Disparition points de restauration

Bonsoir
avant de faire quoi que ce soit comme manip, j'aimerais que tu essaies de récupérer tes données avec un CD Live, voici un tuto:
http://www.malekal.com/RecuperationDonnees.php

puis:

1

Télécharge DDS et sauvegarde-le sur ton bureau.

Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.

Double-clique sur dds.scr pour lancer l'outil.

Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .

Clique Oui à la prochaine invite Optional Scan.

Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

2

Télécharge Catchme ([#ff0000]Gmer[/#f]) sur ton Bureau.

Double clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.

Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton bureau.)

Bonjour Sham_rock,

Merci tout d'abord de t'intéresser à mon problème !

Comme demandé, voici les resultats de la 1ere étape avec DDS :

DDS (Ver_09-12-01.01) - NTFSx86
Run by Marco at 21:03:23,92 on 13/01/2010
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_16
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.234 [GMT 1:00]

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Documents and Settings\All Users\Application Data\SysApp\SysDir.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\iPod\bin\iPodService.exe
svchost.exe
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Warcraft III\HP View Helper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Marco\Bureau\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.fr/
uSearch Page = hxxp://www.google.fr
uSearch Bar = hxxp://www.google.fr/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
mSearchAssistant = hxxp://www.google.fr/ie
mWinlogon: SFCDisable=4 (0x4)
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [PPLive] "c:\program files\pplive\PPLive.exe" /LoadModule ppvod.dll
uRun: [PPAP] c:\documents and settings\all users\application data\ppliveva\application\PPAP.exe
mRun: [SkyTel] SkyTel.EXE
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\fichiers communs\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [SysDir] "c:\documents and settings\all users\application data\sysapp\SysDir.exe" /Hide
mRun: [c:\program files\dfjdkjfdkjfldjf\winlogin.exe] "c:\program files\dfjdkjfdkjfldjf\criticalproc.exe" /R
dRunOnce: [Config] %systemroot%\system32\run.cmd
dRunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
dRunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
StartupFolder: c:\docume~1\alluse~1\menudm~1\progra~1\dmarra~1\micros~1.lnk - c:\program files\microsoft office\office10\OSA.EXE
uPolicies-explorer: MemCheckBoxInRunDlg = 1 (0x1)
uPolicies-explorer: NoSMBalloonTip = 1 (0x1)
uPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
uPolicies-explorer: NoWelcomeScreen = 1 (0x1)
uPolicies-explorer: NoStrCmpLogical = 0 (0x0)
uPolicies-explorer: NoInstrumentation = 0 (0x0)
dPolicies-explorer: MemCheckBoxInRunDlg = 1 (0x1)
dPolicies-explorer: NoSMBalloonTip = 1 (0x1)
dPolicies-explorer: NoDesktopCleanupWizard = 1 (0x1)
dPolicies-explorer: NoWelcomeScreen = 1 (0x1)
IE: E&xporter vers Microsoft Excel - c:\progra~1\micros~3\office10\EXCEL.EXE/3000
DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} - hxxp://dl.pplive.com/PluginSetup.cab
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\fichiers communs\microsoft shared\web folders\PKMCDO.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\marco\applic~1\mozilla\firefox\profiles\nesu9yxh.default\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R1 avgio;avgio;c:\program files\avira\antivir desktop\avgio.sys [2010-1-13 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\avira\antivir desktop\sched.exe [2010-1-13 108289]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-1-13 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-1-13 55640]

=============== Created Last 30 ================

2010-01-13 18:32:43 0 d-----w- c:\documents and settings\marco\Tracing
2010-01-13 15:59:45 0 d-----r- c:\documents and settings\marco\Mes documents
2010-01-13 15:57:56 0 d-----w- c:\documents and settings\marco\Menu Démarrer
2010-01-13 15:57:56 0 d-----r- c:\documents and settings\marco\Favoris
2010-01-13 15:57:12 184 --sh--w- c:\documents and settings\marco\ntuser.ini
2010-01-13 15:40:48 0 d-----w- c:\program files\Downloaded Installations
2010-01-13 15:25:31 0 d-----w- c:\docume~1\alluse~1\applic~1\SysDll
2010-01-13 15:25:29 0 d-----w- c:\docume~1\alluse~1\applic~1\SysDir
2010-01-13 15:25:11 0 d--h--w- c:\docume~1\alluse~1\applic~1\SysApp
2010-01-13 15:18:26 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-13 15:18:24 0 d-----w- c:\program files\Avira
2010-01-13 15:18:24 0 d-----w- c:\docume~1\alluse~1\applic~1\Avira
2010-01-06 12:31:22 0 d-----w- C:\Jeux
2010-01-04 20:07:48 0 d-----w- c:\program files\Soulseek
2009-12-16 12:36:49 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2009-12-16 12:36:49 8704 ----a-w- c:\windows\system32\kbdjpn.dll
2009-12-16 12:36:49 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2009-12-16 12:36:49 8192 ----a-w- c:\windows\system32\kbdkor.dll
2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2009-12-16 12:36:49 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd106.dll
2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd101c.dll
2009-12-16 12:36:49 6144 ----a-w- c:\windows\system32\kbd101b.dll
2009-12-16 12:36:49 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2009-12-16 12:36:49 5632 ----a-w- c:\windows\system32\kbd103.dll

