Disque dur défaillant, perte de données,virus

Résolu
Gat38 Messages postés 1 Statut Membre -  
 milou19 -
Bonjour,

je fais appel à ce forum car vendredi dernier j'ai chopé un virus (enfin je pense).
J'étais sur Internet comme d'habitude et tout d'un coup j'ai plusieurs fenetres qui se sont ouvertes pour m'alerter que mon DD dur était défaillant, et que j'avais des clusters défaillant aussi.
Je regarde alors dans mes documents et tout a disparu. Mais je vois que dans mon disque dur j'ai toujours autant de Giga utilisé. En tapant dans la barre de recherche un document, je l'ai retrouvé. En fete tous mes fichiers ont été mis en mode "cachés". Je les fais réapparaitre mais a chaque fois que je rallume mon ordi tout est repassé en mode "caché". De plus, depuis ce problème mon ordi rame,il lance à chaque fois une analyse de l'ordinateur et j'ai toujours des fenetres qui s'ouvrent automatiquement pour me prévenir que mon DD est défaillant.
Après ça, j'ai copier mes données dans un DD externe sauf que quand je connecte le DD à un autre ordi ou le mien, toutes les données du DD qui sont les miennes et d'autres n'apparaissent plus non plus. elles sont en mode "cachées". Mon virus a infecté le DD externe ??

J'y connais rien en informatique alors j'aimerais savoir comment me sortir de ça ? j'aimerais récupérer toutes mes données correctement et que mon ordi re fonctionne correctement aussi. Est ce que je suis obliger de formater ??
Je suis sous Windows 7.

Merci par avance.

7 réponses

  1. Utilisateur anonyme
     
    Bonjour


    1)
    Télécharge Rkill sur le bureau ; à partir d'un de ces liens :
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Si le premier lien ne fonctionne pas ; passe au suivant et ainsi de suite.
    http://download.bleepingcomputer.com/grinler/rkill.pif
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    Double clic pour le lancer.
    Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
    Pour Vista ou Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    Rkill désactive les processus de Windows et ceux lié aux infections afin de commencer un nettoyage

    2)Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    1
  2. Utilisateur anonyme
     
    Re

    Passons à la taille supérieure:

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    1
  3. Gat38
     
    Je n'arrive pas à télécharger rkill

    ça me met " windows ne parvient pas à accéder au périphrique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut etre pas des autorisations appropriées pour avoir accès à l'élément"

    comment puis je faire ?
    0
  4. Gat38
     
    ça y'est j'ai fini l'analyse et tout mes fichiers ont réapparu, j'ai redémarré et je n'ai pas eu de fen$etre m'alertant que mon DD etait défaillant.
    Je pense que je suis sauvée alors...

    Voici la copie du rapport :

