Programme, et dossier qui ont disparus Résolu/Fermé

Question

Bonjour, 

Je me permets de venir vers vous suite à la disparition progressive de nombreux programme après une infection par un trojan russe attrapé sur le site RARBG.com.
J'ai perdu mon fond d'écran, puis les dossiers sur mon bureau et après c'est mon menu démarrer dans lequel la liste de programme est vide, de plus le pc rame, et au début de l'infection, je n'avais même plus accès pour ouvrir le gestionnaire de tache. 

Après un passage de Malware anti malware et de antivir (+ un coup de ccleaner), j 'ai récupérer mon gestionnaire de tache et mon fond d'écran, mais mon pc rame toujours et le menu démarrer est désespérément vide ! 

le pire c'est la barre de lancement rapide qui me manque le plus ! 

Je pense être toujours infecter, mais je sais pas trop quoi tenter pour pas aggraver le mal, est ce que je peut poster un hijack this ici ? (si j'arrive a le lancer via "exécuter" !)

En vous remerciant d'avance de vos réponses.
Cdlt



Configuration: Windows Vista / Firefox 3.6.16

dédétraqué · Answer

Salut wallacebarth22


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
Vista - Clique droit sur RSIT.exe qui est sur le bureau et choisir exécuter en tant qu'administrateur

- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++  :)

wallacebarth22 · Answer

oki merci de ta presence
je mets les liens 

hijackthis via rsit :
https://www.cjoint.com/?0DwbPUrn6PD

info :
https://www.cjoint.com/?ADwbRGN6uwW

juju666 · Answer

pour avancer dédé : HijackThis download failed

beh quoi ! fallait accepter :)

wallacebarth22 · Answer

j'ai pas bien compris accepter quoi ? 

bon j'ai fait un scan directement avec hijackthis

https://www.cjoint.com/?ADwcaVCjZYN


merci de votre aide

dédétraqué · Answer

Salut wallacebarth22  


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.
(Vista/Seven --> Faire un clic droit sur SystemLook.exe pour le lancer et choisi "Exécuter en tant qu'administrateur".)

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

 :filefind
aai2zhhz.sys
:dir
C:\SourceMods /s
:reg
aai2zhhz

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++   :)

juju666 · Answer

dédé à l'air de faire dodo ^^

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu'administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 2 et valide   
Note: s'il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe 

==============

relance le option 6 et poste le rapport

dédétraqué · Answer

Salut juju


?? Pourquoi RogueKiller??

Je te remet l'utilisation:
j'ai developpé cet outil après avoir vu que certains rogues (ex. Security Tools) bloquaient l'éxécution de programmes de désinfection

Il me semble que tous va bien avec les outils!!


@+++    :)

wallacebarth22 · Answer

alors pour systemlook 

https://www.cjoint.com/?ADwcBmPWboy


par contre rogue killer j 'ai fait 6 et il mouline tjs, je le laisse finir ?

wallacebarth22 · Answer

pour rogue killer avec l'option 1 

https://www.cjoint.com/?ADwcEzprWkC

et avec l'option 2 : 
https://www.cjoint.com/?ADwcFmyWuNG

wallacebarth22 · Answer

[]
https://www.cjoint.com/?ADwcMfSySip

1
https://www.cjoint.com/?ADwcMDpe8Yv

2
https://www.cjoint.com/?ADwcMVbeFEZ

3
https://www.cjoint.com/?ADwcNf7zf7F

wallacebarth22 · Answer

peut etre que vous preferez reprendre ça plus tard si c'est trop tard pour vous, n'hesitez pas a me le dire

dédétraqué · Answer

Salut juju 


Ok tu penses au fichier caché??

Effectivement on va y voir, javais justement remarqué cela...