==================== Find3M ====================

2009-12-02 12:46:41 107679 ----a-w- c:\windows\War3Unin.dat
2009-11-25 18:17:29 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-25 18:17:29 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-16 21:32:36 158823 ----a-w- c:\windows\hpoins15.dat
2009-11-09 19:11:04 2829 ----a-w- c:\windows\War3Unin.pif
2009-11-09 19:11:04 139264 ----a-w- c:\windows\War3Unin.exe
2009-11-09 18:15:37 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-09 17:03:27 21892 ----a-w- c:\windows\system32\emptyregdb.dat

============= FINISH: 21:03:31,31 ===============

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 21:11:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

J'a lu la technique avec Linux, j'en avais déjà entendu parler.
Mais la, mon pc démarre bien et je peux acceder a windows normalement.

Si je recupere mes données du HD avec linux je vais recuperer mes données avec celles qui sont aujourd'hui ?

Linux va me permettre de retrouver mes anciens points de sauvegarde et de retrouver mes données du 11 janvier ?

Bonsoir
le but de la manœuvre est de voir si tu vois le dossier mes documents avec le cd live, comme ça tu fais une sauvegarde et après on attaque l'infection...
Je préfère être prudent, vu que la restauration en a un coup...  

D'accord je vais essayer ca alors, mais le fait que l'espace sur mon disque dur utilisé ne soit plus que 3Go, ceci montre bien que mes documents ont été supprimé du disque dur, tu penses que c'est possible via Linux ?

Je vais essayer alors !

Voila j'ai démarrer sous Linux mais bon... je vois pas ce que ca a changer il n'y à pas mes fichiers vu qu'ils ont été supprimé du disque.

Peut-être quelque chose que je n'ai pas saisi?

bonsoir
je voulais vérifier que le contenu "mes documents" avait bien disparu car c'est la première fois que j'entends une chose pareille...

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

Voici :

ComboFix 10-01-15.01 - Marco 15/01/2010 19:59:54.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.239 [GMT 1:00]
Lancé depuis: c:\documents and settings\Marco\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\SysApp
c:\documents and settings\All Users\Application Data\SysApp\Interop.MSNMessenger.dll
c:\documents and settings\All Users\Application Data\SysApp\Ionic.Zip.Reduced.dll
c:\documents and settings\All Users\Application Data\SysApp\keyboard_key.ico
c:\documents and settings\All Users\Application Data\SysApp\MSNMessengerAPI.tlb
c:\documents and settings\All Users\Application Data\SysApp\SysAppInstaller.exe
c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe
c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe.config
c:\documents and settings\All Users\Application Data\SysApp\SysDir.InstallState
c:\documents and settings\All Users\Application Data\SysApp\TheBestLicence.rtf
c:\windows\Downloaded Program Files\Install.inf
c:\windows\system32\AutoRun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-15 au 2010-01-15 ))))))))))))))))))))))))))))))))))))
.

