| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
 Posté le: 13 Oct 2008 21:48 Sujet du message: Restauration systeme se désactive au démarrage [Résolu] |
|
|
Bonjour
Apres m'etre debarrassé d'un virus Bagle (enfin j'espere)
tout refonctionne sous windows Xp
sauf que j'ai beau activé la restauration systeme, elle se désactive
au démarrage systeme
(lorsque le virus avait attaqué, un des premiers dégats avait été
la désactivation de la restauration)
j'ai Mc afee et Spybot qui "surveillent" en continu
Merci
Geval |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 14 Oct 2008 5:33 Sujet du message: |
|
|
Bonjour & bienvenue,
Le service de Restauration Système est peut être désactivé.
- Clique sur Démarrer/Exécuter > tape services.msc
- Dans la liste des services double clique sur Service de restauration système
- Vérifie que que le type de démarrage est bien sur "Automatique" et le statut du service en "Démarré"
| Citation: | | Apres m'etre debarrassé d'un virus Bagle (enfin j'espere) |
Bagle est un rootkit assez coriace, qui se propage par le P2P et en particulier les cracks. Je te conseille de demander une petite vérification sur le forum Désinfection des virus & analyses de logs HijackThis
| Citation: | | j'ai Mc afee et Spybot qui "surveillent" en continu |
Spybot ne te sera d'aucune utilité sur ce coup là. 
@+
_________________
 |
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 14 Oct 2008 11:21 Sujet du message: |
|
|
J'ai appliqué ta procédure : effectivement il était en manuel
je l'ai donc mis en automatique et en "demarrer"
mais lors du redemarrage la fonction restauration était à nouveau desactivée
merci |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 14 Oct 2008 11:43 Sujet du message: |
|
|
Re,
De quelle façon tu t'y es pris pour enlever Bagle de ta machine ?
Vérifie dans le registre quelle est la valeur de la clé (Démarrer/Exécuter -> Regedit)
| Code: | | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore |
Une fois que tu as trouvé cette clé, regarge dans le Panneau de droite, il y a une valeur nommée DisableSR : double clique dessus et remets la valeur à 0 si elle est à 1, comme sur l'image :
/!\ Ne touche à rien d'autre dans le registre et fais très attention, c'est le coeur de Windows.
Réactive ensuite le service, redémarre et dis moi ce que ça donne. :)
++
_________________
|
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 15 Oct 2008 0:56 Sujet du message: |
|
|
j'ai effectivement contracter un Bagle en ouvrant un programme
pour cracker un logiciel : je suis puni
j'ai essayé de m'en debarassé avec deux fix specifiques fournis par Norton
mais j'ai du effacer manuellement des wintems, hdssr, german ..etc..
dans system 32, local settings, et la base de registre (run) ainsi que les
ID que le virus avait crées pour se connecter sur internet
depuis ça tourne bien ( notamment sans ce ralentissement caracteristique de l'explorateur)....
la clef que tu m'indiques était bien sur 0, hélas |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 15 Oct 2008 11:19 Sujet du message: |
|
|
Bonjour,
| Geval a écrit: | j'ai essayé de m'en debarassé avec deux fix specifiques fournis par Norton
mais j'ai du effacer manuellement des wintems, hdssr, german ..etc..
dans system 32, local settings, et la base de registre (run) ainsi que les
ID que le virus avait crées pour se connecter sur internet
depuis ça tourne bien ( notamment sans ce ralentissement caracteristique de l'explorateur).... |
Je pense qu'il y a des restes et peut être même qu'il est encore actif.
On va vérifier ça, et utiliser des outils qui vont restaurer les paramètres de Windows par défaut.
- Télécharge combofix.exe, de sUBs, sur ton Bureau,
Désactive ton antivirus et tes autres protections (Spybot) pour que Combofix puisse s'éxécuter normalement
- Ferme toutes tes applications en cours, il peut y avoir un redémarrage du PC,
- Double clique combofix.exe,
- Tape sur la touche 1 (Yes) pour démarrer le scan,
 Ne clique pas dans la fenêtre de Combofix pendant qu'il effectue son scan.
