Sauvegarde des données

[timat]

Bonjour Pear et merci de ton intervention.

 

1)je joins les rapports de rk il n'y en a que 3 les autres étant vides. Je vous précise que j'avais lancer rk précédemment à votre intervention et qu'il m avait "supprimer" en apparence avec hostproxy et suppression

mais ce proxy revient sans cesse et je le décoche régulièrement sur chrome dans les paramètres proxy et souvent après zhp diag je supprime les lignes r5 signalées en malware avec zhp fix

 

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : bernard [Droits d'admin]

Mode : Recherche -- Date : 09/06/2013 14:41:53

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

-> I:\windows\system32\config\SOFTWARE

-> I:\windows\system32\config\SYSTEM

-> I:\Users\Administrator\NTUSER.DAT

-> I:\Users\Default\NTUSER.DAT

-> I:\Users\Default User\NTUSER.DAT

-> I:\Documents and Settings\administrateur 2\NTUSER.DAT

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++

--- User ---

[MBR] 17675ae2ae1395ee0c791291ce4f8487

[bSP] 76e04b27271f25fedbed01f449a331fe : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13183 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27000832 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27205632 | Size: 243655 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 526213120 | Size: 219999 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST912082 2AS USB Device +++++

--- User ---

[MBR] 816f08ac593b54e8950eac1d911fb5f0

[bSP] ded5a4888105ecac2a6a116fa53bbe5c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16787925 | Size: 106275 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++

--- User ---

[MBR] 2cad1879d3ecde5c7399cdd5593b0c2f

[bSP] 1343860dbef73a961735f1522ff55311 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1]_S_09062013_144153.txt >>

RKreport[1]_S_09062013_144153.txt

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : bernard [Droits d'admin]

Mode : HOSTS RAZ -- Date : 09/06/2013 14:42:16

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

-> I:\windows\system32\config\SOFTWARE

-> I:\windows\system32\config\SYSTEM

-> I:\Users\Administrator\NTUSER.DAT

-> I:\Users\Default\NTUSER.DAT

-> I:\Users\Default User\NTUSER.DAT

-> I:\Documents and Settings\administrateur 2\NTUSER.DAT

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[2]_H_09062013_144216.txt >>

RKreport[1]_S_09062013_144153.txt ; RKreport[2]_H_09062013_144216.txt

 

 

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : bernard [Droits d'admin]

Mode : Suppression -- Date : 09/06/2013 14:44:39

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Ruches Externes: ¤¤¤

-> I:\windows\system32\config\SOFTWARE

-> I:\windows\system32\config\SYSTEM

-> I:\Users\Administrator\NTUSER.DAT

-> I:\Users\Default\NTUSER.DAT

-> I:\Users\Default User\NTUSER.DAT

-> I:\Documents and Settings\administrateur 2\NTUSER.DAT

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++

--- User ---

[MBR] 17675ae2ae1395ee0c791291ce4f8487

[bSP] 76e04b27271f25fedbed01f449a331fe : Windows 7/8 MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13183 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27000832 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27205632 | Size: 243655 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 526213120 | Size: 219999 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: ST912082 2AS USB Device +++++

--- User ---

[MBR] 816f08ac593b54e8950eac1d911fb5f0

[bSP] ded5a4888105ecac2a6a116fa53bbe5c : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16787925 | Size: 106275 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: WD 5000AAV External USB Device +++++

--- User ---

[MBR] 2cad1879d3ecde5c7399cdd5593b0c2f

[bSP] 1343860dbef73a961735f1522ff55311 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[3]_D_09062013_144439.txt >>

RKreport[1]_S_09062013_144153.txt ; RKreport[2]_H_09062013_144216.txt ; RKreport[3]_D_09062013_144439.txt

 

2) La restauration n'a pas put s’exécuter car je n'ai aucune sauvegarde windows!!!

 

3) J'ai passé malware byte et bitdefender en analyse complète mais rien ne se révèle

 

 

A bientôt de vous lire

Modifié le 9 juin 2013 par Tonton
Suppression citation inutile. Utiliser le bouton "AJOUTER UNE REPONSE" et non "REPONDRE" :-)

[pear]

La restauration n'a pas put s’exécuter car je n'ai aucune sauvegarde windows!!!

 

C'est tout le problème.

Pourquoi n'en faites vous pas ?

 

L'auriez vous désinstallée ?

Désinstaller la Restauration Système.

 

Poste de Travai(Ordinateur)->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite et Redémarrerez

Un nouveau point de restauration sera créé au redémarrage.

Sous Vista:

Sous Windows 7

[timat]

Re Pear,

Opération impossible à réaliser car erreur " 0x81000203.