2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\documents and settings\Marco\Application Data\Canneverbe_Limited
2010-01-14 17:55 . 2010-01-14 17:55 -------- d-----w- c:\documents and settings\Marco\Application Data\vlc
2010-01-13 22:00 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Apple
2010-01-13 21:59 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Application Data\Apple Computer
2010-01-13 18:36 . 2010-01-13 18:37 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Adobe
2010-01-13 18:32 . 2010-01-15 18:42 -------- d-----w- c:\documents and settings\Marco\Tracing
2010-01-13 17:37 . 2010-01-13 17:37 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2010-01-13 15:59 . 2010-01-13 21:59 -------- d-----r- c:\documents and settings\Marco\Mes documents
2010-01-13 15:58 . 2010-01-13 15:58 16952 ----a-w- c:\documents and settings\Marco\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-13 15:57 . 2010-01-13 22:00 -------- d-----w- c:\documents and settings\Marco\Local Settings\Application Data\Apple Computer
2010-01-13 15:57 . 2010-01-13 15:57 -------- d-----w- c:\documents and settings\Marco\Menu Démarrer
2010-01-13 15:57 . 2010-01-13 15:57 -------- d-----r- c:\documents and settings\Marco\Favoris
2010-01-13 15:40 . 2010-01-13 15:40 -------- d-----w- c:\program files\Downloaded Installations
2010-01-13 15:25 . 2010-01-13 15:25 24 ----a-w- c:\documents and settings\All Users\Application Data\SysDll\Sys.dll
2010-01-13 15:25 . 2010-01-13 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SysDll
2010-01-13 15:25 . 2010-01-13 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SysDir
2010-01-13 15:18 . 2010-01-14 16:26 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-06 12:31 . 2010-01-06 12:31 -------- d-----w- C:\Jeux
2010-01-04 20:07 . 2010-01-04 20:14 -------- d-----w- c:\program files\Soulseek

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-15 18:37 . 2009-11-09 19:03 -------- d-----w- c:\program files\Warcraft III
2010-01-15 16:15 . 2009-11-20 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\PPLive
2010-01-15 08:05 . 2009-01-29 08:04 -------- d-----w- c:\program files\Teogdbdkeuyrz
2010-01-15 08:05 . 2009-11-29 11:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-01-14 21:00 . 2009-11-25 18:20 -------- d-----w- c:\program files\CDBurnerXP
2009-12-09 20:20 . 2009-12-09 20:20 -------- d-----w- c:\program files\SopCast
2009-12-06 18:07 . 2009-11-16 21:02 -------- d-----w- c:\program files\Google
2009-12-06 17:08 . 2009-11-09 17:39 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-02 12:46 . 2009-11-09 19:06 107679 ----a-w- c:\windows\War3Unin.dat
2009-11-30 07:42 . 2009-11-20 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\PPLiveVA
2009-11-25 18:21 . 2009-11-25 18:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-11-25 18:17 . 2001-08-24 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-25 18:17 . 2001-08-24 12:00 500454 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-25 18:17 . 2009-11-25 18:17 74712 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-11-25 18:16 . 2009-11-25 18:16 -------- d-----w- c:\program files\MSBuild
2009-11-25 18:16 . 2009-11-25 18:16 -------- d-----w- c:\program files\Reference Assemblies
2009-11-25 18:14 . 2009-11-25 18:14 -------- d-----w- c:\program files\MSXML 6.0
2009-11-22 21:57 . 2009-11-22 21:56 -------- d-----w- c:\program files\PDFCreator
2009-11-20 12:57 . 2009-11-20 12:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Jlcm
2009-11-20 11:53 . 2009-11-20 11:53 -------- d-----w- c:\program files\PPLive
2009-11-20 11:53 . 2009-11-20 11:53 5016912 ----a-w- c:\documents and settings\All Users\Application Data\PPLive\update\PPLiveLiteSetup2.exe
2009-11-16 21:32 . 2009-11-16 21:26 158823 ----a-w- c:\windows\hpoins15.dat
2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Fichiers communs\HP
2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Hewlett-Packard
2009-11-16 21:31 . 2009-11-16 21:31 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2009-11-16 21:29 . 2009-11-16 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2009-11-16 21:27 . 2009-11-16 21:27 -------- d-----w- c:\program files\HP
2009-11-12 12:48 . 2009-11-25 18:20 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2009-11-09 19:11 . 2009-11-09 19:06 2829 ----a-w- c:\windows\War3Unin.pif
2009-11-09 19:11 . 2009-11-09 19:06 139264 ----a-w- c:\windows\War3Unin.exe
2009-11-09 18:15 . 2009-11-09 18:15 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-09 17:49 . 2009-11-09 17:49 0 ----a-w- c:\windows\nsreg.dat
2009-11-09 17:06 . 2009-11-09 17:05 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-09 17:03 . 2009-11-09 17:03 21892 ----a-w- c:\windows\system32\emptyregdb.dat
.

