Éradication de "Windows XP Recovery" - suite

[bernard53]

C:\Systeme Volume information\-restore {6B545D7D-D0D0-42C0-85a5-D58EE67CACD9}\RP1\A000....exe

Pas de soucis c(est la resrauration système on va s"en occuper plus tard

 

puis sur

 

C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec\SYMANT~1\APTemp\APQ...tmp

Pas de soucis, fichier temporaire, il faut juste faire ceci.

 

[*]Cliquer ICI,descendre jusqu'à PureRa et cliquer sur Download Windows Binary pour télécharger le fichier (.zip) sur le Bureau.

 

[*]Cliquer-droit sur le nouveau fichier => "Extraire ici".

 

[*]Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur PureRa.exe (Vista et Windows 7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") puis cliquer sur Next.

 

[*]Cocher la case Check All et cliquer sur le bouton Clean

 

Un rapport sera créé. Inutile de le poster sur le forum

 

 

Pour ta barre de taches rapide.

 

Fait ceci: démarrer >> exécuter >> ou " touche windows + R" puis tapes ou fait un copier coller de ceci.

 

%AppData%\Microsoft\Internet Explorer\Quick Launch

 

Ensuite il suffit de faire un glisser – copier des raccourcis voulus dans ce dossier pour les avoir dans la barre de lancements rapide.

[patou230]

Bonsoir

 

Je viens de passer mon ordi avec PureRa.

Dans un premier passage, il me précise dans un long rapport : "Total space cleaned : 908 653 651 bytes",

Dans un deuxième passage, il m'indique dans un rapport réduit :

 

RaProducts' PureRa v1.6

Log created at 00:15 on 14/06/2011

C:\Config.MSI emptied.

C:\WINDOWS\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable.

Recycle bin emptied.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs emptied.

C:\WINDOWS\SoftwareDistribution\DataStore\Logs emptied.

C:\WINDOWS\SoftwareDistribution\Download emptied.

C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default emptied.

C:\WINDOWS\SoftwareDistribution\WuRedir emptied.

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

C:\DOCUME~1\PATRICK\LOCALS~1\Temp emptied.

C:\WINDOWS\TEMP emptied.

C:\WINDOWS\system32\wbem\Logs\wbemcore.log <- Successfully deleted.

 

Total space cleaned: 12172 bytes

 

-=E.O.F=-

 

Je vais laisser mon ordi allumé pour voir comment se comporte mon antivirus.

 

 

Je viens de m'apercevoir en consultant mon antivirus symantec que je maitrise très mal :

dans Backup Items

 

Risk.............Filename...............Original Location...................Status.............Date

 

Trojan.FakeAV!gen42.....Adobe_Flash_Player.exe....C:\Documents and Settings\PATRICK\Local Settings\Temp\...Infected......30/05/2011

 

Backdoor.Cycbot..........csrss.exe...........c:\documents and settings\patrick\local settings\temp\.....cleaned.....30/05/2011

 

UltraDefragger............18603812.exe.......c:\documents and settings\all users\application data\......Infected............30/05/2011

 

Je me demande si Trojan.FakeAV!gen42 et UltraDefragger sont bien éradiqués ?

 

Pour la barre des taches, je vais consulter sur un autre ordi, les raccourcis utilisés.

 

Je te remercie encore de ton aide

[bernard53]

tu signales que tu vois des intrus dans "Backup Items" de Norton.

Cela doit être sa quarantaine je pense. Tu peux le vider sans soucis.

 

tu as vu les dates de suppression

 

UltraDefragger............18603812.exe.......c:\documents and settings\all users\application data\......Infected............30/05/2011

Modifié le 14 juin 2011 par bernard53

[patou230]

Bonsoir

 

C'est une sacrée vermine qui s'est installée et a corrompu mon ordi au début du mois.

 

Ainsi, je ne peux plus mettre à jour Adobe Flash Player . Quand je clique "télécharger dès maintenant", une fenêtre s'ouvre :

iexplore.exe - Erreur d'application

L'instruction à "0x092d0068" emploie l'adresse mémoire "0x092d0068". La mémoire ne peut pas être "written".

Cliquez sur OK pour terminer le programme.

Cliquez sur Annuler pour déboguer le programme.

 

Quand je clique sur déboguer, une page Internet s'ouvre me signalant :

"En raison d’un module complémentaire malveillant ou présentant un dysfonctionnement, Internet Explorer a dû fermer cette page Web.