 

J'avais installé Acronis true image home. Ce logiciel de sauvegarde ne me donnait pas satisfaction, nombreux plantage en sauvegarde etc et heureusement pas de restauration à effectuer

car je ne sais pas le résultat que j'aurais obtenu. J'ai désinstallé ce logiciel, pensant pouvoir revenir sans problème à la sauv/restor Windows mais là hiccc

Est venu se rajouter ce souci avec le proxy donc voilà pourquoi je n'ai pas de sauvegarde windows. Cela m'inquiète et j'ai fait tout récemment 1 sauvegarde avec Paragon back up recovery.

Toutefois cette sauvegarde comporte les problèmes cités plus haut

[timat]

Re Re

 

J'ai trouvé la raison du code erreur c'était le mode turbo de tune up utility qui posait soucis. Je n'ai donc rien eu à supprimer en restau puisqu'il n'y en avait aucune.

J'ai relancé le pc et j'ai créé 1 pt de restau ce qui a semble t-il marché, mais pas en passant par le panneau de config car le lien sauv/restau ne fonctionne pas mais

par ordi/propriété/créer 1 pt de restau. Ouf si cela résout le soucis. Quand pensez vous? Reste le problème de ce proxy donc des malwares en r5

[pear]

J'ai trouvé la raison du code erreur c'était le mode turbo de tune up utility qui posait soucis.

 

On ne le dira jamais assez, ce truc pose plus de problèmes qu'il n'en résout .

UNe bonne chose que vous ayez trouvé une solution.

 

J'allais vous proposer ceci:

la restauration du système a rencontré une erreur 0x81000203.

 

Essayer de réexécuter la restauration du système.

démarrer->Exécuter-> services.msc

 

Rechercher le service:

Fournisseur de cliché instantané de logiciel microsoft

 

dans "type de démarage" mettre automatique,

dans "état des services"

cliquer sur Démarrer

Cliquer "Appliquer"

Redémarrer

 

 

Pour le proxy qui revient,je suppose que vous faites ceci:

Sous Google chrome

 

Lancez Google chrome

Allez sur la clé en haut à droite

Puis dans Options

Puis Options avancées

Puis cliquez sur Modifier les paramètres du proxy situé dans la partie Réseau

Puis sur l'onglet Connexions

Enfin sur Paramètres réseau.

Cochez : ne pas activer de Serveur proxy...

 

essayez ces outils:

 

1)Étape 1: TDSSKiller (de Kaspersky), installation

Téléchargez tdsskiller.zip depuis le lien ci-dessous:

http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

 

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.

 

 

Étape 2: TDSSKiller (de Kaspersky), exécution

Faites un double clic sur TDSSKiller.exe pour le lancer.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche:

 

Cochez la case située devant Loaded modules

 

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".

 

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

 

Le PC redémarre.

 

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

 

Soyez patient, et attendez que vos programmes se chargent.

 

L'écran de TDSSKiller s'affiche:

 

Cliquez sur Change parameters

 

L'écran Settings de TDSSKiller s'affiche.

Cochez toutes les cases, comme ceci:

 

puis cliquez sur le bouton OK.

 

Cliquez maintenant sur Start scan pour lancer l'analyse.

 

Déroulement de l'analyse:

 

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

 

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas

*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.

*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

 

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:

 

Ensuite cliquez sur le bouton Continue

 

Un redémarrage est nécessaire:

 

Cliquez sur Reboot computer

 

 

Étape 3: Résultats

Envoyez en réponse:

*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)

[%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

2)

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

 

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

 

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

 

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 9 juin 2013 par pear

[timat]

Mon lien

Mon lien

 

Le rapport kaspersky est vierge de tout problème. Je vais refaire mbab maintenant

[timat]

Bonsoir,

Le rapport mab est vierge aussi. Bonne soirée

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.06.09.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16576

bernard :: BERNARD-VAIO [administrateur]

 

09/06/2013 18:20:05

mbam-log-2013-06-09 (18-20-05).txt

 

Type d'examen: Examen complet (B:\|C:\|D:\|E:\|H:\|I:\|J:\|Q:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 736279

Temps écoulé: 2 heure(s), 44 minute(s), 1 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

[pear]

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de Subs

 

et sauvegardez le sur le bureau

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré

Il se trouve à c:\combofix.txt

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

[timat]

Bonjour,

 

Voici le lien du rapport ComboFix, qui me semble sans problème.

Bonne journée et mille mercis encore pour ce temps passé sur mon problème.

[pear]

Ce que je vois dans ce rapport:

 

1)Le proxy n'est pas désactivé:

uInternet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877

 

2)Présence d'Avg alors que vous utlisez Bitdefender:

 

Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\15.2.0\ViProtocol.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"vProt"="c:\program files (x86)\AVG Secure Search\vprot.exe" [2013-06-09 1226928]

S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx64.sys;c:\windows\SYSNATIVE\drivers\avgtpx64.sys [x]

S2 vToolbarUpdater15.2.0;vToolbarUpdater15.2.0;c:\program files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.2.0\ToolbarUpdater.exe;c:\program files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.2.0\ToolbarUpdater.exe [x]