Libellules.ch - forum d'informatique • Virus coriace restauration système [résolu] : Désinfections et demandes d'analyse

par **Falkra** » 23 Mai 2006 15:23

Les 3 premiers sont dans la zone de quarantaine/infecté de l'antivirus. Purge ça, bitdefender doit le proposer, sous un nom ou un autre.
Les 3 suivants dans la restauration système. Trusted zone est une plaie, les zones en questions ne figurent pas dans le log hijackthis, bon point.

Passe en mode sans échec (F8 au demarrage), une fois là, désactive la restauration système, scanne et efface systématiquement tout ce qui est infecté. Redémarre, scanne (là c'est sensé aller mieux). Réactive si tu l'utilises la restauration. C'est une plaie cette restauratino système, un nid à saletés, qui ont ainsi leur accès VIP pour que windows les conserve et même les multiplie.

par **pascou_26** » 23 Mai 2006 15:25

ok je vais le faire.
J'espère que ça va marché :lol:

par **pascou_26** » 23 Mai 2006 15:49

En mode sans echec ( F8 ) impossible de scanner, Bitdefender me donne une erreur.

Que faire?

par **Falkra** » 23 Mai 2006 15:52

Arf, bravo bitdefender...

Retourner en mode sans échec et effacer manuellement ces fichiers serait une solution, en notant bien les noms et dossiers. Normalement la désactivation de la restauration supprime le contenu des dossiers, il ne devrait rien y avoir.

Active l'affichage des fichiers cachés et protégés du système pour y voir mieux (ouvre l'explorateur, menu "outils", 'options des dossiers', onglet "affichage" :

Coche afficher les fichiers et dossiers cachés
décoche masquer les fihciers protégés du ssytème d'exploitation
applique, une fois fini tu peux remettre comme avant.

Courage :-D

par **pascou_26** » 23 Mai 2006 16:17

Quand je suis en mode sans échec, je n’ai rien sous le dossier C:\System Volume Information

Faut-il réactivé la restauration du système pour voir les fichiers?

par **Falkra** » 23 Mai 2006 16:23

Cela prouve que la restauratin système a bien effacé ces fichiers. Si tu as bien effacé les autres, ils ne devraient pas revenir, à moins qu'un autre processus (dans le log hijackthis) ne soit encore en trop.

Vérifie que C:\Windows\RUNXMLPL.exe soit bien effacé

par **pascou_26** » 23 Mai 2006 16:26

Mais je n'ai rien supprimer, j'ai fais ce que tu ma dis de faire, d'aller supprimer manuellement les fichier invecter sous C:\System Volume Information.

Mais quand je suis aller sous ce fichier il était déjà vide !

par **Falkra** » 23 Mai 2006 16:37

Ok, c'est normal, ça prouve que la restauration est bien désactivée. Redémarre normalement, il ne devrait rien rester. S'il y a des restes (en dehors de la zone de quarantaine, à effacer aussi), nous avons oublié quelque chose.

par **pascou_26** » 23 Mai 2006 16:38

Quand je vais en mode normal sous C:\WINDOWS , j'ai un fichier RunXMLPL et quand je vais sous proprieter c'est ecris
crééer le jeudi, 16. septembre 2004, 17:09:14
Modifier le mardi, 20. avril 2004, 16:49:00

Je dois le supprimer ce fichier?

par **Falkra** » 23 Mai 2006 16:42

Oui, il est associé à des adwares. si tu as bien fait fix checked sur sa ligne, il ne doit pas être chargé en mémoire et doit s'effacer gentiment. (sinon ouvre le gestionnaire des tâches, tue son processus et efface-le).