Effectuez l’une des opérations suivantes :

Atteindre la page de démarrage

Essayez de revenir à adobe.com Informations

La prévention de l’exécution des données Windows a détecté qu’un module complémentaire essaie d’utiliser la mémoire système de manière incorrecte. Il peut s’agir d’un dysfonctionnement ou d’une malveillance.

Autres opérations possibles :

Aller sur Internet pour en savoir plus sur la fonction de prévention d’exécution des données"

 

D'autre part, mon antivirus Symantec me signale toujours la présence de malwares Bloodhound.MalPE

 

Comme les points de restauration ont été annihilés par cette vermine, la seule solution, je pense, va être de formater le disque dur et d'installer les disquettes de récupération HP.

Ca va être une autre paire de manche. Va falloir que je retrouve ces satanées disquettes.

 

Y a-t-il une possibilité peut être avec la sauvegarde de la base de registre que j'ai faite en début d'année et installée sur le bureau de l'ordi ???

[bernard53]

Attention pas besoin de formater pour résoudre ton soucis avec la restauration, juste ceci.

 

 

Maintenant on va mettre la restauration du système propre.

 

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés

ou touche "Windows+Pause"

Cliquez sur l'onglet Restauration du système

 

Sélectionnez Désactiver la Restauration du système sur tous les lecteurs.

 

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

 

Attendre quelques instants puis :

 

activer la restauration du système de nouveau. en décochant la case que vous venez de cocher puis valider par Appliquer et OK

 

Maintenant on crée un nouveau point de restauration.

 

Démarrer—Exécuter—ou touche "Windows+R" et tapes:

%SystemRoot%\System32\restore\rstrui.exe

 

Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Pour abode flash Player

 

Ce soucis peux être lié à une installation incomplète du lecteur du Flash ayant entrainé une mauvaise initialisation des clés de la base de registre utilisés par le lecteur.

 

Pour résoudre cela, télécharger sur votre bureau l’utilitaire de désinstallation d’Abode.

Cet utilitaire est à cette adresse.

http://download.macromedia.com/pub/flashplayer/current/uninstall_flash_player.exe

 

Fermez tous les logiciels, et lancer ce programme de désinstallation.

 

Une fois ceci fait, relancer IE pour télécharger la version complète du lecteur flash.

 

Télécharger <<ICI>>

 

Enregistrer et installer le fichier .exe

 

Fermez tous les navigateurs pour installer flashplayer.

 

Ensuite redémarrez le pc .

[patou230]

Bonsoir

 

Après 5 jours d'absence, je suis de retour.

 

Je viens de créer mon point de restauration "PC- Clean".

 

Pour abode flash Player, j'ai bien cru ne pouvoir le réinstaller en allant sur son site.

À chaque fois "L'instruction à "0x092d0068" emploie l'adresse mémoire "0x092d0068". La mémoire ne peut pas être "written" " apparaissait et bloquait le chargement.

Je n'ai réussi à installer la dernière version qu'en allant sur une vidéo d'une page internet et en courcircuitant une fraction de seconde le message cité ci dessus.

 

Pour les dossiers vides du menu Démarrer / tous les programmes, que faire pour les rendre visibles ???

[bernard53]

Pour les dossiers vides du menu Démarrer / tous les programmes, que faire pour les rendre visibles ???

Hélas on ne peux rien faire pour certains dossiers seuls toi peux recréé les raccourcis de ces dossiers.

[patou230]

Bonsoir

 

Comment fait-on pour recréer les raccourcis de ces dossiers ? Donne moi un exemple.

 

Merci d'avance. (Ce qui est simple peut paraître compliqué pour un non initié comme moi.)

[patou230]

Rebonsoir

 

Je viens de découvrir ce site Internet pour supprimer Windows XP / Vista / 7 récupération

En anglais :

Remove Windows XP / Vista / 7 Recovery

Traduit en francais :

http://www.microsofttranslator.com/BV.aspx?ref=IE8Activity&a=http%3A%2F%2Fwww.pctools.com%2Fforum%2Fshowthread.php%3F69036-Remove-Windows-XP-Vista-7-Recovery%26p%3D239075%23post239075

 

Peut on leur faire confiance ?. Qu’en penses-tu ?

 

Je n’ai rien commencé, mais il faut savoir que j’ai mon antivirus qui me signale toujours des défauts sur mon ordi.

J’ai réinscrit ci-dessous ce que ce site propose.