- Lorsque le scan sera complété, un rapport apparaîtra.
- Poste l'intégralité du rapport dans ta prochaine réponse sous forme de lien, comme c'est expliqué ICI.
NB : Le rapport se trouve également là : C:\Combofix.txt.
Si difficulté, reporte-toi au tutoriel de Combofix.
 Une fois que tu auras vu mon message, je déplacerai le sujet sur le forum Désinfection.
@+
_________________
|
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 16 Oct 2008 10:56 Sujet du message: |
|
|
ok merci
je vais faire ça ce week end; pour l'instant je suis un peu en phase de saturation informatique....
il y a un truc cependant qui " m'interpelle " : je me suis mis en mode administrateur (mode sans echec xp familial) et activé la restauration
et bien la restauration a été à nouveau désactivée en demarrage normal
ça vient de la base de registre ? (mais dans quelle clef ça pourrait être ?
: j'ai verifié les run,logon )
ou du chargement d'un service ?
merci |
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 16 Oct 2008 11:13 Sujet du message: |
|
|
il semble que c'est mon statut d'administrateur qui est instable
par ex, parfois j'accede à ms config sans probleme et d'autre fois,
il m'est repondu que les modif sont interdites car non administrateur
est ce que ça peut se régler dans le registre ?
merci |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 16 Oct 2008 11:26 Sujet du message: |
|
|
Bonjour,
En mode sans échec, seuls les processus permettant le démarrage minimal de XP sont actifs.
Si l'activation ne fonctionne pas en mode normal, le mode sans échec ne pourra rien faire pour toi.
Le service est de toute évidence en restriction, et c'est probablement une clé de registre qui est en cause. Bagle va très loin au niveau des restrictions, une fois qu'il est sur la machine il en prend le contrôle.
La clé de service concernant la restauration du système :
| Code: | | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Srservice |
Je te donne un screen shot de ma propre clé si tu veux comparer :
Mais je pense que ça ne t'avancera pas.
Combofix est un moyen radical qui te prendra moins de temps que de chercher une aiguille dans une meule de foin, puisqu'il indique les restrictions en vigueur sur la machine, et restaure les paramètres de Windows. Ce serait peut être même réglé à l'heure qu'il est. :)
Combofix = + fort que Bagle 
Maintenant c'est toi qui vois.
_________________
|
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 16 Oct 2008 19:08 Sujet du message: |
|
|
j'ai utilisé combofix dont l'analyse m'a parue plus rapide que ce que je craignais
http://cjoint.com/?kqvaFJB7Gn
les deux premieres choses qui me frappent :
- le rapport indique que la console de récupération n'est pas installée sur cette machine !
-et je vois apparaitre dans Documents and Settings, un dossier Administrateur à coté de mon dossier intitulé du nom de mon ouverture de session |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 17 Oct 2008 11:28 Sujet du message: |
|
|
Bonjour,
| Citation: | | - le rapport indique que la console de récupération n'est pas installée sur cette machine ! |
Comme sur la plupart des machines avec un Windows pré-installé par le constructeur en licence OEM.
Pour l'installation de la console de récupération sur ta machine, je te renvoie au tutoriel officiel de Combofix.
| Citation: | | -et je vois apparaitre dans Documents and Settings, un dossier Administrateur à coté de mon dossier intitulé du nom de mon ouverture de session |
Ce compte Administrateur est tout à fait légitime. C'est le compte Admin de Windows par défaut, on n'y touche surtout pas.
Moi ce qui m'inquiéte c'est que tu vas t'aventurer seul dans la base de registre alors que tu ne connais même pas ta machine.
Et ce qui est encore plus inquiétant, c'est l'utilisation que tu en fais. Mais on y reviendra ensuite.
Pour l'instant on continue le nettoyage, ce n'est pas du luxe. Combofix a déjà fait du ménage, mais il en reste.
Suis cette procédure dans l'ordre :
- Télécharge & installe HijackThis
- Par Ajout/Suppression de Programmes, désinstalle Java (j2re1.4)
- Télécharge et installe la dernière version à jour de Java, ça comblera une grosse faille de sécurité.
- Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
- Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
| Citation: | file:
C:\WINDOWS\_delis32.ini
C:\WINDOWS\003000_.tmp
registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=-
dirlook::
C:\bb |
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
Une fois le scan terminé un rapport Combofix.log va apparaître, enregistre-le sur ton Bureau pour pouvoir le retrouver plus facilement.
Une fois le scan terminé un rapport Combofix.log va apparaître, poste son contenu sur ta prochaine réponse.
Réactive ton antivirus et tes autres protections
Lance HijackThis > Clique sur "Do a system scan and save a log file"
Poste le rapport généré sur ta prochaine réponse.
@+
_________________
|
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 17 Oct 2008 19:41 Sujet du message: |
|
|
apres le premier traitement combo, la restauration systeme est à nouveau
stable : apres activation, elle ne dsactive plus lors du redemarrage
Grand merci
voici le log du deuxieme passage combo selon ta prescription :
http://cjoint.com/?krvAGm4TdA |
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 17 Oct 2008 19:47 Sujet du message: |
|
|
et le log Hijack :
http://cjoint.com/?krvOQTScll
j'ai noté une bizarrerie,déjà présente avant les traitements Combo,
et qui persiste : quand je fais des modifs dans MSCONFIG , il ya un
message d'erreur disant que c'est reservé à un administrateur
(et pourtant je suis administr) mais malgré tout ces modifs sont prises
en compte |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8054
Localisation: Rouen (France)
|
| Posté le: 18 Oct 2008 7:47 Sujet du message: |
|
|
Bonjour,
| Geval a écrit: | et qui persiste : quand je fais des modifs dans MSCONFIG , il ya un
message d'erreur disant que c'est reservé à un administrateur
(et pourtant je suis administr) mais malgré tout ces modifs sont prises
en compte |
Tu peux me donner le message d'erreur exact ?
On continue, il en reste
- Mets Internet Explorer à jour, même si tu ne l'utilises pas > Voir cet article chez Malekal.
Tu peux télécharger Internet Explorer 7 >> ICI.
Une erreur s'est glissée sur mon script Combofix, qui du coup, n'a pas nettoyé tout ce que je voulais, donc on va le refaire :
- Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
- Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
| Citation: | file::
C:\WINDOWS\_delis32.ini
C:\WINDOWS\003000_.tmp
|
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
Une fois le scan terminé un rapport Combofix.log va apparaître, enregistre-le sur ton Bureau pour pouvoir le retrouver plus facilement.
Une fois le scan terminé un rapport Combofix.log va apparaître, sauvegarde-le sur ton Bureau pour le retrouver facilement ensuite.
Lance HijackThis > Clique sur "Do a system scan only"
Coche ces lignes et seulement celles-ci :
| Citation: | O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - |
Clique sur Fix Checked et valide les modifictations.
Télécharge Malwarebytes' Anti-Malware (MBAM)
- Double clique sur le fichier téléchargé pour lancer le processus d'installation.
- Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
- Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
- Sélectionne "Exécuter un examen complet"
- Clique sur "Rechercher"
- L'analyse démarre.
- A la fin de l'analyse, un message s'affiche :
| Citation: | | L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. |
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Note : ce scan peut être un peu long (+/- 2h) mais il est important que tu le fasses.
Réactive ton antivirus et tes autres protections (sauf Tea Timer de Spybot, qui est inutile et envahissant).
Poste un nouveau log HijackThis (Do a system scan and save a log file) sans oublier le rapport Combofix et celui de MBAM.
++
_________________
|
|
| Revenir en haut |
|
|
Geval
Nouveau
Inscrit le: 13 Oct 2008
Messages: 18
|
| Posté le: 18 Oct 2008 8:34 Sujet du message: |
|
|
quand je modifie dans msconfig, le message d'erreur est :
"une erreur de refus d'acces a ete renvoyée lors de la tentative de modifier un service. vous devrez peut etre ouvrir une session en utilisant un compte admin pour effectuer les modif specifiées"
cependant la modif est prise en compte lors du redemarrage |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
