Perte de comptes utilisateurs

[Dylav]

OK, il doit y avoir quelque chose que je n'ai pas compris. La restauration au point de restauration au 6/12 à 13h31 n'a pas donné les effets que j'escomptais. Voici en effet un rapport Malwarebytes, complet cette fois : il révèle 6 problèmes au lieu de 4 (il n'a duré que 10 mn environ, ce qui m'a agréablement surpris).

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1475

Windows 5.1.2600 Service Pack 2

 

08/12/2008 23:46:56

mbam-log-2008-12-08 (23-46-56).txt

 

Type de recherche: Examen rapide

Eléments examinés: 84890

Temps écoulé: 22 minute(s), 3 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{622cc208-b014-4fe0-801b-874a5e5e403a} (Adware.123Mania) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Je vais enchaîner sur ToolBarSD.

[Loup blanc]

Pour l'utilisation de Hijackthis, le rapport montre qu'il y a des sauvegardes de données supprimées, à un moment ou a un autre, Hijackthis à été utilisé pour les supprimer.

 

 

Les clés détectées par Mbam sont infectieuses (mais pas dangereuses) et il se charge très bien de les supprimer, elles sont parfaitement lisibles dans la BDR, ce ne sont pas ces clés de la base de registre qui posent ton problème actuel.

 

Ce n'est pas du tout la même choses que des données corrompues, là on parle d'un (ou d'une partie) fichier qui ne peut pas être lu sur le disque (si un secteur de celui-ci est défectueux) ou dont le contenu ne correspond pas à ce qu'il devrait être (suite à une erreur d'enregistrement d'un fichier sur le disque). C'est vrai que ça peut prêter à confusion mais ce n'est pas du tout le même problème.

 

Pour le rapport RSIT, il y a quelques trucs qui ne me paraissent pas clair, on va vérifier certains fichiers sur Virus Total :

Pour être sur de les trouver :

• Ouvre le poste de travail
  
• Va dans le menu Outils, Options des dossier, onglet Affichage
  
• Coches Afficher les fichiers et dossiers cachés
  
• Décoche Masquer les extensions de fichiers dont le type est connu
  
• Décoche Masquer les fichiers protégés du système d'exploitation (accepte l'avertissement)
  
• Clique sur Appliquer puis sur OK
  
• Ferme le poste de travail
  

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusqu'à ces fichiers un par un, si tu les trouves :
  

• C:\WINDOWS\system32\drivers\TSP.sys
  C:\WINDOWS\system32\drivers\ids0005c.sys
  C:\WINDOWS\system32\drivers\ids00026.sys
  C:\WINDOWS\system32\drivers\adxapie.sys
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaitre
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

[Dylav]

Réponse à ton message ci-dessus :

1) Poste de travail est toujours configuré avec ces options, chez moi (j'ai contrôlé).

2) aucun des 4 fichiers n'est présent dans le répertoire C:/Windows/system32/drivers (de peur que mes yeux se croisent, je suis même allé vérifier avec des commandes dir sous cmd).

 

Par ailleurs, à tout hasard, voici le rapport ToolBarSD (que j'ai fait tourner). Il semble quasiment identique au précédent.

 

-----------\\ ToolBar S&D 1.2.6 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : BIOS Date: 12/14/04 19:30:48 Ver: 08.00.10

USER : HP_Administrateur ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 0.0.0.0 (Activated)

Firewall : ZoneAlarm Firewall 5.5.109.000 (Activated)

C:\ (Local Disk) - NTFS - Total:180 Go (Free:45 Go)

D:\ (Local Disk) - FAT32 - Total:5 Go (Free:0 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (USB)

 

"C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )

Option : [1] ( 09/12/2008| 0:01 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop"

"Default_Search_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="about:blank"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 08/12/2008|18:50 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 09/12/2008| 0:07 - Option : [1]

 

-----------\\ Fin du rapport a 0:07:21,43

[Loup blanc]

Pour l'instant je crois que le mieux à faire est de lancer cette vérification du disque.

[Dylav]

OK. C'est parti.

[Loup blanc]

Est-ce que la nouvelle session fonctionne toujours correctement ?

[Dylav]

Incroyable. Sur fond bleu µ$ (au cours d'un redémarrage, obligatoire), ça a durée quelques secondes, et est apparu le message “Le disque est propre” (alors qu'au bureau, sous XP Pro il est vrai, le scan a duré environ une heure, pour un DD beaucoup plus petit, par ailleurs).

 

Alors, docteur ? Moi, je trouve ça suspect. Veux-tu que je réessaie ?

 

-edit-

Pour la nouvelle session, oui, si ce n'est qu'elle ne contient aucune autre donnée que des fichiers sons et images bateaux...

Modifié le 9 décembre 2008 par dylav

[Loup blanc]

Tu as du oublier de cocher une des deux cases (rechercher et tenter une récupération de secteurs défectueux)

[Dylav]

Je ne pense pas… mais je recommence. Allez hop.

[Dylav]

Bon. Quand, après 1h45 d'écran bleu Windows, sur le message

CHKDSK est en train de vérifier les données du fichier (étape 4 de 5)...

67 pour cent terminé.

le 67 est enfin passé à 68 au bout de 10 mn, je me suis dit que la nuit ne serait pas assez longue et j'ai coupé le PC. Je relancerai ce scan beaucoup beaucoup plus tôt dans la journée.

 

J'ai recopié dans la nouvelle session les 70 Mo peut-être indispensables (sur les 11 Go de la session originelle), ce qui devrait la rendre opérationnelle pour ce jourd'hui qui pointe.

 

Voilà où j'en suis. J'accepte volontiers toute hypothèse de travail pour demain en fin d'après-midi, sachant que je viendrai aux nouvelles dans la journée (à partir de mon bureau).

 

Et maintenant