J’ai mis entre parenthèse ce que je ne comprends pas, ce qui est écrit dans ma base de registre,

Etc.…

Pas très fortiche en anglais, j’ai parfois laissé la traduction en français sans la modifier.

 

Guide de suppression manuelle

 

Supprimer les éléments suivants a chuté de fichiers et dossier de création :

 

Récupération de Windows XP :

 

Code

%desktopdirectory%\Windows XP Recovery.lnk

%startmenu%\Windows XP Recovery\Windows XP Recovery.lnk

%startmenu%\Windows XP Recovery\Uninstall Windows XP Recovery.lnk

%commonappdata%\<random numbers>.exe

%commonappdata%\<random letters>.exe

%startmenu%\Windows XP Recovery\

 

(je ne sais pas ce que c’est ????)

 

Pour l'édition du Registre windows, demander gentiment de l’aide pour éviter les problèmes.

 

Supprimez la clé de démarrage automatique suivante :

 

Code :

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

<random letters>=%commonappdata%\<random letters>.exe (n’existe pas)

 

 

Modifiez les entrées de Registre suivantes pour leurs valeurs par défaut :

 

Code :

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"DisableScriptDebuggerIE"="yes" (j’ai)

 

Default value: "DisableScriptDebuggerIE"=no

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Error Dlg Displayed On Every Error"="no" (j’ai)

 

Default value: "Error Dlg Displayed On Every Error"=no

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Use FormSuggest"="Yes" (j’ai)

 

Default value: No Registry Entry

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"TabProcGrowth"=dword:00000001 (n’existe pas)

 

Default value: No Registry Entry

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

Play_Background_Sounds="yes" (j’ai)

 

Default value: "Play_Background_Sounds"="no"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download]

CheckExeSignatures="yes"

 

Default value: "CheckExeSignatures"=no (j’ai)

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"WarnonBadCertRecving"=dword:00000000 (j’ai : 0x00000000 (0))

 

Default value: "WarnonBadCertRecving"=dword:00000001

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]

"SaveZoneInformation"=dword:00000001 (j’ai)

 

Default value: "SaveZoneInformation"=dword:00000002

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000001

 

Default value: "DisableTaskMgr"=dword:00000000

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]

"NoChangingWallPaper"=dword:00000001

 

Default value: "NoChangingWallPaper"=dword:00000000 (j’ai : 0x00000000 (0))

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDesktop"=dword:00000001

 

Default value: "NoDesktop"=dword:00000000 (n’existe pas mais j’ai NoActiveDesktop0x00000000 (0))

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Hidden=dword:00000001

 

Default value: "Hidden"=dword:00000000 (j’ai pas mais j’ai 000000002 (2))

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

ShowSuperHidden=dword:00000001

 

Default value: "ShowSuperHidden"=dword:00000000 (j’ai)

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

SuperHidden=dword:00000001 (j’ai)

 

Default value: "SuperHidden"=dword:00000000

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000001

 

Default value: "DisableTaskMgr"=dword:00000000 (j’ai)

 

NOTE : Si vous ne souhaitez pas faire ces modifications manuellement, téléchargez et exécutez le fichier batch ci-dessous :

http://downloads.support.PCTools.com/148_wr_cleanup.zip

(peut on l’utiliser même si une clé n’existe pas)

 

Nous recommandons l'utilisation de PC Tools Spyware Doctor (connais tu ???) pour analyser l'ordinateur affecté et automatiquement supprimer toutes les traces de l'infection, y compris les processus malveillants en cours, a chuté de fichiers et créé des dossiers, des clés de Registre et les entrées de Registre.

 

Pour modifier les attributs des fichiers cachés et dossiers, veuillez vous référer à l'aide de commandes MS-DOS Attrib pour modifier les fichiers pour les attributs souhaités :

 

Allez dans Démarrer - > Run - > type « cmd » - > type en invite cmd "attrib /? »

(c’est quoi ???)

Vous pouvez également consulter ce lien pour plus d'informations :

MS-DOS attrib command help

(pourquoi faire ???)

Exemple d'utilisation :

Pour effacer l'attribut caché de tous les fichiers et dossiers, exécutez ce qui suit dans le répertoire racine :

 

Code :

Attrib /D /S –h

(C’est quoi ???Ca me dépasse)

 

 

Dernière édition par ermite ; 06-07-2011 à 10 H 35

[bernard53]

Pour le site, moi et mon anglais c'est deux

 

Il me semble que la commande "HiddenFix" que je t'ai mis dans Zhpfix est la même chose que sur le site, mais je vais me renseigner et te donner l'info.