Infections Dans La Restauration Système[résolu]

Bonjour,

J'ai un problème après des analyses approfondies sur un PC, je trouve régulièrement des fichiers infectés dans la zone de restauration du système.

C'est un PC que j'ai désinfecté pour les raisons suivantes:

- Infection Via Msn (désinfection avec Msnfix)

- Infection Navipromo (désinfection avec Navilog)

J'ai pourtant désactivé/réactivé la restauration avant l'analyse mais il m'a quand même trouvé des éléments (voir ci-dessous)

Je voudrais m'assurer que ce PC n'a plus de trace d'infection avant de le rendre à son utilisateur. je précise que ce PC au départ était très mal protégé (Windows XP SP1, IE6, antivirus Avast inactif, pas de pare-feu actif à l'exception de celui de la Livebox...)

J'ai donc nettoyé et mis à jour le système et installé BitDefender I.S.

Merci pour votre aide

Trouver d'autres publications étiquetées avec

Réponses

laurent741

BONJOUR

j'ai eu ce probleme il y a quelques temps et j'avais un cheval de troie dans plusieurs point de restauration et j'ai utilisé docteur web qui m'a tout bien nettoyé .

mais si tu veux etre sur fais une analyse en ligne avec panda

bon courage

erivilo

Effectivement, l'analyse de Panda me trouve des éléments :

--------------------------------------------------------------------------------------------------------------------------------------------------------

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\pour la beaute du geste.mp3

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\turning on again phil collins.mp3

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\vive la france zebda.mp3

02946991 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{7DEDB57B-7E70-43A8-9B7E-6D42D91848FC}\RP70\A0066862.exe

02981999 Adware/InternetSpeedMonitor Adware No 0 Yes No C:\Program Files\QdrPack\QdrPack16.exe

03431697 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{7DEDB57B-7E70-43A8-9B7E-6D42D91848FC}\RP66\A0059615.exe

---------------------------------------------------------------------------------------------------------------------------------------------------------

anarchist

Effectivement, l'analyse de Panda me trouve des éléments :

--------------------------------------------------------------------------------------------------------------------------------------------------------

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\pour la beaute du geste.mp3

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\turning on again phil collins.mp3

02941683 ASF/GetaCodec.A Virus No 0 Yes No C:\Documents and Settings\Administrateur.ANNE-M9EOAUCOIK\Mes documents\LimeWire\Saved\vive la france zebda.mp3

02946991 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{7DEDB57B-7E70-43A8-9B7E-6D42D91848FC}\RP70\A0066862.exe

02981999 Adware/InternetSpeedMonitor Adware No 0 Yes No C:\Program Files\QdrPack\QdrPack16.exe

03431697 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{7DEDB57B-7E70-43A8-9B7E-6D42D91848FC}\RP66\A0059615.exe

---------------------------------------------------------------------------------------------------------------------------------------------------------

Essaye en en supprimant les pts de restauration http://www.jenyburn.com/home/comment-netto...ws-xp-et-vista/

erivilo

Essaye en en supprimant les pts de restauration

C'est ce que je fais depuis le début mais l'analyse le retrouve à chaque fois!!

-Max-

C'est ce que je fais depuis le début mais l'analyse le retrouve à chaque fois!!

Bonjour erivilo,

Pour supprimer ces codes malveillants, la seule méthode est de purger les fichiers de restauration.

Pour se faire, procédez comme suit pour Windows XP :

- Désactivez BitDefender (pour ceci décochez l'option "protection en temps réel" sur l'onglet Antivirus de l’interface avancée de BitDefender (accessible en cliquant sur "Paramètres" dans la console BitDefender))

- Cliquez gauche sur le symbole 'Poste de travail' et sélectionnez "Propriétés",

(ou ouvrez le panneau de configuration et double-cliquez sur l'icône "Système")

- Sélectionnez l'onglet "Restauration système" et cochez "Désactiver la restauration du système sur tous les lecteurs"

- Validez par "Ok"

- Ceci fait réactivez l'antivirus (protection en temps réel) puis redémarrez l'ordinateur

Pour Windows Vista :

- Désactivez BitDefender (pour ceci décochez l'option 'protection en temps réel' sur l'onglet Antivirus de l’interface avancée de BitDefender (accessible en cliquant sur "Paramètres" dans la console BitDefender))

- Ouvrez le Panneau de configuration et cliquez sur 'affichage classique'

- Double-cliquez sur l'icône 'Système' puis cliquez sur 'Protection du système'

- Sous l'intitulé 'Points de restauration automatiques', décochez toutes les cases correspondants aux disques

- Dans la demande de confirmation qui apparaît, cliquez sur le bouton 'Désactiver la restauration système' et validez par "Ok"

- Ceci fait réactivez l'antivirus (protection en temps réel) puis redémarrez l'ordinateur

A l'issue de ces manipulations, les fichiers contenant les virus auront été effacés. Vous pourrez si vous le désirez réactiver la restauration système.

Cordialement,

-Max-

erivilo

A force de nettoyage et de désactivation/réactivation de la restauration système, l'infection n'apparaît plus à l'analyse.

DrWeb m'a aider aussi à finaliser le nettoyage (merci à laurent741) en trouvant encore des traces ( à moins qu'il s'agisse de faux positifs? ) :

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

A0099526.exe/data002\32788R22FWJFW\c.bat C:\System Volume Information\_restore{E62ED579-5A79-4771-BD90-5693B814FE82}\RP182\A0099526.exe/data002 Probablement BATCH.Virus

A0099526.exe/data002\32788R22FWJFW\p###ec.cfexe C:\System Volume Information\_restore{E62ED579-5A79-4771-BD90-5693B814FE82}\RP182\A0099526.exe/data002 Program.P###ec.171

data002 C:\System Volume Information\_restore{E62ED579-5A79-4771-BD90-5693B814FE82}\RP182 L'archive contient des éléments infectés

A0099526.exe C:\System Volume Information\_restore{E62ED579-5A79-4771-BD90-5693B814FE82}\RP182 Conteneur comporte des objets infectés Quarantaine.

A0099558.exe C:\System Volume Information\_restore{E62ED579-5A79-4771-BD90-5693B814FE82}\RP183 Tool.Prockill Quarantaine.

Voilà, je pense que tout est bon, merci pour votre aide.