    ComboFix 11-04-26.01 - AGATHE 26/04/2011 22:01:13.1.2 - x86
    Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.3003.1979 [GMT 2:00]
    Lancé depuis: c:\users\AGATHE\Documents\asdehi.exe
    AV: Norton Internet Security *Disabled/Outdated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
    FW: Norton Internet Security *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
    SP: Norton Internet Security *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\AGATHE\AppData\Roaming\Adobe\plugs
    c:\users\AGATHE\AppData\Roaming\Adobe\plugs\KB7700802.exe
    c:\users\AGATHE\AppData\Roaming\Adobe\shed
    c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery
    c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
    c:\users\AGATHE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk
    c:\users\AGATHE\Desktop\Windows Recovery.lnk
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-03-26 au 2011-04-26 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-04-26 20:18 . 2011-04-26 20:18 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-04-26 16:54 . 2011-04-26 19:54 -------- d-----w- C:\## aswSnx private storage
    2011-04-26 16:54 . 2011-04-11 07:04 7071056 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{51B164C7-B137-4FBA-8D28-2C18395EE101}\mpengine.dll
    2011-04-22 20:47 . 2011-04-22 20:53 -------- d--h--w- c:\users\AGATHE\AppData\Local\Google
    2011-04-22 20:47 . 2011-04-22 20:49 -------- d-----w- c:\program files\Google
    2011-04-22 20:45 . 2011-04-26 19:57 -------- d--h--w- c:\programdata\AVAST Software
    2011-04-22 20:45 . 2011-04-22 20:45 -------- d-----w- c:\program files\AVAST Software
    2011-04-17 16:11 . 2011-02-23 05:06 311296 ----a-w- c:\windows\system32\drivers\srv.sys
    2011-04-17 16:11 . 2011-02-23 05:05 309760 ----a-w- c:\windows\system32\drivers\srv2.sys
    2011-04-17 16:11 . 2011-02-23 05:05 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2011-04-17 16:09 . 2011-02-18 05:36 428032 ----a-w- c:\windows\system32\vbscript.dll
    2011-04-17 16:09 . 2011-03-03 05:29 132608 ----a-w- c:\windows\system32\dnsrslvr.dll
    2011-04-17 16:09 . 2011-03-03 05:27 28672 ----a-w- c:\windows\system32\dnscacheugc.exe
    2011-04-15 17:29 . 2011-03-08 05:38 740864 ----a-w- c:\windows\system32\inetcomm.dll
    2011-04-15 17:29 . 2011-03-11 05:40 1164288 ----a-w- c:\windows\system32\mfc42u.dll
    2011-04-15 17:29 . 2011-03-11 05:40 1137664 ----a-w- c:\windows\system32\mfc42.dll
    2011-04-15 17:29 . 2011-02-23 05:05 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2011-04-15 17:29 . 2011-02-23 05:05 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2011-04-15 17:29 . 2011-02-23 05:05 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-04-15 17:29 . 2011-02-23 05:05 69632 ----a-w- c:\windows\system32\drivers\bowser.sys
    2011-04-14 16:57 . 2011-03-03 03:31 2331136 ----a-w- c:\windows\system32\win32k.sys
    2011-04-14 16:57 . 2011-02-12 05:30 191488 ----a-w- c:\windows\system32\FXSCOVER.exe
    2011-04-14 16:57 . 2011-02-24 05:32 288256 ----a-w- c:\windows\system32\XpsGdiConverter.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-04-18 21:05 . 2009-08-18 09:30 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
    2011-04-18 21:05 . 2009-08-18 09:24 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    2011-02-19 05:33 . 2011-03-09 17:28 802304 ----a-w- c:\windows\system32\FntCache.dll
    2011-02-19 05:32 . 2011-03-09 17:28 1074176 ----a-w- c:\windows\system32\DWrite.dll
    2011-02-19 05:32 . 2011-03-09 17:28 739840 ----a-w- c:\windows\system32\d2d1.dll
    2011-02-11 20:10 . 2011-02-11 20:10 181608 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10137.bin
    2011-02-03 05:45 . 2011-02-09 14:07 219008 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
    2011-02-02 16:11 . 2010-01-19 16:57 222080 ------w- c:\windows\system32\MpSigStub.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
    "Steam"="c:\program files\Steam\Steam.exe" [2010-11-17 1242448]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-08-25 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-08-25 174104]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-08-25 151064]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-07-30 225280]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-08-13 467036]
    "UpdatePRCShortCut"="c:\program files\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-09 148888]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-30 795936]
    Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
    "WallpaperStyle"= 2
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
    @="FSFilter Activity Monitor"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_fa0513b7754bf240\aestsrv.exe [2009-03-02 81920]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-22 20:47]
    .
    2011-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-22 20:47]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_FR&c=94&bd=Pavilion&pf=cnnb
    uInternet Settings,ProxyServer = 172.16.4.21:8080
    uInternet Settings,ProxyOverride = pfsense;192.169.2.1;*.local;<local>
    IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MIF5BA~1\OFFICE11\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    FF - ProfilePath - c:\users\AGATHE\AppData\Roaming\Mozilla\Firefox\Profiles\9in45c0c.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
    FF - prefs.js: browser.search.selectedEngine - Softonic_France Customized Web Search
    FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2542115&SearchSource=13
    FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Messenger Plus Live Toolbar: {9b339f6e-ddcd-401b-8764-230adbd01761} - %profile%\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}
    FF - Ext: Softonic_France Toolbar: {4daac69c-cba7-45e2-9bc8-1044483d3352} - %profile%\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
    FF - Ext: Norton Toolbar: {7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKCU-Run-Vzixiracevenupe - c:\users\AGATHE\AppData\Local\nceapcs.dll
    HKCU-Run-tPaGgPbDdnkYyE - c:\programdata\tPaGgPbDdnkYyE.exe
    AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe
    .
    .
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Norton Internet Security]
    "ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.8.0.41\diMaster.dll\" /prefetch:1"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2011-04-26 22:46:49
    ComboFix-quarantined-files.txt 2011-04-26 20:46
    .
    Avant-CF: 194 847 318 016 octets libres
    Après-CF: 194 769 211 392 octets libres
    .
    - - End Of File - - AADC2B4B9451CE572D7E77A121A63F08
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Chichimalow
     
    Je viens de connaitre le même problème avec exactement les mêmes caractéristiques : fenêtres windows qui s'ouvrent intempestivement, données dites perdues alors qu'elles sont passées en caché, demande de récupération de données, etc...

    J'ai suivi le processus 1 (Rkill + Malwaresbytes anti malware + scan complet + suppression des fichiers corrompus). Résultat impec'. Je n'ai plus aucun message d'erreur s'affichant.

    Je dois à présent simplement repassé mes fichiers caché en non caché, mais pas de problème détecté lors de la procédure.

    Un grand GRAND merci à Guillaume5188 pour ses instructions simples et efficaces ! :D
    0
  7. Utilisateur anonyme
     
    Bonjour Gat38

    Lance une analyse avec Malwaresbytes à jour et poste moi son rapport;merci.

    @+

    0
  8. milou19
     
    Bonsoir,
    j'ai le meme problème actuellement sur mon PC, j'ai téléchargé RKILL, voici ce que ça a donné:
    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 29/05/2011 at 20:46:00.
    Operating System: Windows Vista (TM) Home Premium

    Processes terminated by Rkill or while it was running:

    C:\ProgramData\DatacardService\DCService.exe
    C:\ProgramData\DatacardService\DCSHelper.exe
    C:\ProgramData\LoBoUYvVYw.exe
    C:\ProgramData\33545976.exe
    C:\Windows\system32\werfault.exe

    Rkill completed on 29/05/2011 at 20:47:07.

    par contre pour le Malwalerbytes j'arrive pas à l'installer, un message ressort à chaque fois en me disant une erreur s'est produite veuillez transmettre ce code d'erreur à notre équipe de support.

    comment pourrais je remédier???

    Merci d'avance.
    0