Peut ce faire sans RogueKiller :))


@++   :)

wallacebarth22 · Answer

si je traduis, mes fichiers aurait basculer en mode fichier caché ? ce qui expliquerai que mon C: soit vide lol

wallacebarth22 · Answer

hello les gars, 

Je me permets de revenir vers vous, car il semblerait que j'ai presque récupérer tout mes dossiers, (j'ai pas bien compris comment d'ailleurs !) mais j'ai des avertissement de Windows chaque fois que j'ouvre un programme, me demandant si je veux bien autoriser le programme concerné. Alors que cette option été supprimée depuis longtemps, j'ai peur que la saleté ai modifié mon Windows. Vous en pensez quoi ?

En tout cas merci de votre aide grandement, pas tout compris quel logiciel vous a permit de "démasquer" les fichiers, mais merci vraiment.

dédétraqué · Answer

Salut wallacebarth22


Effectivement les fichiers étais caché, infection du moment :
https://www.malekal.com/rogues-attack-windows-repair-et-ms-tool-removal/

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.itxassociates.com/OT-Tools/OTL.exe

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Double clique sur OTL.exe pour lancer le.
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Sous Custom Scans (en bas), copie/colle ceci :

netsvcs
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*.
/md5start
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

- Clique sur le bouton Run Scan.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++   :)

wallacebarth22 · Answer

alors le 

OTL
https://www.cjoint.com/?ADwn5QcQZ5c

et le extra :
https://www.cjoint.com/?ADwn7tXQNp7

wallacebarth22 · Answer

arfff j'ai voulu lancer filezilla, et j'ai eu un message d'erreur quelque chose .xml manquant, du coup j'ai reboot, et paf ! écran noir, que le curseur de la souris de visible, meme en redémarrant ou en mode sans échec, du coup, ma seule option c'était une restauration de Windows, mais j ai l 'impression que c'est une bêtise d avoir fait ça !   

help ! c'est vraiment une saleté ce virus !


edit : 
bon j'ai recuperer mon windows, mais j'ose plus rien toucher !

dédétraqué · Answer

Salut wallacebarth22 


Télécharge sur ton bureau TdssKiller de kaspersky :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

Décompresse le et exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu 

Exécute le , La fenêtre suivante va s'ouvrir : 
http://i265.photobucket.com/albums/ii226/Marie_Ven/0001img-2421.png

# Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
# Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir: 
http://i265.photobucket.com/albums/ii226/Marie_Ven/0002img-40.png

# Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

# Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

# Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

# Si Suspicious file est indiqué, laisse l'option cochée sur Skip

# Clique sur Continue puis sur Reboot now pour redémarrer le PC.

# Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Tutoriel--> https://support.kaspersky.com/5350


@++  :)

dédétraqué · Answer

Salut wallacebarth22 


Télécharge sur ton bureau TdssKiller de kaspersky :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

Décompresse le et exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu 

Exécute le , La fenêtre suivante va s'ouvrir : 
http://i265.photobucket.com/albums/ii226/Marie_Ven/0001img-2421.png

# Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
# Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir: 
http://i265.photobucket.com/albums/ii226/Marie_Ven/0002img-40.png

# Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

# Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

# Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

# Si Suspicious file est indiqué, laisse l'option cochée sur Skip

# Clique sur Continue puis sur Reboot now pour redémarrer le PC.

# Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Tutoriel--> https://support.kaspersky.com/5350


@++  :)

wallacebarth22 · Answer

oki je lance ça tt de suite

wallacebarth22 · Answer

il n'a pas l'air de détecter de saleté celui là, mais pas de rapport de quarantaine, c'est normal : 

https://www.cjoint.com/?ADwwDk65fsd

dédétraqué · Answer

Salut wallacebarth22


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

wallacebarth22 · Answer

et voila 

juste une entrée supprimée je crois  

https://www.cjoint.com/?ADwxmg8lvzZ

dédétraqué · Answer

Salut wallacebarth22


Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

? Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

:OTL
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] 
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[1 C:\Users\Patrice\*.tmp files -> C:\Users\Patrice\*.tmp -> ] 
@Alternate Data Stream - 186 bytes -> C:\ProgramData\TEMP:408F95E5 
@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:2B11E0DF 

:Commands
[Emptytemp]


? Clique sur " Correction " pour lancer la suppression.

? Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

? Au redémarrage , autorise OTL a s'exécuter.

? Poste le rapport généré par OTL.


-----


Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
Mets le à jour (Important)
- Sélectionne Exécuter un examen rapide si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

wallacebarth22 · Answer

oki alors le log de otl deja :

https://www.cjoint.com/?ADwxStKaBvC

wallacebarth22 · Answer

RAS du coté de malware byte , 0 detection

dédétraqué · Answer

Salut wallacebarth22 


Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

Aide pour le scan : http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-online-scanner-t3691.htm


@++   :)

wallacebarth22 · Answer

désolé pour le retard, l'analyse fut longue est interompue par un sommeil profond lol !

0 found

https://www.cjoint.com/?ADxqCf76vaF

dédétraqué · Answer

Salut wallacebarth22


Ne soit pas désolé  :))


Comment va le PC?

Refais un scan avec OTL comme demandé ici :
https://forums.commentcamarche.net/forum/affich-21895623-programme-et-dossier-qui-ont-disparus#21

Tu auras seulement un rapport(OTL.txt) a me poster...


@++    :)

wallacebarth22 · Answer

ben ecoute je pense que tu m'as sauvé !

le PC tourne bien, pas trop de latence, juste la carte wifi qui met un peu plus de temps a se mettre en route au démarrage, mais peu être que je me fait des films, rien de significatif.

Donc un très très grand merci pour ton boulot.

otl 
https://www.cjoint.com/?ADxvrdftqR

extras
https://www.cjoint.com/?ADxvZTa5Jw

dédétraqué · Answer

Salut wallacebarth22 


Cela est bon, pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php

Tutoriel Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Tutoriel Seven :
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/


-----

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

wallacebarth22 · Answer

oki, alors le rapport tools cleaner    

https://www.cjoint.com/?ADyl9cCurAV   

j'arrive pas a tester les mise a jour et les vulnérabilités, probleme de machine java, pourtant j'ai la version 1.6   

pour les mises a jour windows, j'ai tjs plus l impression que c'est une usine a gaz qui augmente l instabilité et la place prise sur mon dur ...   

ccleaner c'est fait aussi   

donc je passe en résolu et un grand  grand merci a toi !  


trop fort, ça a libérer 20go ! ça devait être les points de restaurations

dédétraqué · Answer

Salut wallacebarth22


On va mettre à jour ta version de Java et supprimer les vieilles versions :

Télécharge JavaRa (de Paul McLain et Fred de Vries) sur le bureau :

http://raproducts.org/click/click.php?id=1


- Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
- Double-clique sur le répertoire JavaRa obtenu
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
- Sous Vista: clic droit/Exécuter en temps qu'administrateur Clique sur Search For Updates
- Sélectionne Update Using jucheck.exe puis clique sur Search
- Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
- Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
- Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
- Un rapport va s'ouvrir, copie/colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
- Ferme l'application

Après tente le scan de vulnérabilité


@++   :)

wallacebarth22 · Answer

lol tout mes programmes sont périmés ! 
c'est pas gagné ! 

13 périmé sur 13 !

dédétraqué · Answer

Salut wallacebarth22 


Bon, ben j'ai enlever le résolu  :))

Un a la fois, passe ceux que tu as des soucis et dit moi...


@++   :)

wallacebarth22 · Answer

c'est bon, après avoir décaché certain fichier java, tt est oki

re résolu ! 

merci encore

dédétraqué · Answer

Salut wallacebarth22 


Bien de rien


@++   :)

Programme, et dossier qui ont disparus

37 réponses

Discussions similaires