole (rapport ci dessous)
spybot n'a rien retrouvé et antivir non plus
l'ordi fonctionne bien mais je vais devenir parano car les antiviraux m'en trouvent un tous les jours!alors que je surf pas sur des sites douteux
peut etre que ce sont les mises à jour qui permettent de les detecter ou y a t-il encore qq veroles cachées dans la machine qui se reactivent regulierement?
merci pour ton aide

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2074
Windows 5.1.2600 Service Pack 3

04/05/2009 22:13:39
mbam-log-2009-05-04 (22-13-39).txt

Type de recherche: Examen rapide
Eléments examinés: 77963
Temps écoulé: 14 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00fbd53 (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Update (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Media Player (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Explorer (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Explorer (Backdoor.Sdbot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ (Trojan.Vundo) -> Delete on reboot.

[bernard53]

Repasse MalwaresBytes et fait u scan complet car on est a la version 1.51 et on est a la version 1.36 comme toi.

super pour tes raccourcis.

[Boupie]

ok
j'ai pas du redemarrer l'ordi apres le chargement de la derniere version
je finis un nouveau scan avec antivir qui vient de m'en retrouver un autre (softomat)
et je relance malware ce soir
bonne journée

[Boupie]

bon ben voila
malware nouvelle versio ne m'a rien retrouvé (en fait je m'etais planté de rapport au post precedent)
et antivir rien de plus que ci dessus
les 2 rapports sont en dessous
la machine fonctionne plutot bien
je vais changer tous mes mots de passe je pense
en parcourant les forums j'ai l'impression que windows recovrery a évolué depuis qq temps notamment vs roguekiller et la restauration de certains fichiers. qu'en pense tu?
merci pour ton aide precieuse
peut on mettre resolu ou veux tu une derniere verif?




Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6752

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/06/2011 22:27:46
mbam-log-2011-06-02 (22-27-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 1
Temps écoulé: 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 2 juin 2011 20:38

La recherche porte sur 2707773 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : TEST-SJE7PRUQF9