------- Sigcheck -------

[-] 2006-02-14 . 667192A11DB19F36624119C0DD4DE4F2 . 359808 . . [5.1.2600.2827] . . c:\windows\system32\drivers\tcpip.sys

[-] 2006-03-09 . 0D55724D88488BBFC53BC2EA219240F3 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[-] 2006-03-09 . CB7D37602638369A516757E994CBB31D . 397824 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll

[-] 2006-03-09 . DA81EC57ACD4CDC3D4C51CF3D409AF9F . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2006-03-09 08:24 . D9CDB9380E0EFC9E97CC589B5F484B94 . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll

[-] 2006-03-09 . 8D9A075C065DFE1228688D10155D6624 . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll

[-] 2006-04-21 . 6DF21BA445B9491943853290B0AAC74F . 3077120 . . [6.00.2900.2883] . . c:\windows\system32\mshtml.dll

[-] 2006-03-09 . E75F7AA5A33479F29C636FD0890F5762 . 2137600 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe

[-] 2006-03-09 . 720DA0C9DB8996AD9B7F5164B2242DAA . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[-] 2006-03-09 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll

[-] 2006-04-12 . 241DBC4C2714B2F39AFDED49459ED420 . 667648 . . [6.00.2900.2861] . . c:\windows\system32\wininet.dll

[-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2005-05-27 20:14 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

[-] 2006-05-09 . 50B3A210B6FA8D3089A36A32E7D8B21F . 2017280 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PPLive"="c:\program files\PPLive\PPLive.exe" [2009-08-12 165224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 16125440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-11-09 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} - hxxp://dl.pplive.com/PluginSetup.cab
FF - ProfilePath - c:\documents and settings\Marco\Application Data\Mozilla\Firefox\Profiles\nesu9yxh.default\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-PPAP - c:\documents and settings\All Users\Application Data\PPLiveVA\Application\PPAP.exe
HKLM-Run-SysDir - c:\documents and settings\All Users\Application Data\SysApp\SysDir.exe
HKLM-Run-c:\program files\dfjdkjfdkjfldjf\winlogin.exe - c:\program files\dfjdkjfdkjfldjf\criticalproc.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-15 20:02
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-01-15 20:03:00
ComboFix-quarantined-files.txt 2010-01-15 19:02

Avant-CF: 148 718 493 696 octets libres
Après-CF: 148 694 581 248 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - CC763AA3094E9A615A0CE43F278F0405

re

1

Télécharge DirLook (de jpshortstuff)

Double-clique sur DirLook.exe pour le lancer.

Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.

Copie le contenu de la boîte ci-dessous dans le champ texte principal :

c:\program files\Teogdbdkeuyrz

Clique sur le bouton DirLook pour lancer l'examen.

Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse. (Note : Le rapport peut aussi être trouvé dans C:\dl_log.txt)

Note : Il se peut que l'examen prenne plus de temps pour les gros répertoires.

2

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.


REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

[#FF0000]Aide :

Comment utiliser MBAM.

+++

Pour le premier logiciel "DirLook.exe", quand je le lance, il m'ouvre une fenetre ms dos et me dit "appuyer sur une touche pour continuer" j'appuie la fenetre se ferme et il se passe plus rien...


PS : Pour info "Teogdbdkeuyrz" est le dossier d'un ancien keylogger que javai installer sur mon ordinateur.



Avec MBAM, voici le rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16/01/2010 11:41:32
mbam-log-2010-01-16 (11-41-28).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 142841
Temps écoulé: 10 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5482C3A7-B02D-4C45-8B83-1DD78912870C}\RP2\A0001753.sys (Malware.Trace) -> No action taken.



PS : De toute facon je reformaterai apres avoir essayer de recuperer "mes documents"

'soir
essaye ce tuto:
http://www.micro-astuce.com/depannage/restauration_syst...

"La procédure que nous allons évoquer maintenant va certainement réparer la fonction de restauration du système mais en revanche tous les points de restauration vont disparaître. En conséquence de quoi n'appliquez pas cette manipulation si vous souhaitez restaurer votre PC à une date antérieur."


Il faut donc pas que je le fasse, de toute facon je l'ai la restauration moi, ce sont mes points antérieurs qui ont été supprimés.


Au final je crois qu'il n'y a plus de solution pour récupérer mes points de restauration...

bonsoir
si c'était mon pc, je tenterai une réparation de windows, pour voir...

Tu veux dire réinstaller windows par dessus ? pour voir si le dossier "mes documents" avec son contenu réapparaitrai?

bonsoir
Répare windows en suivant ce tuto:
http://www.informatruc.com/reparer.php

tu répares, tu ne formates pas, la réparation ne supprime pas tes docs (s'ils sont encore là)  

Merci Sham_rock, j'avais réussi à récupérer mes musiques avec restoration.exe, mais les photos ne marchaient pas.

Avec Photorec, c'est passé.

Du coup je vais formater proprement.