Informations de version :
BUILD.DAT : 10.0.0.135 31823 Bytes 18/04/2011 14:35:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 27/05/2011 06:43:28
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10
LUKE.DLL : 10.0.3.2 104296 Bytes 27/05/2011 06:43:30
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:32:00
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:43:07
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 06:43:09
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 06:43:10
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 20:42:43
VBASE005.VDF : 7.11.8.179 2048 Bytes 31/05/2011 20:42:43
VBASE006.VDF : 7.11.8.180 2048 Bytes 31/05/2011 20:42:43
VBASE007.VDF : 7.11.8.181 2048 Bytes 31/05/2011 20:42:43
VBASE008.VDF : 7.11.8.182 2048 Bytes 31/05/2011 20:42:44
VBASE009.VDF : 7.11.8.183 2048 Bytes 31/05/2011 20:42:45
VBASE010.VDF : 7.11.8.184 2048 Bytes 31/05/2011 20:42:46
VBASE011.VDF : 7.11.8.185 2048 Bytes 31/05/2011 20:42:46
VBASE012.VDF : 7.11.8.186 2048 Bytes 31/05/2011 20:42:46
VBASE013.VDF : 7.11.8.222 121856 Bytes 02/06/2011 10:32:22
VBASE014.VDF : 7.11.8.223 2048 Bytes 02/06/2011 10:32:23
VBASE015.VDF : 7.11.8.224 2048 Bytes 02/06/2011 10:32:23
VBASE016.VDF : 7.11.8.225 2048 Bytes 02/06/2011 10:32:23
VBASE017.VDF : 7.11.8.226 2048 Bytes 02/06/2011 10:32:23
VBASE018.VDF : 7.11.8.227 2048 Bytes 02/06/2011 10:32:23
VBASE019.VDF : 7.11.8.228 2048 Bytes 02/06/2011 10:32:23
VBASE020.VDF : 7.11.8.229 2048 Bytes 02/06/2011 10:32:23
VBASE021.VDF : 7.11.8.230 2048 Bytes 02/06/2011 10:32:23
VBASE022.VDF : 7.11.8.231 2048 Bytes 02/06/2011 10:32:24
VBASE023.VDF : 7.11.8.232 2048 Bytes 02/06/2011 10:32:24
VBASE024.VDF : 7.11.8.233 2048 Bytes 02/06/2011 10:32:24
VBASE025.VDF : 7.11.8.234 2048 Bytes 02/06/2011 10:32:24
VBASE026.VDF : 7.11.8.235 2048 Bytes 02/06/2011 10:32:24
VBASE027.VDF : 7.11.8.236 2048 Bytes 02/06/2011 10:32:25
VBASE028.VDF : 7.11.8.237 2048 Bytes 02/06/2011 10:32:25
VBASE029.VDF : 7.11.8.238 2048 Bytes 02/06/2011 10:32:25
VBASE030.VDF : 7.11.8.239 2048 Bytes 02/06/2011 10:32:26
VBASE031.VDF : 7.11.8.245 32768 Bytes 02/06/2011 10:32:27
Version du moteur : 8.2.5.12
AEVDF.DLL : 8.1.2.1 106868 Bytes 18/08/2010 21:32:08
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 27/05/2011 06:43:23
AESCN.DLL : 8.1.7.2 127349 Bytes 27/05/2011 06:43:22
AESBX.DLL : 8.2.1.34 323957 Bytes 02/06/2011 10:33:11
AERDL.DLL : 8.1.9.9 639347 Bytes 27/05/2011 06:43:22
AEPACK.DLL : 8.2.6.8 557430 Bytes 27/05/2011 06:43:21
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02/06/2011 10:33:08
AEHEUR.DLL : 8.1.2.123 3502456 Bytes 02/06/2011 10:33:05
AEHELP.DLL : 8.1.17.2 246135 Bytes 27/05/2011 06:43:18
AEGEN.DLL : 8.1.5.6 401780 Bytes 27/05/2011 06:43:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 27/05/2011 06:43:17
AECORE.DLL : 8.1.21.1 196983 Bytes 27/05/2011 06:43:17
AEBB.DLL : 8.1.1.0 53618 Bytes 18/08/2010 21:32:07
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55
AVREP.DLL : 10.0.0.10 174120 Bytes 27/05/2011 06:43:31
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 27/05/2011 06:43:28
AVARKT.DLL : 10.0.22.6 231784 Bytes 27/05/2011 06:43:25
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, F:, G:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 2 juin 2011 20:38

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NtmsSvc\Config\Standalone\drivelist
[REMARQUE] L'entrée d'enregistrement n'est pas visible.

La recherche sur les processus démarrés commence :
Processus de recherche 'msdtc.exe' - '40' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '60' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '51' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '53' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '114' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '52' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '44' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '54' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '46' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '54' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '162' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '51' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '72' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '420' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
Recherche débutant dans 'F:\' <Nouveau nom>
F:\System Volume Information\_restore{898A5446-B42F-41DA-BD63-2488B963B990}\RP1576\A0176091.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
Recherche débutant dans 'G:\' <Expansion Drive>

Début de la désinfection :
F:\System Volume Information\_restore{898A5446-B42F-41DA-BD63-2488B963B990}\RP1576\A0176091.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN
[REMARQUE] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[REMARQUE] Le fichier n'existe pas !


Fin de la recherche : jeudi 2 juin 2011 22:28
Temps nécessaire: 1:49:43 Heure(s)

La recherche a été effectuée intégralement

9554 Les répertoires ont été contrôlés
324762 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
324761 Fichiers non infectés
2506 Les archives ont été contrôlées
0 Avertissements
2 Consignes
533879 Des objets ont été contrôlés lors du Rootkitscan
1 Des objets cachés ont été trouvés

[bernard53]

Oui tu as raison certains roque évoluent

Pas de soucis pas besoin de faire plus.

et on peux valider ton post comme résolu

Bonne journée

[Boupie]

je ne sais pas comment on fait pour afficher resolu

[bernard53]

je ne sais pas comment on fait pour afficher resolu

Pas de soucis je vois cela avec les moderateurs

Bon Weekend